Azure AD Connect – Miroslav Šraga

Entra Troubleshooting: permission-issue error code 8344

Miroslav Šraga — Sun, 15 Sep 2024 15:10:18 +0000

Synchronizační služba Azure AD Connect (Entra AD Connect) nepřenáší (některé) objekty z Active Directory a zobrazuje chybu permission-issue. Po kliknutí na chybu se zobrazí: „Přístupová práva jsou nedostatečná k provedení operace“ s kódem chyby 8344. Když navíc kliknete na tlačítko „Log“, zobrazí se chyba „Nerozpoznaný formát GUID“.

Proč k tomu dochází a jaké je řešení? V tomto článku se dozvíte, jak opravit chybu Entra/Azure AD Connect permission-issue s kódem 8344.

Chyba: permission-issue

Error: permission-issue Connected data source error code: 8344
Connected data source error: Insufficient access rights to perform the operation.

Proč se tato chyba zobrazuje a jaké je řešení nedostatečných přístupových práv?

Způsoby řešení chyby 8344 Entra AD Connect

Účet konektoru Entra/Azure AD DS nemá k dispozici všechna oprávnění, a proto se v Entra/Azure AD Connect při exportu objektů AD zobrazí chybový kód 8344 permission-issue. Otázkou je, kde tato oprávnění chybí.

Pozor Entra / Azure AD Connect používá k synchronizaci informací mezi službou Windows Server Active Directory a Entra ID 3 účty.

AD DS Connector account: Čtení/zápis informací do služby Windows Server Active Directory
ADSync Service account: Spuštění synchronizační služby a přístup k databázi SQL
Azure AD Connector account: Zápis informací do služby Entra ID (Azure AD)

Způsob 1. Nastavení správných oprávnění pro účet konektoru služby AD DS

1. Spustťe aplikaci „Azure AD Connect„

2. Klikněte na tlačítko „Konfigurovat„

3. Klikněte na „Řešení potíží„

4. Klikněte na tlačítko „Další„

5. Klikněte na tlačítko „Spustit„

6. Spustí se nové PowerShell okno. V tomto okně zadejte 4 (Configure AD DS Connector Account Permissions) a stiskněte Enter

----------------------------------------AADConnect Troubleshooting------------------------------------------


        Enter '1' - Troubleshoot Object Synchronization
        Enter '2' - Troubleshoot Password Hash Synchronization
        Enter '3' - Collect General Diagnostics
        Enter '4' - Configure AD DS Connector Account Permissions
        Enter '5' - Test Azure Active Directory Connectivity
        Enter '6' - Test Active Directory Connectivity
        Enter 'Q' - Quit


        Please make a selection:

7. V dalším okně zadejte 12 (Set default AD Connector account permissions) a stiskněte Enter

--------------------------------------------Configure Permissions------------------------------------------


        Enter '1' - Get AD Connector account
        Enter '2' - Get objects with inheritance disabled
        Enter '3' - Set basic read permissions
        Enter '4' - Set Exchange Hybrid permissions
        Enter '5' - Set Exchange mail public folder permissions
        Enter '6' - Set MS-DS-Consistency-Guid permissions
        Enter '7' - Set password hash sync permissions
        Enter '8' - Set password writeback permissions
        Enter '9' - Set restricted permissions
        Enter '10' - Set unified group writeback permissions
        Enter '11' - Show AD object permissions
        Enter '12' - Set default AD Connector account permissions
        Enter '13' - Compare object read permissions when running in context of AD Connector account vs Admin account
        Enter 'B' - Go back to main troubleshooting menu
        Enter 'Q' - Quit


        Please make a selection:

8. V dalším okně potvrďte akci zadáním „Y“ a stiskněte Enter

This option will set permissions required for the following:
    Password Hash Sync
    Password Writeback
    Hybrid Exchange
    Exchange Mail Public Folder
    MsDsConsistencyGuid
It will then restrict permissions

Confirm
Would you like to continue with these options?
[Y] Yes  [N] No  [?] Help (default is "Y"):

9. V dalším okně zadejte „E“ (Existing Connector Account) a stiskněte Enter

Account to Configure
Would you like to configure an existing connector account or a custom account?
[E] Existing Connector Account  [C] Custom Account  [?] Help (default is "E"):

10. V okně se zobrazí název konektoru, forest a účet konektoru

11. Zadejte název konektoru (viz sloupec ADConnectorName) a stiskněte Enter

Name of the connector who's account to configure: xxx.cz

12. Zobrazí se požadavek na ověření účtem správce. Zadejte účet Administrátora místní domény

13. Povolte všechny následující požadavky o přidělení oprávnění. Přidělení oprávnění provedete tak, že u každého dotazu zadáte „A“ a stisknete Enter.

