Entra Connect – Miroslav Šraga

Entra Troubleshooting: permission-issue error code 8344

Miroslav Šraga — Sun, 15 Sep 2024 15:10:18 +0000

Synchronizační služba Azure AD Connect (Entra AD Connect) nepřenáší (některé) objekty z Active Directory a zobrazuje chybu permission-issue. Po kliknutí na chybu se zobrazí: „Přístupová práva jsou nedostatečná k provedení operace“ s kódem chyby 8344. Když navíc kliknete na tlačítko „Log“, zobrazí se chyba „Nerozpoznaný formát GUID“.

Proč k tomu dochází a jaké je řešení? V tomto článku se dozvíte, jak opravit chybu Entra/Azure AD Connect permission-issue s kódem 8344.

Chyba: permission-issue

Error: permission-issue Connected data source error code: 8344
Connected data source error: Insufficient access rights to perform the operation.

Proč se tato chyba zobrazuje a jaké je řešení nedostatečných přístupových práv?

Způsoby řešení chyby 8344 Entra AD Connect

Účet konektoru Entra/Azure AD DS nemá k dispozici všechna oprávnění, a proto se v Entra/Azure AD Connect při exportu objektů AD zobrazí chybový kód 8344 permission-issue. Otázkou je, kde tato oprávnění chybí.

Pozor Entra / Azure AD Connect používá k synchronizaci informací mezi službou Windows Server Active Directory a Entra ID 3 účty.

AD DS Connector account: Čtení/zápis informací do služby Windows Server Active Directory
ADSync Service account: Spuštění synchronizační služby a přístup k databázi SQL
Azure AD Connector account: Zápis informací do služby Entra ID (Azure AD)

Způsob 1. Nastavení správných oprávnění pro účet konektoru služby AD DS

1. Spustťe aplikaci „Azure AD Connect„

2. Klikněte na tlačítko „Konfigurovat„

3. Klikněte na „Řešení potíží„

4. Klikněte na tlačítko „Další„

5. Klikněte na tlačítko „Spustit„

6. Spustí se nové PowerShell okno. V tomto okně zadejte 4 (Configure AD DS Connector Account Permissions) a stiskněte Enter

----------------------------------------AADConnect Troubleshooting------------------------------------------


        Enter '1' - Troubleshoot Object Synchronization
        Enter '2' - Troubleshoot Password Hash Synchronization
        Enter '3' - Collect General Diagnostics
        Enter '4' - Configure AD DS Connector Account Permissions
        Enter '5' - Test Azure Active Directory Connectivity
        Enter '6' - Test Active Directory Connectivity
        Enter 'Q' - Quit


        Please make a selection:

7. V dalším okně zadejte 12 (Set default AD Connector account permissions) a stiskněte Enter

--------------------------------------------Configure Permissions------------------------------------------


        Enter '1' - Get AD Connector account
        Enter '2' - Get objects with inheritance disabled
        Enter '3' - Set basic read permissions
        Enter '4' - Set Exchange Hybrid permissions
        Enter '5' - Set Exchange mail public folder permissions
        Enter '6' - Set MS-DS-Consistency-Guid permissions
        Enter '7' - Set password hash sync permissions
        Enter '8' - Set password writeback permissions
        Enter '9' - Set restricted permissions
        Enter '10' - Set unified group writeback permissions
        Enter '11' - Show AD object permissions
        Enter '12' - Set default AD Connector account permissions
        Enter '13' - Compare object read permissions when running in context of AD Connector account vs Admin account
        Enter 'B' - Go back to main troubleshooting menu
        Enter 'Q' - Quit


        Please make a selection:

8. V dalším okně potvrďte akci zadáním „Y“ a stiskněte Enter

This option will set permissions required for the following:
    Password Hash Sync
    Password Writeback
    Hybrid Exchange
    Exchange Mail Public Folder
    MsDsConsistencyGuid
It will then restrict permissions

Confirm
Would you like to continue with these options?
[Y] Yes  [N] No  [?] Help (default is "Y"):

9. V dalším okně zadejte „E“ (Existing Connector Account) a stiskněte Enter

Account to Configure
Would you like to configure an existing connector account or a custom account?
[E] Existing Connector Account  [C] Custom Account  [?] Help (default is "E"):

10. V okně se zobrazí název konektoru, forest a účet konektoru

11. Zadejte název konektoru (viz sloupec ADConnectorName) a stiskněte Enter

Name of the connector who's account to configure: xxx.cz

12. Zobrazí se požadavek na ověření účtem správce. Zadejte účet Administrátora místní domény

13. Povolte všechny následující požadavky o přidělení oprávnění. Přidělení oprávnění provedete tak, že u každého dotazu zadáte „A“ a stisknete Enter.

