Solucionar problemas de conectividade do Microsoft Entra com o módulo ADConnectivityTool PowerShell

A ferramenta ADConnectivity é um módulo do PowerShell que é usado em um dos seguintes:

  • Durante a instalação, quando um problema de conectividade de rede impede a validação bem-sucedida das credenciais do Active Directory.
  • Pós-instalação por um usuário que chama as funções de uma sessão do PowerShell.

A ferramenta está localizada em: C:\Arquivos de Programas\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.

ADConnectivityTool durante a instalação

Na página Conectar diretórios, no Assistente do Microsoft Entra Connect, se ocorrer um problema de rede, o ADConnectivityTool usará automaticamente uma de suas funções para determinar o que está acontecendo. Os itens a seguir podem ser considerados um problema de rede:

  • O nome da floresta que o usuário forneceu foi digitado incorretamente ou a floresta não existe
  • A porta UDP 389 é fechada nos controladores de domínio associados à floresta que o usuário forneceu
  • As credenciais fornecidas na janela "Conta de floresta do AD" não têm privilégios para recuperar os controladores de domínio associados à floresta de destino
  • Qualquer uma das portas TCP 53, 88 ou 389 é fechada nos controladores de domínio associados à floresta que o usuário forneceu
  • UDP 389 e uma porta TCP (ou portas) estão fechadas
  • O DNS não pôde ser resolvido para a floresta fornecida e \ ou seus controladores de domínio associados

Sempre que qualquer um desses problemas for encontrado, uma mensagem de erro relacionada será exibida no Assistente Microsoft Entra Connect:

Erro

Por exemplo, quando estamos tentando adicionar um diretório na tela Conectar diretórios, o Microsoft Entra Connect precisa verificar isso e espera poder se comunicar com um controlador de domínio pela porta 389. Se não puder, veremos o erro mostrado na captura de tela.

O que está realmente acontecendo nos bastidores é que o Microsoft Entra Connect está chamando a função Start-NetworkConnectivityDiagnosisTools. Essa função é chamada quando a validação de credenciais falha devido a um problema de conectividade de rede.

Finalmente, um arquivo de log detalhado é gerado sempre que a ferramenta é chamada do assistente. O log está localizado em C:\ProgramData\AADConnect\ADConnectivityTool-<date>-<time>.log

ADConnectivityTools pós instalação

Após a instalação do Microsoft Entra Connect, qualquer uma das funções do módulo ADConnectivityTools PowerShell pode ser usada.

Você pode encontrar informações de referência sobre as funções na ADConnectivityTools Reference

Start-ConnectivityValidation

Vamos chamar essa função porque ela pode somente ser chamada manualmente depois que o ADConnectivityTool.psm1 for importado para o PowerShell.

Essa função executa a mesma lógica que o Assistente do Microsoft Entra Connect executa para validar as credenciais do AD fornecidas. No entanto, fornece uma explicação muito mais detalhada sobre o problema e uma solução sugerida.

A validação de conectividade consiste nas seguintes etapas:

  • Obter o objeto FQDN do domínio (nome de domínio totalmente qualificado)
  • Valide se, se o usuário selecionou "Criar nova conta do AD", essas credenciais pertencem ao grupo Administradores de empresas
  • Objeto FQDN floresta Get
  • Confirme se pelo menos um domínio associado ao objeto FQDN do Forest obtido anteriormente está acessível
  • Verifique se o nível funcional da floresta é o Windows Server 2003 ou superior.

O usuário poderá adicionar um Diretório se todas essas ações forem executadas com sucesso.

Se o usuário executar essa função, depois que um problema for resolvido (ou se não houver problema algum), a saída indicará que o usuário deve voltar ao Assistente do Microsoft Entra Connect e tentar inserir as credenciais novamente.

Próximas etapas