Risolvere i problemi di connettività di Microsoft Entra con il modulo PowerShell ADConnectivityTool
Lo strumento ADConnectivity è un modulo di PowerShell che viene usato in una delle situazioni seguenti:
- Durante l'installazione quando un problema di connettività di rete impedisce di convalidare correttamente le credenziali di Active Directory.
- Dopo l'installazione da parte di un utente che chiama le funzioni da una sessione di PowerShell.
Lo strumento si trova in: C:\Programmi\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
ADConnectivityTool durante l'installazione
Nella pagina Connessione delle directory della procedura guidata di Microsoft Entra Connect, se si verifica un problema di rete, ADConnectivityTool userà automaticamente una delle funzioni per determinare che cosa sta accadendo. I seguenti elementi possono essere considerati problemi di rete:
- Il nome della foresta specificato dall'utente non è stato digitato correttamente o è stato visualizzato un messaggio che indica che la foresta non esiste
- La porta UDP 389 è chiusa nei controller di dominio associati alla foresta specificata dall'utente
- Le credenziali fornite nella finestra "Account della foresta AD" non hanno i privilegi necessari per recuperare i controller di dominio associati alla foresta di destinazione
- Una o più delle porte TCP 53, 88 o 389 sono chiuse nei controller di dominio associati alla foresta specificata dall'utente
- Sia la porta UDP 389 che una o più porte TCP sono chiuse
- Non è stato possibile risolvere DNS per la foresta fornita e i controller di dominio associati
Quando si verifica uno o più di questi problemi, nella procedura guidata di Microsoft Entra Connect viene visualizzato un messaggio di errore correlato:
Quando ad esempio si prova ad aggiungere una directory nella schermata Connessione delle directory, Microsoft Entra Connect deve verificarla e deve poter comunicare con un controller di dominio tramite la porta 389. In caso contrario, verrà visualizzato l'errore visualizzato nello screenshot.
Ciò che effettivamente accade in background è che Microsoft Entra Connect chiama la funzione Start-NetworkConnectivityDiagnosisTools. Questa funzione viene chiamata quando la convalida delle credenziali non riesce a causa di un problema di connettività di rete.
Viene infine generato un file di log dettagliato ogni volta che lo strumento viene chiamato dalla procedura guidata. Il log si trova in C:\ProgramData\AADConnect\ADConnectivityTool-<date>-<time.>.log
ADConnectivityTools dopo l'installazione
Dopo l'installazione di Microsoft Entra Connect, è possibile usare qualsiasi funzione del modulo di PowerShell ADConnectivityTools.
Per informazioni di riferimento sulle funzioni, vedere Informazioni di riferimento su ADConnectivityTools
Start-ConnectivityValidation
Verrà chiamata questa funzione perché può essere chiamata solo manualmente dopo l'importazione di ADConnectivityTool.psm1 in PowerShell.
Questa funzione esegue la stessa logica eseguita dalla procedura guidata di Microsoft Entra Connect per convalidare le credenziali di AD specificate. Fornisce tuttavia una spiegazione molto più dettagliata del problema e una soluzione suggerita.
La convalida della connettività prevede i passaggi seguenti:
- Ottenere l'oggetto nome di dominio completo (FQDN)
- Verificare che, se l'utente ha selezionato "Crea un nuovo account AD", queste credenziali appartengano al gruppo Amministratori azienda
- Ottenere l'oggetto FQDN della foresta
- Verificare che almeno un dominio associato all'oggetto FQDN della foresta ottenuto in precedenza sia raggiungibile
- Verificare che il livello funzionale della foresta sia Windows Server 2003 o versione successiva.
L'utente potrà aggiungere una directory se tutte queste azioni vengono eseguite correttamente.
Se l'utente esegue questa funzione dopo che un problema è stato risolto (o se non esistono problemi) l'output indicherà all'utente di tornare alla procedura guidata di Microsoft Entra Connect Wizard e di provare a inserire nuovamente le credenziali.