Behandeln von Microsoft Entra-Verbindungsproblemen mit dem PowerShell-Modul ADConnectivity-Tool
Das ADConnectivity-Tool ist ein PowerShell-Modul, das auf eine der folgenden Arten verwendet wird:
- Während der Installation, wenn ein Problem mit der Netzwerkverbindung die erfolgreiche Überprüfung der Active Directory-Anmeldeinformationen verhindert.
- Nach der Installation durch einen Benutzer, der die Funktionen aus einer PowerShell-Sitzung aufruft.
Das Tool befindet sich hier: C:\Programme\Microsoft Entra Connect\Tools\ ADConnectivityTool.psm1.
ADConnectivityTool während der Installation
Auf der Seite Verzeichnisse verbinden im Microsoft Entra Connect-Assistenten verwendet das ADConnectivityTool, wenn ein Netzwerkproblem auftritt, automatisch eine seiner Funktionen, um zu bestimmen, was vor sich geht. Die folgenden Elemente können als Netzwerkprobleme betrachtet werden:
- Der vom Benutzer angegebene Name der Gesamtstruktur wurde falsch eingegeben, oder besagte Gesamtstruktur ist nicht vorhanden.
- UDP-Port 389 ist in den Domänencontrollern, die der vom Benutzer angegebenen Gesamtstruktur zugeordnet sind, geschlossen.
- Die im Fenster „AD-Gesamtstrukturkonto“ angegebenen Anmeldeinformationen verfügen nicht über Berechtigungen zum Abrufen der Domänencontroller, die der Zielgesamtstruktur zugeordnet sind.
- Jeder der TCP-Ports 53, 88 oder 389 ist in den Domänencontrollern, die der vom Benutzer angegebenen Gesamtstruktur zugeordnet sind, geschlossen.
- Der UDP-Port 389 und ein TCP-Port (oder Ports) sind geschlossen.
- DNS konnte für die angegebene Gesamtstruktur und/oder deren zugeordnete Domänencontroller nicht aufgelöst werden
Bei Auffinden eines dieser Probleme wird eine diesbezügliche Fehlermeldung im Microsoft Entra Connect-Assistenten angezeigt:
Wenn wir beispielsweise versuchen, ein Verzeichnis auf dem Bildschirm Verzeichnisse verbinden hinzuzufügen, muss Microsoft Entra Connect dies überprüfen und erwartet, dass es mit einem Domänencontroller über Port 389 kommunizieren kann. Ist dies nicht möglich, sehen wir den Fehler, der im Screenshot angezeigt wird.
Was eigentlich hinter den Kulissen passiert, ist, dass Microsoft Entra Connect die Funktion Start-NetworkConnectivityDiagnosisTools aufruft. Diese Funktion wird aufgerufen, wenn die Überprüfung von Anmeldeinformationen aufgrund eines Netzwerkkonnektivitätsproblems fehlschlägt.
Schließlich wird immer, wenn das Tool vom Assistenten aufgerufen wird, eine detaillierte Protokolldatei generiert. Das Protokoll befindet sich unter C:\ProgramData\AADConnect\ADConnectivityTool-<date>-<time>.log
ADConnectivityTools nach der Installation
Nachdem Microsoft Entra Connect installiert wurde, kann jede der Funktionen im PowerShell-Modul „ADConnectivityTools“ verwendet werden.
Referenzinformationen zu den Funktionen finden Sie in der Referenz zu ADConnectivityTools.
Start-ConnectivityValidation
Wir rufen diese Funktion auf, da sie nur manuell aufgerufen werden kann, nachdem ADConnectivityTool.psm1 in PowerShell importiert wurde.
Diese Funktion führt dieselbe Logik aus, die der Microsoft Entra Connect-Assistent ausführt, um die angegebenen AD-Anmeldeinformationen zu überprüfen. Sie bietet allerdings eine wesentlich ausführlichere Erläuterung des Problems sowie eine vorgeschlagene Lösung.
Die Konnektivitätsüberprüfung besteht aus den folgenden Schritten:
- Abrufen des Domänen-FQDN (vollqualifizierter Domänenname)
- Überprüfen, wenn der Benutzer „Neues AD-Konto erstellen“ ausgewählt hat, ob diese Anmeldeinformationen zur Gruppe „Unternehmensadministratoren“ gehören.
- Abrufen des Gesamtstruktur-FQDN-Objekts
- Bestätigen, dass mindestens eine Domäne, die dem zuvor abgerufenen Gesamtstruktur-FQDN-Objekt zugeordnet ist, erreichbar ist.
- Überprüfen, ob die Funktionsebene der Gesamtstruktur Windows Server 2003 oder höher ist.
Der Benutzer kann ein Verzeichnis hinzuzufügen, wenn alle diese Aktionen erfolgreich ausgeführt wurden.
Wenn der Benutzer diese Funktion ausführt, nachdem ein Problem behoben wurde (oder überhaupt kein Problem vorhanden ist), zeigt die Ausgabe dem Benutzer an, dass er zum Microsoft Entra Connect-Assistenten zurückwechseln und erneut versuchen soll, die Anmeldeinformationen einzufügen.