Grant Password Hash Synchronization permissions
Grant Password Writeback permissions
Grant Password Writeback permission for Unexpire Password extended right
Grant Exchange Hybrid permissions
Grant Exchange Mail Public Folder permissions
Grant mS-DS-ConsistencyGuid permissions
Set restricted permissions

14. Pokud jste potvrdili přidělení oprávnění ve všech 7 krocích, zavřete okno PowerShell a také okno Entra/Azure AD Connect

15. Spusťe PowerShell s zadejte příkaz pro plnou (iniciání) synchronizaci

Start-ADSyncSyncCycle -PolicyType Initial

16. Počkejte několik minut, než bude synchronizace dokončena.

17. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.

Pokud se chyba stále opakuje, pokračujde dál v tomto návodu.

Způsob 2. msDS-KeyCredentialLink

V některých případech se mi stalo, že chyba „permission-issue“ se vyskytovala jen u těch uživatelů, kterým se změnila hodnota Active Directory atributu msDS-KeyCredentialLink.

Atribut msDS-KeyCredentialLink se v Active Directory používá k ukládání pověření veřejného klíče přidruženého k objektu počítače nebo uživatele. Tento atribut je důležitý zejména pro scénáře zahrnující Windows Hello for Business a další metody ověřování založené na veřejných klíčích.

Upozornění Funkce Windows Hello pro firmy je vázána mezi uživatelem a zařízením. Uživatel i zařízení musí být synchronizovány mezi Microsoft Entra ID a Active Directory. Zpětný zápis zařízení se používá k aktualizaci atributu msDS-KeyCredentialLink na objektu počítače.

V případě, že používáte zpětný zápis do Active Directory (Writeback), může problém vyřešit, když účet AADSync přidáte do skupiny „Enterprise Key Admins„.

Relevantní zdroje:

Upozornění V internetových diskusích najdete doporučení přidat účet konektoru (MSOL_xxx) do AD skupiny Administrators. Toto řešení může být funkční, avšak do zbytečného přidělování takto vysokých oprávnění bych se nepouštěl.

Po nastavení oprávnění znovu spusťte synchronizaci.

Start-ADSyncSyncCycle -PolicyType Initial

Způsob 3. Udělení individuálních oprávnění

Setkal jsem se případy, kdy byl (po nespecifikovaném zásahu do Active Directory) znemožněn přístup k některým objektům z důvodu chybějícího oprávnění (opravdu per AD objekt). Viděl jsem to zejména v případech, kdy došlo k re-instalaci nebo aktualizaci Entra Connect a byl znovu vytvořen další účet pro synchrnonizaci (MSOL_xxx).

V takovém případě postupujte následujícím způsobem:

1. Spusťte „Entra/Azure AD Connect„

2. Klikněte na tlačítko „Konfigurovat„

3. Vyberte možnost „Zobrazit nebo exportovat aktuální konfiguraci“ a klikněte na tlačítko „Další„

4. Podívejte se, pod jakým účtem se spouští konektor a tento účet si zapamatujte nebo poznačte

5. Okno Entra Connect zavřete kliknutím na tlačítko „Konec„

6. Otevřete si „Active Directory Users and Coputers / Uživatelé a počítače služby Active Directory„

7. Klikněte na menu „Zobrazit“ a aktivujte volbu „Upřesňující funkce„

8. Najděte objekt (uživatele), u kterého se zobrazuje chyba 8344 permission-issue a rozklikněte jeho vlastnosti

9. Přejděte na kartu „Zabezpečení„

10. Zkontrolujte, jaké účty MSOL_xxx mají oprávnění na objekt uživatele a zkontrolujte, zda-li je přidělen správný účet. Ověřte, zda-li je zde uveden účet, který jste si poznačili v kroku 4.