Grant Password Hash Synchronization permissions
Grant Password Writeback permissions
Grant Password Writeback permission for Unexpire Password extended right
Grant Exchange Hybrid permissions
Grant Exchange Mail Public Folder permissions
Grant mS-DS-ConsistencyGuid permissions
Set restricted permissions

14. Pokud jste potvrdili přidělení oprávnění ve všech 7 krocích, zavřete okno PowerShell a také okno Entra/Azure AD Connect

15. Spusťe PowerShell s zadejte příkaz pro plnou (iniciání) synchronizaci

Start-ADSyncSyncCycle -PolicyType Initial

16. Počkejte několik minut, než bude synchronizace dokončena.

17. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.

Pokud se chyba stále opakuje, pokračujde dál v tomto návodu.

Způsob 2. msDS-KeyCredentialLink

V některých případech se mi stalo, že chyba „permission-issue“ se vyskytovala jen u těch uživatelů, kterým se změnila hodnota Active Directory atributu msDS-KeyCredentialLink.

Atribut msDS-KeyCredentialLink se v Active Directory používá k ukládání pověření veřejného klíče přidruženého k objektu počítače nebo uživatele. Tento atribut je důležitý zejména pro scénáře zahrnující Windows Hello for Business a další metody ověřování založené na veřejných klíčích.

Upozornění Funkce Windows Hello pro firmy je vázána mezi uživatelem a zařízením. Uživatel i zařízení musí být synchronizovány mezi Microsoft Entra ID a Active Directory. Zpětný zápis zařízení se používá k aktualizaci atributu msDS-KeyCredentialLink na objektu počítače.

V případě, že používáte zpětný zápis do Active Directory (Writeback), může problém vyřešit, když účet AADSync přidáte do skupiny „Enterprise Key Admins„.

Relevantní zdroje:

Upozornění V internetových diskusích najdete doporučení přidat účet konektoru (MSOL_xxx) do AD skupiny Administrators. Toto řešení může být funkční, avšak do zbytečného přidělování takto vysokých oprávnění bych se nepouštěl.

Po nastavení oprávnění znovu spusťte synchronizaci.

Start-ADSyncSyncCycle -PolicyType Initial

Způsob 3. Udělení individuálních oprávnění

Setkal jsem se případy, kdy byl (po nespecifikovaném zásahu do Active Directory) znemožněn přístup k některým objektům z důvodu chybějícího oprávnění (opravdu per AD objekt). Viděl jsem to zejména v případech, kdy došlo k re-instalaci nebo aktualizaci Entra Connect a byl znovu vytvořen další účet pro synchrnonizaci (MSOL_xxx).

V takovém případě postupujte následujícím způsobem:

1. Spusťte „Entra/Azure AD Connect„

2. Klikněte na tlačítko „Konfigurovat„

3. Vyberte možnost „Zobrazit nebo exportovat aktuální konfiguraci“ a klikněte na tlačítko „Další„

4. Podívejte se, pod jakým účtem se spouští konektor a tento účet si zapamatujte nebo poznačte

5. Okno Entra Connect zavřete kliknutím na tlačítko „Konec„

6. Otevřete si „Active Directory Users and Coputers / Uživatelé a počítače služby Active Directory„

7. Klikněte na menu „Zobrazit“ a aktivujte volbu „Upřesňující funkce„

8. Najděte objekt (uživatele), u kterého se zobrazuje chyba 8344 permission-issue a rozklikněte jeho vlastnosti

9. Přejděte na kartu „Zabezpečení„

10. Zkontrolujte, jaké účty MSOL_xxx mají oprávnění na objekt uživatele a zkontrolujte, zda-li je přidělen správný účet. Ověřte, zda-li je zde uveden účet, který jste si poznačili v kroku 4.

