Dépanner la connectivité Microsoft Entra avec le module ADConnectivityTool PowerShell
L’outil ADConnectivity est un module PowerShell utilisé dans l’une des situations suivantes :
- Pendant l’installation quand un problème de connectivité réseau empêche la validation des informations d’identification Active Directory.
- Après l’installation par un utilisateur qui appelle les fonctions à partir d’une session PowerShell.
L'outil se trouve dans : C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
ADConnectivityTool pendant l’installation
Sur la page Connectez vos répertoires, dans l'assistant Microsoft Entra Connect, si un problème de réseau survient, ADConnectivityTool utilisera automatiquement l'une de ses fonctions pour déterminer ce qui se passe. Les éléments suivants peuvent être considérés comme des problèmes réseau :
- Le nom de la forêt fourni par l’utilisateur a été mal tapé ou ladite forêt n’existe pas
- Le port UDP 389 est fermé dans les contrôleurs de domaine associés à la forêt spécifiée par l’utilisateur
- Les informations d’identification fournies dans la fenêtre « Compte de forêt AD » ne disposent pas des privilèges nécessaires pour récupérer les contrôleurs de domaine associés à la forêt cible
- Le port TCP 53, 88 ou 389 est fermé dans les contrôleurs de domaine associés à la forêt spécifiée par l’utilisateur
- Le port UDP 389 et un ou plusieurs ports TCP sont fermés.
- DNS n’a pas pu être résolu pour la forêt spécifiée et/ou ses contrôleurs de domaine associés
Chaque fois qu’un de ces problèmes est détecté, un message d’erreur associé s’affiche dans l’Assistant Microsoft Entra Connect :
Par exemple, lorsque nous essayons d'ajouter un répertoire sur l'écran Connectez vos répertoires, Microsoft Entra Connect doit le vérifier et s'attend à pouvoir communiquer avec un contrôleur de domaine via le port 389. S’il ne le peut pas, l’erreur indiquée dans la capture d’écran s’affiche.
Ce qui se passe réellement en coulisses, c'est que Microsoft Entra Connect appelle la fonction Start-NetworkConnectivityDiagnosisTools
. Cette fonction est appelée quand la validation des informations d’identification échoue en raison d’un problème de connectivité réseau.
Pour finir, un fichier journal détaillé est généré chaque fois que l’outil est appelé à partir de l’Assistant. Le journal se trouve dans C:\ProgramData\AADConnect\ADConnectivityTool-<date>-<heure>.log
ADConnectivityTools après l’installation
Une fois Microsoft Entra Connect installé, toutes les fonctions du module ADConnectivityTools PowerShell peuvent être utilisées.
Vous trouverez des informations de référence sur les fonctions dans la Référence d’ADConnectivityTools.
Start-ConnectivityValidation
Nous allons appeler cette fonction car elle peut uniquement être appelée manuellement une fois qu’ADConnectivityTool.psm1 a été importé dans PowerShell.
Cette fonction exécute la même logique que celle utilisée par l'assistant Microsoft Entra Connect pour valider les informations d'identification AD fournies. Toutefois, elle procure une explication beaucoup plus détaillée concernant le problème et une suggestion de solution.
La validation de connectivité se compose des étapes suivantes :
- Obtenir l’objet de nom de domaine complet du domaine
- Valider le fait que, si l’utilisateur a sélectionné « Créer un compte AD », ces informations d’identification appartiennent au groupe Administrateurs d’entreprise
- Obtenir l’objet de nom de domaine complet de la forêt
- Confirmer qu’au moins un domaine associé à l’objet de nom de domaine complet de la forêt obtenu précédemment est accessible
- Vérifier que le niveau fonctionnel de la forêt est Windows Server 2003 ou plus
L’utilisateur pourra ajouter un annuaire si toutes ces actions ont été exécutées avec succès.
Si l'utilisateur exécute cette fonction, une fois un problème résolu (ou s'il n'y a aucun problème), la sortie indiquera à l'utilisateur de revenir à l'assistant Microsoft Entra Connect et d'essayer d'insérer à nouveau les informations d'identification.