11. Klikněte na tlačítko „Přidat„

12. Do pole „Název objektu“ zadejte „MSOL„

13. klikněte na tlačítko „Kontrola názvů„

14. Pokud se zobrazí okno s více účty, znamená to, že při re-instalaci nebo aktualizaci došlo k vytvoření dalšího účtu. vybere účet, který jste si poznamenali v kroku 4

15. Klikněte na tlačítko „OK„

16. Volbu opět potvrďte kliknutím na tlačítko „OK„

17. Oprávnění pro nově přidaný účet nastavte stejně, jak jsou nastavena u původního účtu – klikněte na tlačítko „Upřesnit„

18. Vyberte jakýkoliv záznam, který odpovídá účtu z kroku 4 (MSOL_xxx) a klikněte na tlačítko „Upravit„

19. V následujícím okne vyberte tato oprávnění:

Read all properties
Write all properties
Read msDS-OperationsForAzTaskBL
Read msDS-parentdistname

20. Nastavení potvrďte kliknutím na tlačítko „OK„

21. Vlastnosti uživatele také zavřete kliknutím na tlačítko „OK„

22. Po nastavení oprávnění znovu spusťte synchronizaci.

Start-ADSyncSyncCycle -PolicyType Initial

23. Počkejte několik minut, než bude synchronizace dokončena.

24. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.

Relevantní zdroje:

Další kroky

Pokud nasazujete Microsoft Entra Connect, poprvé, mohou se vám hodit následující informace:

Entra Troubleshooting: unable to validate credentials

Miroslav Šraga — Sun, 15 Sep 2024 10:23:12 +0000

Nastává období, kdy sousta správců IT provádí upgrade služby Microsoft Entra Active Directory Connect. Obrátilo se na mne několik klientů, kteří se, při pokusu o aktualizaci Entra AD Connect, setkali s chybami. V průvodci setkali s hlášením typu „nemůžeme se připojit k Azure AD pomocí vašehopověření globálního správce Azure AD“. Zobrazí se chyba, že nelze ověřit pověření kvůli očekávané chybě.

V tomto článku se pokusím přiblížit, proč k tomu dochází, a řešení problému „Azure AD Connect unable to validate credentials.

EntraAD Connect: chyba ověření

Unable to validate credentials due to an unexpected error Restart Azure AD Connect with the / InteractiveAuth option to further diagnose this issue. (extendedMessage: An error occurred while sending the request. | The underlying connection was closed: An unexpected error occurred on a send. | Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. | An existing connection was forcibly closed by the remote host webException: The underlying connection was closed: An unexpected error occurred on a send. STS endpoint: HTTPS://LOGIN.MICROSOFTONLINE.COM/xxx.CZ)

Když kliknete na odkaz „Learn more“, nebo si otevřete napřímo Entra AD Connect log (C:\program data\aadconnect\trace***** .log), obdržíte přibližně takový výpis:

				
					[07:58:56.609] [ 16] [ERROR] Authenticate-MSAL: unexpected exception [Unspecified-Authentication-Failure] - extendedMessage: An error occurred while sending the request. | The underlying connection was closed: An unexpected error occurred on a send. | Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. | An existing connection was forcibly closed by the remote host webException: The underlying connection was closed: An unexpected error occurred on a send.
STS endpoint: HTTPS://LOGIN.MICROSOFTONLINE.COM/xxx.CZ
[07:58:56.612] [ 16] [ERROR] Authenticate-MSAL: exception details: System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host

Error parsing WS-Trust-response from endpoint

Další chyba, která se ke mě dostala je velmi podobná, ale trochu jiná.