11. Klikněte na tlačítko „Přidat„

12. Do pole „Název objektu“ zadejte „MSOL„

13. klikněte na tlačítko „Kontrola názvů„

14. Pokud se zobrazí okno s více účty, znamená to, že při re-instalaci nebo aktualizaci došlo k vytvoření dalšího účtu. vybere účet, který jste si poznamenali v kroku 4

15. Klikněte na tlačítko „OK„

16. Volbu opět potvrďte kliknutím na tlačítko „OK„

17. Oprávnění pro nově přidaný účet nastavte stejně, jak jsou nastavena u původního účtu – klikněte na tlačítko „Upřesnit„

18. Vyberte jakýkoliv záznam, který odpovídá účtu z kroku 4 (MSOL_xxx) a klikněte na tlačítko „Upravit„

19. V následujícím okne vyberte tato oprávnění:

Read all properties
Write all properties
Read msDS-OperationsForAzTaskBL
Read msDS-parentdistname

20. Nastavení potvrďte kliknutím na tlačítko „OK„

21. Vlastnosti uživatele také zavřete kliknutím na tlačítko „OK„

22. Po nastavení oprávnění znovu spusťte synchronizaci.

Start-ADSyncSyncCycle -PolicyType Initial

23. Počkejte několik minut, než bude synchronizace dokončena.

24. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.

Relevantní zdroje:

Další kroky

Pokud nasazujete Microsoft Entra Connect, poprvé, mohou se vám hodit následující informace:

Jak synchronizovat on-prem AD účty s existujícími účty v Entra ID

Miroslav Šraga — Sun, 11 Feb 2024 18:16:35 +0000

Máte stávající uživatele Entra ID (Azure AD), kteří používají Office 365 a potřebujete je synchronizovat s místní službou Active Directory? Nebo naopak, potřebujete stávající uživatele v Active Directory propojit s již existujícími uživateli v Microsoft 365?

V tomto návodu ukážu postup, jak synchronizovat místní uživatele AD se stávajícími uživateli Entra ID / Azure AD.

Výchozí stav

V tomto případě mám již existující uživatele v místní Active Directory:

V Microsoft 365 mám stejné 2 uživatele, kteří jsou nyní v režimu Cloud Only (Sync status = In cloud)

Tyto uživatele bych rád propojil. Důvod je prostý, mít jeden uživatelský účet pro daného zaměstnance, tedy jeden login, jedno heslo, propojená identita.

Pokud propojení provedu špatně, uživatelské účty budu mít v Microsoft 365 2x. Jeden účet zůstane ten stávající a druhý účet vznikne duplicitní, již propojený na uživatele v Active Directory.

Soft match nebo Hard match?

Existují dvě možnosti, jak existující účty v Active Directory propojit s uživateli v cloudu.

Soft Match

Jedná se metodu, která je založena na přesné shodě e-mailu, userPrincipalName a proxyAddress.
Tato možnost se snáze implementuje, pokud máte hodně uživatelů, které potřebjete synchronizovat s Azure.
Nevýhodou je, že tato metoda může být za určitých okolností méně spolehlivá. Je to dáno zejména případy, kdy nemáte v Active Directory zrovna pořádek, nebo máte pozůstatky po akcích typu „Metoda pokus – omyl“

Hard Match

Jedná se metodu, která používá tzv. Immutable ID (neměnné ID) uživatele, které slouží jako propojovací prvek
Metoda vyžaduje několik kroků a implementace pro více uživatelů může být složitější
Je založena na přesné shodě ID, tedy jedná se o vysoce přesnou metodu

Pozor Níže uvedené kroky doporučuji provést před samotným spuštěním synchronizace pomocí AD sync / Entra Connect. Pokud začnete synchronizovat dříve, pravděporobně dojde ke zdvojení účtů v Entra ID.

Synchronizace uživatelů z Active Directory pomocí Soft Match

U každého místního uživatelského účtu budete muset upravit následující tři atributy v místní Active Directory

UserPrincipalName (přihlašovací jméno)
E-mail
proxyAddresses

1. Sjednocení UPN (UserPrincipalName)

UserPrinicpalName místního účtu Active Directory se musí shodovat s uživatelským jménem účtu Microsoft 365.

Například uživatelské jméno uživatele „Tomáš Marný Soft Match“ je tomasmarny@domena.cz.

V Microsoft 365 Admin centru lze UPN nastavit v sekci Uživatelé – Aktivní uživatelé a následně otevřít detail uživatele.

