Solucionar problemas de conectividade do Microsoft Entra com o módulo PowerShell ADConnectivityTool
A ferramenta ADConnectivity é um módulo do PowerShell usado em um dos seguintes:
- Durante a instalação, quando um problema de conectividade de rede impede a validação bem-sucedida das credenciais do Ative Directory.
- Pós-instalação por um usuário que chama as funções de uma sessão do PowerShell.
A ferramenta está localizada em: C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1.
ADConnectivityTool durante a instalação
Na página Conectar seus diretórios, no Assistente do Microsoft Entra Connect, se ocorrer um problema de rede, o ADConnectivityTool usará automaticamente uma de suas funções para determinar o que está acontecendo. Os seguintes itens podem ser considerados problemas de rede:
- O nome da Floresta fornecida pelo usuário foi digitado incorretamente ou disse que a Floresta não existe
- A porta UDP 389 é fechada nos Controladores de Domínio associados à Floresta fornecida pelo usuário
- As credenciais fornecidas na janela 'Conta de floresta do AD' não têm privilégios para recuperar os Controladores de Domínio associados à Floresta de destino
- Qualquer uma das portas TCP 53, 88 ou 389 são fechadas nos controladores de domínio associados à floresta fornecida pelo usuário
- Tanto a UDP 389 como uma porta TCP (ou portas) estão fechadas
- Não foi possível resolver o DNS para a Floresta fornecida e\ou seus Controladores de Domínio associados
Sempre que qualquer um desses problemas são encontrados, uma mensagem de erro relacionada é exibida no Assistente do Microsoft Entra Connect:
Por exemplo, quando estamos tentando adicionar um diretório na tela Conectar seus diretórios, o Microsoft Entra Connect precisa verificar isso e espera ser capaz de se comunicar com um controlador de domínio pela porta 389. Se não for possível, veremos o erro mostrado na captura de tela.
O que realmente está acontecendo nos bastidores, é que o Microsoft Entra Connect está chamando a Start-NetworkConnectivityDiagnosisTools função. Esta função é chamada quando a validação de credenciais falha devido a um problema de conectividade de rede.
Finalmente, um arquivo de log detalhado é gerado sempre que a ferramenta é chamada do assistente. O log está localizado em C:\ProgramData\AADConnect\ADConnectivityTool-date-time<<>>.log
ADConnectivityTools pós-instalação
Após a instalação do Microsoft Entra Connect, qualquer uma das funções no módulo PowerShell ADConnectivityTools pode ser usada.
Você pode encontrar informações de referência sobre as funções no ADConnectivityTools Reference
Start-ConnectivityValidation
Vamos chamar essa função porque ela só pode ser chamada manualmente depois que o ADConnectivityTool.psm1 tiver sido importado para o PowerShell.
Esta função executa a mesma lógica que o Assistente do Microsoft Entra Connect executa para validar as credenciais do AD fornecidas. No entanto, fornece uma explicação muito mais verbosa sobre o problema e uma solução sugerida.
A validação da conectividade consiste nos seguintes passos:
- Obter o objeto FQDN (nome de domínio completamente qualificado) do Domínio
- Validar que, se o utilizador tiver selecionado "Criar nova conta do AD", estas credenciais pertencem ao grupo Administradores do Enterprise
- Obter o objeto FQDN da Floresta
- Confirmar que, pelo menos, um domínio associado ao objeto FQDN da Floresta obtido anteriormente está acessível
- Verifique se o nível funcional da floresta é o Windows Server 2003 ou superior.
O utilizador poderá adicionar um Diretório se todas estas ações forem executadas com êxito.
Se o usuário executar essa função, depois que um problema for resolvido (ou se nenhum problema existir), a saída indicará para o usuário voltar para o Assistente do Microsoft Entra Connect e tentar inserir as credenciais novamente.