Unable to validate credentials due to an unexpected error Restart Azure AD Connect with the / InteractiveAuth option to further diagnose this issue. (extendedMessage: There was an error parsing WS-Trust-response from the endpoint. This may occur if there is an issue with your ADFS configuration. See https://aka.ms/msal-net-iwa-troubleshooting for more details. Error Message: Federated service ad https://autologon.microsoftazuread-sso.com/xxxxxx/winauth/trust/2005/usernamemixed?client-request-id=xxxxx returned error: Authentication Failure

Při provádění úlohy Configure AAD Sync došlo k chybě

Poslední chyba, která se ke mě dostala, byla trochu jiná. Klient udělal tu věc, že na server, na kterém běžela služba Entra AD Connect, naistaloval roli „Active Directory Domain Services“ a tím mu celá Entra spadla a řešilo se několik věcí. První věc, která se musela vyřešit, byla oprava oprávnění, protože na doménovém řadiči samozřejmě přestaly fungovat lokální účty. Kompletní odinstalace a opětovná instalace s obnovou konfigurace vyřešila první část a to problém s oprávněním, které bylo nutné jak pro spuštění samotné služby ADSync, ale také pro běh databáze a dalších komponent.

Nastal ale jiný problém, protože služba nešla korektně nastartovat a synchronizace neprobíhala. Začaly se objevoval další chyby:

Configure AAD Sync Při provádění úlohy Configure AAD Sync došlo k chybě: Při odesílání požadavku došlo k chybě.. Jak postupovat dál: nejsou dostupné žádné konkrétní informace o této chybě. Podrobnosti najdete v protokolu. V opačném případě zkontrolujte protokol, kde najdete podrobnější informace: C:\ProgramData\AADConnect\trace-xxxxxx.log

V trace logu toho moc nebylo. Nicméně, Event logy mi naštěstí řekly o trochu víc a nasměrovaly mne správným směrem.

GetSecurityToken: unable to retrieve a security token for the provisioning web service (AWS). Při odesílání požadavku došlo k chybě. | Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. | Klient nemůže komunikovat se serverem, protože nepoužívají žádný společný algoritmus. extendedMessage: Při odesílání požadavku došlo k chybě. | Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. | Klient nemůže komunikovat se serverem, protože nepoužívají žádný společný algoritmus webException: Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. STS endpoint: HTTPS://LOGIN.MICROSOFTONLINE.COM/xxx.ONMICROSOFT.COM

Authenticate-MSAL: unexpected exception [Unspecified-Authentication-Failure] - extendedMessage: Při odesílání požadavku došlo k chybě. | Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. | Klient nemůže komunikovat se serverem, protože nepoužívají žádný společný algoritmus webException: Nadřízené připojení bylo uzavřeno: Došlo k neočekávané chybě při příjmu. STS endpoint: HTTPS://LOGIN.MICROSOFTONLINE.COM/xxx.ONMICROSOFT.COM

Jak postupovat

Pokud patříte mezi ty „šťastlivce“, které některá z těchto chyb také potkala, nezoufejte, řešení existuje (a to hned několik):

Ověřte, zda-li máte aktuální verzi Entra AD Conenct
Interactive authentication – Vypněte službu ADSync a nastartuje ji znovu s parametrem /InteractiveAuth
Ověřte, zda operační systém podporuje TLS 1.2

Entra AD Connect - Interactive authentication

Jedním z možných řešení jak vyřešit problém služby Entra AD Connect, která se nemůže ověřit kvůli neočekávané chybě může být spuštěni služby v InteractiveAuth módu.

Chcete-li opravit chybu Azure AD Connect unable to validate credentials due to an unexpected error, postupujte podle následujících kroků:

1. Spusťte příkazový řádek jako správce.

2. Přejděte do složky Microsoft Azure Active Directory Connect.

cd "C:\Program Files\Microsoft Azure Active Directory Connect"

3. Spusťte následující příkaz

AzureADConnect.exe /InteractiveAuth

4. Zobrazí se průvodce aktualizací a konfogurací Azure Active Directory Connect, průvodcem projděte běžným způspobem, třeba podle tohoto návodu.

Musím přiznat, že ani v jednom z těchto tří případů mi výše uvedený postup nepomohl.

Co mne na těchto chybových hláškách ale zaujalo, bylo „Klient nemůže komunikovat se serverem, protože nepoužívají žádný společný algoritmus„.

Když jsem v únoru psal článek o přesunu Entra AD Connect na nový server, vypsal jsem do něj všechny pre-rekvizity, které je potřeba pro Entra V2 splnit.