V místní Active Directory se UPN nastaví pomocí nástroje ADUC (Active Directory Users and Computers), ve kterém je potřeba otevřít vlastnosti uživatele (Properties) a jít do záložky Účet (Account)

Uživatelská jména se musí v obou případech shodovat

2. Nastavení parametru E-mail

E-mail místního uživatelského účtu se musí shodovat s účtem v Microsoft 365. Ve vlastnostech uživatele klikněte na kartu General (Obecné) a vyplňte pole E-mail.

3. Nastavení atributu proxyAddresses

Klikněte na záložku editoru atributů a poté najděte atribut proxyAddresses. Přidejte primární adresu SMTP pomocí velkého SMTP.

Pokud má uživatel aliasy, přidejte je také.

Pamatuje si SMTP (velká písmena) je primární e-mailová adresa a smtp (malá písmena) jsou aliasy.

4. Vynucení synchronizace

Pokud jste si jisti, že máte všechny tři parametry nastaveny správně, můžete ručně spustit synchronizaci. Pokud jste před touto akcí přepnuli Entra Connect to Staging mode, tak jej vypněte.

Pokud Entra Connect (dříve AD Connect) ještě nemáte nainstalovaný, nyní jej můžeze nainstalovat a spustit.

Synchonizaci ručně spustíte pomocí PowerShell příkazu, který spustíte na serveru, na kterém je Entra Connect nainstalován.

Start-ADSyncSyncCycle -PolicyType Delta

Jakmile synchronizace proběhne, je potřeba zkontrolvat, jak naše snažení dopadlo. Kontrolu provedeme pomocí Azure AD Connect Synchronization Service Manager, který se nachází na serveru, na kterém je Entra Connect nainstalován.

Nejprve zkontrolujte, zda byl objekt synchronizován a nevyskytly se žádné chyby.

Klikněte na Distinguished Name a pak Properties

Ověřte synchronizované údaje a hlavně zkontrolujte, že byla nastavena hodnota atributu sourceAnchor.

Poslední co zbývá, je provést kontrolu v Microsoft 365 Admin Centru.

Než přejdete do centra pro správu Microsoft 365 a zkontrolujete stav synchronizace, je dobré počkat přibližně 5-10 minut, než se změny projeví.

Centrum pro správu Microsoft 365 zobrazuje stav synchronizace jako Synced from on-premises (synchronizovaný z místního prostředí).

Funguje to. Účet „Tomáš Marný Soft Match“ se nyní zobrazuje jako synchronizovaný z místní Active Directory.

Je potřeba myslet na to, že tato metoda ne vždy funguje a ke případnému zdvojení účtů může docházet. Jedinou možností, jak toto riziko eliminovat je použití metody Hard Match.

Synchronizace uživatelů z Active Directory pomocí Hard Match

Pokud metoda Soft Match nefunguje, budete muset použít metodu Hard Match.

Metoda Hard Match spočívá v nastavení immutableID v Azure AD (Entra ID) na stejnou hodnotu jako on-prem objectGUID.

Upozornění I ikdyž nastavíte immutableID, měli byste se i tak ujistit, že místní AD používá stejné userPrincipalName a e-mailovou adresu jako cloudový účet.

1. Získání ObjectGUID pro uživatelský účet v místní Active Directory

Spusťte PowerShell jako správce a použijte příkaz Get-ADUser, abyste získali objectGUID uživatele.

Get-ADUser "prokop.buben" | fl UserPrincipalName,objectGUID

# nebo můžete hledat podle UserPrincipalName
Get-ADUser -Filter { UserPrincipalName -eq "prokop.buben@domena.cz" } | fl UserPrincipalName, objectGUID

Poznámka Hodnota v lokálním Active Directory je GUID, zatímco Microsoft Entra ID používá textový řetězec zakódovaný v base64. Pro porovnání objectGUID a immutableID je tedy potřeba provést konverzi.

