Solucionar problemas de conectividade do Azure AD com o módulo do ADConnectivityTool PowerShellTroubleshoot Azure AD connectivity with the ADConnectivityTool PowerShell module

A ferramenta ADConnectivity é um módulo do PowerShell que é usado em um dos seguintes:The ADConnectivity tool is a PowerShell module that is used in one of the following:

  • Durante a instalação quando um problema de conectividade de rede impede que a validação bem-sucedida do Active Directory credenciais de usuário fornecido no assistente.During installation when a network connectivity problem prevents the successful validation of the Active Directory credentials the user provided in the Wizard.
  • Pós-instalação por um usuário que chama as funções de uma sessão do PowerShell.Post installation by a user who calls the functions from a PowerShell session.

A ferramenta está localizada em: C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ ADConnectivityTool.psm1The tool is located in: C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ ADConnectivityTool.psm1

ADConnectivityTool durante a instalaçãoADConnectivityTool during installation

Na página Conecte seus diretórios, no Assistente para Conexão do Azure AD, se ocorrer um problema de rede, a ADConnectivityTool usará automaticamente uma de suas funções para determinar o que está acontecendo.On the Connect your directories page, in the Azure AD Connect Wizard, if a network issue occurs, the ADConnectivityTool will automatically use one of its functions to determine what is going on. Qualquer um dos itens a seguir pode ser considerado um problema de rede:Any of the following can be considered network issues:

  • O nome da floresta que o usuário forneceu foi digitado incorretamente ou a floresta não existeThe name of the Forest the user provided was typed wrongly, or said Forest doesn’t exist
  • A porta UDP 389 é fechada nos controladores de domínio associados à floresta que o usuário forneceuUDP port 389 is closed in the Domain Controllers associated with the Forest the user provided
  • As credenciais fornecidas na janela "Conta de floresta do AD" não têm privilégios para recuperar os controladores de domínio associados à floresta de destinoThe credentials provided in the ‘AD forest account’ window doesn’t have privileges to retrieve the Domain Controllers associated with the target Forest
  • Qualquer uma das portas TCP 53, 88 ou 389 é fechada nos controladores de domínio associados à floresta que o usuário forneceuAny of the TCP ports 53, 88 or 389 are closed in the Domain Controllers associated with the Forest the user provided
  • UDP 389 e uma porta TCP (ou portas) estão fechadasBoth UDP 389 and a TCP port (or ports) are closed
  • O DNS não pôde ser resolvido para a floresta fornecida e \ ou seus controladores de domínio associadosDNS could not be resolved for the provided Forest and\or its associated Domain Controllers

Sempre que qualquer um desses problemas for encontrado, uma mensagem de erro relacionada será exibida no Assistente AADConnect:Whenever any of these issues are found, a related error message is displayed in the AADConnect Wizard:

Erro

Por exemplo, quando estamos tentando adicionar um diretório na tela Conecte seus diretórios, o Azure AD Connect precisa verificar isso e espera poder se comunicar com um controlador de domínio pela porta 389.For example, when we are attempting to add a directory on the Connect your directories screen, Azure AD Connect needs to verify this and expects to be able to communicate with a domain controller over port 389. Se não puder, veremos o erro mostrado na captura de tela acima.If it cannot, we will see the error that is shown in the screenshot above.

O que realmente está acontecendo nos bastidores é que o Azure AD Connect está chamando a função Start-NetworkConnectivityDiagnosisTools.What is actually happening behind the scenes, is that Azure AD Connect is calling the Start-NetworkConnectivityDiagnosisTools function. Essa função é chamada quando a validação de credenciais falha devido a um problema de conectividade de rede.This function is called when the validation of credentials fails due to a network connectivity issue.

Finalmente, um arquivo de log detalhado é gerado sempre que a ferramenta é chamada do assistente.Finally, a detailed log file is generated whenever the tool is called from the wizard. O log está localizado em C:\ProgramData\AADConnect\ADConnectivityTool-<date >-<tempo >. logThe log is located in C:\ProgramData\AADConnect\ADConnectivityTool-<date>-<time>.log

ADConnectivityTools pós instalaçãoADConnectivityTools post installation

Depois que o Azure AD Connect tiver sido instalado, qualquer uma das funções no módulo ADConnectivityTools PowerShell poderá ser usada.After Azure AD Connect has been installed, any of the functions in the ADConnectivityTools PowerShell module can be used.

Você pode encontrar informações de referência sobre as funções na ADConnectivityTools ReferenceYou can find reference information on the functions in the ADConnectivityTools Reference

Start-ConnectivityValidationStart-ConnectivityValidation

Vamos chamar essa função porque ela pode somente ser chamada manualmente depois que o ADConnectivityTool.psm1 for importado para o PowerShell.We are going to call out this function because it can only be called manually once the ADConnectivityTool.psm1 has been imported into PowerShell.

Essa função executa a mesma lógica que o Assistente do Azure AD Connect executa para validar as credenciais do AD fornecidas.This function executes the same logic that the Azure AD Connect Wizard runs to validate the provided AD Credentials. No entanto, fornece uma explicação muito mais detalhada sobre o problema e uma solução sugerida.However it provides a much more verbose explanation about the problem and a suggested solution.

A validação de conectividade consiste nas seguintes etapas:The connectivity validation consists of the following steps:

  • Obter o objeto FQDN do domínio (nome de domínio totalmente qualificado)Get Domain FQDN (fully qualified domain name) object
  • Valide se, se o usuário selecionou "Criar nova conta do AD", essas credenciais pertencem ao grupo Administradores de empresasValidate that, if the user selected ‘Create new AD account’, these credentials belong to the Enterprise Administrators group
  • Objeto FQDN floresta GetGet Forest FQDN object
  • Confirme se pelo menos um domínio associado ao objeto FQDN do Forest obtido anteriormente está acessívelConfirm that at least one domain associated with the previously obtained Forest FQDN object is reachable
  • Verifique se o nível funcional da floresta é o Windows Server 2003 ou superior.Verify that the functional level of the forest is Windows Server 2003 or greater.

O usuário poderá adicionar um Diretório se todas essas ações forem executadas com sucesso.The user will be able to add a Directory if all these actions were executed successfully.

Se o usuário executar essa função depois que um problema for resolvido (ou se nenhum problema existir), a saída indicará que o usuário retorne ao Assistente de Conexão do Azure AD e tente inserir as credenciais novamente.If the user runs this function after a problem is solved (or if no problem exists at all) the output will indicate for the user to go back to the Azure AD Connect Wizard and try inserting the credentials again.

Próximas etapasNext Steps