Všechna chybová hlášení měla stejný základ – klient nemůže komunikovat s protistranou. Na vině můtže být firewall či proxy (nebyl tento příkald) nebo se nemohou domluvit z jiného důvodu, protože třwba každý mluví jiným jazykem.

Ve všech třech případech byla na vině chyba v chybějící podpoře TLS 1.2

Ověření, zda server podporuje TLS 1.2

Pomocí následujícího PowerShell skriptu můžete zkontrolovat aktuální nastavení protokolu TLS 1.2 na serveru, kde provozujete Microsoft Entra Connect.

Function Get-ADSyncToolsTls12RegValue
{
    [CmdletBinding()]
    Param
    (
        # Registry Path
        [Parameter(Mandatory=$true,
                   Position=0)]
        [string]
        $RegPath,

# Registry Name
        [Parameter(Mandatory=$true,
                   Position=1)]
        [string]
        $RegName
    )
    $regItem = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction Ignore
    $output = "" | select Path,Name,Value
    $output.Path = $RegPath
    $output.Name = $RegName

If ($regItem -eq $null)
    {
        $output.Value = "Not Found"
    }
    Else
    {
        $output.Value = $regItem.$RegName
    }
    $output
}

$regSettings = @()
$regKey = 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SystemDefaultTlsVersions'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SchUseStrongCrypto'

$regKey = 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SystemDefaultTlsVersions'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'SchUseStrongCrypto'

$regKey = 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'Enabled'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'DisabledByDefault'

$regKey = 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'Enabled'
$regSettings += Get-ADSyncToolsTls12RegValue $regKey 'DisabledByDefault'

$regSettings

Výstup skriptu bude přibližně takový:

Ověřte, zda-li je tedy TLS 1.2 na vašem serveru aktivní. Pokud aktivní není, bude výstup podobný, jako na uvedeném obrázku, tedy u jednotlivých komponent bude uvedeno „Not Found“ nebo „0“.

PowerShell script pro zapnutí podpory TLS 1.2

K vynucení podpory protokolu TLS 1.2 na serveru s Microsoft Entra Connect můžete použít následující PowerShell skript.

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan

Výstupem skriptu by pak měla být tato hláška:

Upozornění Po aktivaci podpory TLS 1.2 restartujte server.

PowerShell script pro vypnutí podpory TLS 1.2

Ačkoliv deaktivaci podpory TLS 1.2 nedoporučuji, v ojedinělých případech může být potřeba. Pokud tedy nutně potřebujede deaktivovat podporu TLS 1.2 na vašem serveru, použijte následující skript:

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319'))
{
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client'))
{
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '0' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '1' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been disabled. You must restart the Windows Server for the changes to take affect.' -ForegroundColor Cyan

Další kroky

Pokud nasazujete Microsoft Entra Connect, poprvé, mohou se vám hodit následující informace:

Entra AD Connect – přesun na nový server

Wed, 07 Feb 2024 09:45:05 +0000

S dříve publikovaným článkem (Entra AD Sync (Azure AD Sync) – In-place upgrade) souvisí jedna věc. Verze operačních systémů, které Entra Connect V2 podporuje. Oproti Azure AD Connect došlo k některým změnám v podpoře a s tím u mnohých klientů souvisí potřeba přesunu Entra Connect na nový server.

V tomto videu je zaznamenán postup, jak ze starého serveru přesunout Microsoft Entra Connect na server nový.

Migrace probíhala z Azure AD Connect verze 1.6 na nový Microsoft Entra Connect V2.

Entra Connect V2: Podpora a hlavní změny

Toto je upozornění Služba Azure AD Connect V1 byla k 31. srpnu 2022 vyřazena a již není podporována. Instalace Azure AD Connect V1 může neočekávaně přestat fungovat. Pokud stále používáte Azure AD Connect V1, musíte provést upgrade nebo zvážit přechod na Microsoft Entra Cloud Sync.

Systémy Windows Server 2012 a Windows Server 2012 R2 již nejsou podporovány.

SQL Server 2019 vyžaduje jako serverový operační systém Windows Server 2016 nebo novější. Vzhledem k tomu, že Microsoft Entra Connect v2 obsahuje komponenty SQL Serveru 2019, nejsou již podporovány starší verze Windows Server.