2. Konverze objectGUID řetezec kódovaný base64

#v závorce je objectGUID
[Convert]::ToBase64String([guid]::New("cbb75926-b4bc-xxxx-xxxxc-xxxxx113904aa").ToByteArray())

Výstupem z výše uvedeného příkladu bude takový řetězec:

Jlm3y7y0bXXXXXXXXTkEqg==

Další užitečné příkazy, které nejsou nutné pro tento postup, ale obecně by se mohly hodit:

# konverze z immutableID na objectGUID
[GUID][system.convert]::FromBase64String("Jlm3y7y0bXXXXXXXXTkEqg==")

# Získání immutableID z EntraID pomocí MS Graph
Connect-MgGraph -Scopes "User.ReadWrite.All"

Get-MgUser -UserId "prokop.buben@domena.cz" -Property OnPremisesImmutableId, UserPrincipalName | fl UserPrincipalName, OnPremisesImmutableId

3. Uložení base64 řetězce do Entra ID

Připojte se k Entra ID pomocí PowerShell

# pokud ještě nemáte nainstalovaný modul MSOnline, použijte příkaz níže
Install-Module MSOnline

# připojení k EntraID
Connect-MsolService

Získání aktuální hodnoty ImmutableID

Get-Msoluser -UserPrincipalName prokop.buben@domena.cz | Select-Object ImmutableId

Pokud immutableID obsahuje hodnotu, je potřeba tuto hodnotu porovnat s hodnotou, kterou jsme získali konverzí objectGUID do base64 formátu.

V mém případě je hodnota immutableID prázdná, což je v pořádku.

4. Nastavení hodnoty immutableID pro účet v Entra ID

Pomocí příkazu níže uložte hodnotu immutableID. Jedná se o hodnotu (řetězec), který byl získán konverzí v bodu 2.

Set-MsolUser -UserPrincipalName prokop.buben@domena.cz -ImmutableId Jlm3y7y0bXXXXXXXXTkEqg==

Pomocí příkazu Get-MsolUser proveďte zpětnou kontrolu

Poud je hodnota immutableID uložena, nezbývá nic jiného, než spustit synchronizaci a nastavení otestovat.

Pokud Entra Connect (dříve AD Connect) ještě nemáte nainstalovaný, nyní jej můžeze nainstalovat a spustit.

Synchonizaci ručně spustíte pomocí PowerShell příkazu, který spustíde na serveru, na kterém je Entra Connect nainstalován.

Start-ADSyncSyncCycle -PolicyType Delta

A stejně jako u metody Soft Match, zbývá provést kontrolu v Microsoft 365 Admin Centru.

Než přejdete do centra pro správu Microsoft 365 a zkontrolujete stav synchronizace, je dobré počkat přibližně 5-10 minut, než se změny projeví.

Centrum pro správu Microsoft 365 zobrazuje stav synchronizace jako Synced from on-premises (synchronizovaný z místního prostředí).

Povedlo se. Účet v místní Active Directory se úspěšně propojil s účtem v Entra ID.

Tento postup je poněkud složitější, ale spolehlivější. Určitě je mnoho způsobů, jak přenos konvertované hodnoty objectGUID do EntraID, například pomocí proměnných a cyklu nebo exportem do CSV a následným importem. Každý si jistě poradí, jak nejlépe umí.

Závěrem

Rád bych ještě zmínil, že v postupu zmíňuji modul MSOnline (verze 1) avšak Microsoft doporučuje použití PowerShell modulu Azure Active Directory V2.

Pokud vám tento návod pomohl, budu rád, když jej budete sdílet dál nebo se podívejte třeba na to, jak přesunout AD Connect na nový server.

Entra AD Connect – přesun na nový server

Wed, 07 Feb 2024 09:45:05 +0000

S dříve publikovaným článkem (Entra AD Sync (Azure AD Sync) – In-place upgrade) souvisí jedna věc. Verze operačních systémů, které Entra Connect V2 podporuje. Oproti Azure AD Connect došlo k některým změnám v podpoře a s tím u mnohých klientů souvisí potřeba přesunu Entra Connect na nový server.

V tomto videu je zaznamenán postup, jak ze starého serveru přesunout Microsoft Entra Connect na server nový.

Migrace probíhala z Azure AD Connect verze 1.6 na nový Microsoft Entra Connect V2.

Entra Connect V2: Podpora a hlavní změny

Toto je upozornění Služba Azure AD Connect V1 byla k 31. srpnu 2022 vyřazena a již není podporována. Instalace Azure AD Connect V1 může neočekávaně přestat fungovat. Pokud stále používáte Azure AD Connect V1, musíte provést upgrade nebo zvážit přechod na Microsoft Entra Cloud Sync.

Systémy Windows Server 2012 a Windows Server 2012 R2 již nejsou podporovány.

