Udostępnij przez

Entra Cloud Sync Agent nie widzi certyfikatu

Mariusz Gora 41 Punkty reputacji
2025-12-05T12:36:44.61+00:00

Witam,
Mamy problem z synchronizacją naszego AD z EntraID. Agent nie jest widoczny w konfiguracji synchronizacji.
Usługi agenta działają. Zweryfikowaliśmy czy nasz firewall przepuszcza wymaganą komunikację.
W logach agenta widoczny jest komunikat:
AADConnectProvisioningAgent.exe Error: 0 : CertificateUtility: GetCertificate: Certificate with thumbprint 'XXXXX' was not found

Nie wiem o jaki certyfikat chodzi. Ponowne uruchomienie kreatora instalacji agenta nie rozwiązuje problemu. Sam kreator wykonuje się poprawnie.

Jak naprawić ten problem?

Windows dla firm | Windows 365 Business

2 odpowiedzi

Sortuj po: Bardzo pomocne
Bardzo pomocne Najnowsze Najstarszy
  1. VPHAN 17,970 Punkty reputacji Niezależny doradca
    2025-12-05T13:13:05.9933333+00:00

    Drogi Mariusz Gora,

    Mam nadzieję, że znajdziesz coś przydatnego w poniższym wyjaśnieniu i instrukcji. Jeśli pomoże ci to lepiej zrozumieć problem, wdzięczam się, że ostatecznie zaakceptujesz odpowiedź .

    Ten błąd oznacza, że agent Azure AD Connect Provisioning nie posiada certyfikatu uwierzytelniania, który jest niezbędny do bezpiecznej komunikacji z Azure AD. Certyfikat jest autopodpisany i generowany podczas instalacji agenta. Gdy jest brakujący lub uszkodzony, agent nie uruchamia się poprawnie, przez co jest niewidoczny w konfiguracji synchronizacji, mimo że usługi wydają się działać.

    Oto jak to rozwiązać:

    Krok 1: Zakończ wszystkie powiązane usługi

    Otwórz podwyższony PowerShell i uruchom:

    Stop-Service "Azure AD Connect Provisioning Agent" -force

    Stop-service "Azure AD Connect Provisioning Agent Updater" -force

    Krok 2: Sprawdź i wyczyść istniejące certyfikaty: Otwórz certlm.msc (Local Machine Certificate Manager). Przejdź do Osobistych > Certyfikatów. Szukaj certyfikatów z Emiter = "Azure AD Connect Provisioning Agent" lub z podmiotem zawierającym nazwę Twojej maszyny. Jeśli je znajdziesz, zanotuj odcisk kciuka i usuń wszystkie takie certyfikaty. Sprawdź też Trusted People oraz zewnętrzne urzędy certyfikacyjne dla osób trzecich pod kątem podobnych certyfikatów i usuń je.

    Krok 3: Zregeneruj certyfikat agenta

    Przejdź do katalogu instalacyjnego agenta (domyślnie: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent) w podwyższonym PowerShell i uruchom następująco:

    .\AADConnectProvisioningAgent.exe /GenerateNewCertificate

    Poczekaj na zakończenie komendy. Tworzy to nowy, podpisany certyfikat i instaluje go w sklepie Local Machine.

    Krok 4: Ponownie zarejestruj agenta w Azure AD

    Uruchom kreator konfiguracji agenta:

    .\AADConnectProvisioningAgent.exe /RegisterAgent

    Będziesz potrzebować:

    • Dane poświadczenia Administratora Globalnego lub Administratora Hybrydowej Tożsamości dla Twojego tenanta Azure AD.
    • Agent musi mieć dostęp https://enterpriseregistration.windows.net do innych punktów końcowych Azure.

    Krok 5: Wznow usługi i zweryfikowaj

    Start-Service "Azure AD Connect Provisioning Agent"

    Start-Service "Azure AD Connect Provisioning Agent Updater"

    Sprawdź logi zdarzeń w Event Viewer > logach aplikacji i usług > Azure AD Connect Provisioning Agent pod kątem zdarzeń sukcesu (Event ID 100). Agent powinien teraz pojawić się w konfiguracji synchronizacji Azure AD Connect.

    Jeśli problem się utrzyma: Całkowita reinstalacja

    1. Odinstaluj agenta przez Panel Sterowania.
    2. Ręcznie usuń katalog. C:\Program Files\Microsoft Azure AD Connect Provisioning Agent
    3. Wyczyść rejestr: Usuń klucz HKLM\SOFTWARE\Microsoft\Azure AD Connect Provisioning Agent (najpierw kopia zapasowa).
    4. Zrestartuj serwer.
    5. Pobierz najnowszego agenta z Azure Portal (Azure Active Directory > Azure AD Connect > Download agent).
    6. Przeinstaluj i skonfiguruj ponownie, używając danych uwierzytelniających administratora.

    Upewnij się, że zapora sieciowa pozwala agentowi komunikować się na portach 443 i 5671 z tymi punktami *.msappproxy.net końcowymi: , *.servicebus.windows.net, *.windows.net, login.windows.net, . enterpriseregistration.windows.net Agent używa Service Bus Relay do komunikacji, co wymaga wychodzącego HTTPS na porcie 443.

    Po ukończeniu tych kroków agent powinien być widoczny w konfiguracji synchronizacji w ciągu 5-10 minut. Jeśli błąd certyfikatu się utrzymuje, sprawdź C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Logs szczegółowe informacje o błędzie.

    Jeśli masz więcej pytań, śmiało zostaw wiadomość.

    VP

    0 komentarzy
  2. VPHAN 17,970 Punkty reputacji Niezależny doradca
    2025-12-10T07:35:42.2+00:00

    Cześć

    Piszę, aby sprawdzić, czy ręczne wygenerowanie certyfikatu agenta i ponowna rejestracja agenta rozwiązały błąd "Certyfikat nie znaleziony". Usuwając przestarzałe certyfikaty i uruchamiając /GenerateNewCertificate /RegisterAgent polecenia and, skutecznie zmuszasz agenta do utworzenia nowej tożsamości i ponownego nawiązania zaufania do backendu Entra ID (Azure AD). Jeśli te kroki przywróciły agenta do połączenia i uczyniły go widocznym w konfiguracji synchronizacji, prosimy o zaakceptowanie odpowiedzi. To potwierdzenie jest bardzo pomocne dla innych administratorów, którzy mogą napotkać ten scenariusz "niewidzialnego agenta".

    VP

    0 komentarzy

Twoja odpowiedź

Odpowiedzi mogą być oznaczone jako "Akceptowane" przez autora pytania oraz jako "Zalecane" przez moderatorów, co pomaga użytkownikom wiedzieć, że odpowiedź rozwiązała problem autora.