SQL Server 2019 vyžaduje jako serverový operační systém Windows Server 2016 nebo novější. Vzhledem k tomu, že Microsoft Entra Connect v2 obsahuje komponenty SQL Serveru 2019, nejsou již podporovány starší verze Windows Server.

SQL Server 2019 LocalDB

Předchozí verze Microsoft Entra Connect byly dodávány s SQL Server 2012 LocalDB. Verze V2.0 se dodává s SQL Server 2019 LocalDB, která slibuje vyšší stabilitu a výkon a obsahuje několik oprav chyb souvisejících se zabezpečením. SQL Server 2012 ukončila rozšířenou podporu v červenci 2022.

Visual C++ Redist 14

SQL Server 2019 vyžaduje prostředí Visual C++ Redist 14. Tento Redistributable je nainstalován spolu s balíčkem Microsoft Entra Connect V2, takže pro aktualizaci prostředí C++ nemusíte podnikat žádné kroky.

TLS 1.2

Protokoly TLS1.0 a TLS 1.1 jsou považovány za nebezpečné. Společnost Microsoft je vyřazuje. Tato verze Microsoft Entra Connect podporuje pouze protokol TLS 1.2. Všechny verze systému Windows Server, které jsou podporovány pro Microsoft Entra Connect V2, již standardně používají protokol TLS 1.2. Pokud váš server nepodporuje protokol TLS 1.2, budete jej muset před nasazením aplikace Microsoft Entra Connect V2 povolit.

PowerShell 5.0

Tato verze Microsoft Entra Connect obsahuje několik rutin, které vyžadují PowerShell 5.0, takže tento požadavek je novou podmínkou pro Microsoft Entra Connect.

Požadavky na Active Directory

Verze schématu služby Active Directory a funkční úroveň doménové struktury musí být Windows Server 2003 nebo novější.
Řadiče domény mohou používat libovolnou verzi, pokud jsou splněny požadavky na verzi schématu a úroveň doménové struktury. Pokud potřebujete provozovat Active Dorectory se systémem Windows Server 2016 nebo starším, může být zapotřebí placený program podpory.
Řadič domény používaný nástrojem Microsoft Entra ID musí být zapisovatelný. Použití řadiče domény pouze pro čtení (RODC) není podporováno.
Používání lokálních doménových struktur nebo domén pomocí „tečkovaných“ (název obsahuje tečku „.“) názvů NetBIOS není podporováno.
Doporučuje se povolit koš služby Active Directory.

Užitečné odkazy

Entra AD Sync (Azure AD Sync) – In-place upgrade + Health Agent

Wed, 07 Feb 2024 09:35:56 +0000

V posledním týdnu se mi ozvalo několik klientů, kterým přestala fungovat synchronizace. Ve všech případech se jednalo to problém staré verze AD Connect, kdy Microsoft oznámil, že v říjnu 2023 již nebude staré verze podporovat a evidentně v posledních dnech a týdnech začal podporu zastaralých aplikací také skutečně vypínat.

V tomto návodu krok po kroku ukazuji, jak

provést inplace upgrade na poslední verzi Entra AD Sync
zkontrolovat stav synchronizace
zkontrolovat stav Health Agenta
registrace Healts agenta
ruční spuštění rozdílové synchronizace (Delta )

Informace Synchronizace přestane fungovat 1. října 2023 pro všechny zákazníky, kteří stále používají Microsoft Entra Connect V1 (a starší AD Connect). Zákazníci používající cloudovou synchronizaci Microsoft Entra Connect nebo Microsoft Entra Connect V2 zůstanou plně funkční bez nutnosti jakékoli akce.

Toto je upozornění In-place funguje při přechodu z Azure AD Sync nebo Microsoft Entra Connect. Nefunguje při přechodu z DirSync.

Tato metoda je vhodná, pokud máte jeden server a méně než 100 000 objektů. Pokud používáte vlastní pravidla pro synchronizaci, doporučuji udělat jejich zálohu, neboť upgrade může tato pravidla resetovat do výchozího nastavení.

Užitečné příkazy pro Azure AD Connect / Entra connect

Wed, 07 Feb 2024 09:14:49 +0000

Zjištění aktuální verze AD Connect / Entra Connect

				
					(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).Value

Ruční spuštění rozdílové synchronizace

				
					Start-ADSyncSyncCycle -PolicyType Delta

Vynucení kompletní synchronizace (full sync)

Plnou synchronizaci služby provádějte jen zřídka. Úplná synchronizace služby Entra ID (Azure AD) trvá dlouho, protože prochází všechny objekty služby Active Directory a znovu je synchronizuje. Snad jediným případem použití, kdy je třeba provést úplnou synchronizaci, je změna konfigurace služby Entra Connect (Azure AD Connect).

Nicméně v případě, že opravdu chcete spustit úplnou synchronizaci, použijte tento příkaz:

				
					Start-ADSyncSyncCycle -PolicyType Initial

Zobrazení stavu a nastavení plánovače

				
					Get-ADSyncScheduler

Kontrola integrace Entra Connect Health Agent

				
					Test-AzureADConnectHealthConnectivity -Role Sync

Test-AzureADConnectHealthConnectivity -Role ADDS

Test-AzureADConnectHealthConnectivity -Role Sync -ShowResult

Ruční registrace Microsoft Entra Connect Health agent

Pozor Tento příkaz použít pouze, pokud registrace agenta (při instalaci Microsoft Entra Connect) skončí chybou.

				
					Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

Jedná se o ruční registraci agenta Microsoft Entra Connect Health pro synchronizaci. Po úspěšné registraci agenta se spustí služby Microsoft Entra Connect Health.

AttributeFiltering: $true (výchozí), pokud Microsoft Entra Connect nesynchronizuje výchozí sadu atributů a byl přizpůsoben tak, aby používal filtrovanou sadu atributů. V opačném případě použijte $false.

StagingMode: $false (výchozí), pokud server Microsoft Entra Connect není v režimu staging. Pokud je server nakonfigurován tak, aby byl v režimu staging, použijte $true.

Dokumentace: https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-health-agent-install#manually-register-microsoft-entra-connect-health-for-sync

Zapnutí / vypnutí Staging mode

				
					# Načtení parametrů nastavení
$AADSyncGlobalSettings=Get-ADSyncGlobalSettings

# zobrazit parametry
$AADSyncGlobalSettings.parameters

# vypnout Staging mode
($AADSyncGlobalSettings.parameters | ?{$_.name -eq "Microsoft.Synchronize.StagingMode"}).value="False"

# zapnout Staging mode
($AADSyncGlobalSettings.parameters | ?{$_.name -eq "Microsoft.Synchronize.StagingMode"}).value="True"

# Uložit nastavení !!!
Set-ADSyncGlobalSettings $AADSyncGlobalSettings

Změna plánu synchronizace

Výchozí nastavení synchronizace je 30 minut. Změny času synchronizace služby Entra Connect se provádějí pomocí příkazu Set-ADSyncScheduler.

Je však důležité si uvědomit, že pro plán synchronizace existují horní a dolní limity. Například plán synchronizace musí být spuštěn alespoň jednou za 7 dní. Kromě toho se synchronizační cyklus spouští pouze jednou za 30 minut. Nyní, s ohledem na tato omezení, použijme rutinu Set-ADSyncScheduler ke změně plánu na cyklus např. jednou za 2 hodiny:

				
					# Spusteni kazde 3 hodiny
Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00

# Spusteni 1x denne
Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0

#Syntaxe: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
#d - dny, HH - hodiny, mm - minuty, ss - sekundy

Vypnutí a zapnutí synchronizace

				
					# Vypnuti synchronizace
Set-ADSyncScheduler -SyncCycleEnabled $false

# Zapnuti synchronizace
Set-ADSyncScheduler -SyncCycleEnabled $true

Deletion trehsold exceeded

Pokud při synchronizaci narazíte na problém, že se nemažou z Entra ID staré objekty, které se již nemjí synchronizovat, podívejte se do Synchronization Service Manager, zda-li náhodou neuvidíte ve sloupci Status informaci „stopped-deletion-treshold-exceeded„. Tato chyba značí, že se synchronizační proces szaží z Entra ID odebrat větší množství objektů, než je jeho limit. Toto lze vyřešit pomocí těchto příkazů:

				
					# Zjisteni aktualniho limitu
Get-ADSyncExportDeletionThreshold


# Vypnuti limitu
Disable-ADSyncExportDeletionThreshold

# Opetovne zapnuti limitu
Enable-ADSyncExportDeletionThreshold -ThresholdCount 500