SQL Server 2019 LocalDB

Předchozí verze Microsoft Entra Connect byly dodávány s SQL Server 2012 LocalDB. Verze V2.0 se dodává s SQL Server 2019 LocalDB, která slibuje vyšší stabilitu a výkon a obsahuje několik oprav chyb souvisejících se zabezpečením. SQL Server 2012 ukončila rozšířenou podporu v červenci 2022.

Visual C++ Redist 14

SQL Server 2019 vyžaduje prostředí Visual C++ Redist 14. Tento Redistributable je nainstalován spolu s balíčkem Microsoft Entra Connect V2, takže pro aktualizaci prostředí C++ nemusíte podnikat žádné kroky.

TLS 1.2

Protokoly TLS1.0 a TLS 1.1 jsou považovány za nebezpečné. Společnost Microsoft je vyřazuje. Tato verze Microsoft Entra Connect podporuje pouze protokol TLS 1.2. Všechny verze systému Windows Server, které jsou podporovány pro Microsoft Entra Connect V2, již standardně používají protokol TLS 1.2. Pokud váš server nepodporuje protokol TLS 1.2, budete jej muset před nasazením aplikace Microsoft Entra Connect V2 povolit.

PowerShell 5.0

Tato verze Microsoft Entra Connect obsahuje několik rutin, které vyžadují PowerShell 5.0, takže tento požadavek je novou podmínkou pro Microsoft Entra Connect.

Požadavky na Active Directory

Verze schématu služby Active Directory a funkční úroveň doménové struktury musí být Windows Server 2003 nebo novější.
Řadiče domény mohou používat libovolnou verzi, pokud jsou splněny požadavky na verzi schématu a úroveň doménové struktury. Pokud potřebujete provozovat Active Dorectory se systémem Windows Server 2016 nebo starším, může být zapotřebí placený program podpory.
Řadič domény používaný nástrojem Microsoft Entra ID musí být zapisovatelný. Použití řadiče domény pouze pro čtení (RODC) není podporováno.
Používání lokálních doménových struktur nebo domén pomocí „tečkovaných“ (název obsahuje tečku „.“) názvů NetBIOS není podporováno.
Doporučuje se povolit koš služby Active Directory.

Užitečné odkazy

Entra AD Sync (Azure AD Sync) – In-place upgrade + Health Agent

Wed, 07 Feb 2024 09:35:56 +0000

V posledním týdnu se mi ozvalo několik klientů, kterým přestala fungovat synchronizace. Ve všech případech se jednalo to problém staré verze AD Connect, kdy Microsoft oznámil, že v říjnu 2023 již nebude staré verze podporovat a evidentně v posledních dnech a týdnech začal podporu zastaralých aplikací také skutečně vypínat.

V tomto návodu krok po kroku ukazuji, jak

provést inplace upgrade na poslední verzi Entra AD Sync
zkontrolovat stav synchronizace
zkontrolovat stav Health Agenta
registrace Healts agenta
ruční spuštění rozdílové synchronizace (Delta )

Informace Synchronizace přestane fungovat 1. října 2023 pro všechny zákazníky, kteří stále používají Microsoft Entra Connect V1 (a starší AD Connect). Zákazníci používající cloudovou synchronizaci Microsoft Entra Connect nebo Microsoft Entra Connect V2 zůstanou plně funkční bez nutnosti jakékoli akce.

Toto je upozornění In-place funguje při přechodu z Azure AD Sync nebo Microsoft Entra Connect. Nefunguje při přechodu z DirSync.

Tato metoda je vhodná, pokud máte jeden server a méně než 100 000 objektů. Pokud používáte vlastní pravidla pro synchronizaci, doporučuji udělat jejich zálohu, neboť upgrade může tato pravidla resetovat do výchozího nastavení.

Užitečné příkazy pro Azure AD Connect / Entra connect

Wed, 07 Feb 2024 09:14:49 +0000

Zjištění aktuální verze AD Connect / Entra Connect

				
					(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).Value

Ruční spuštění rozdílové synchronizace

				
					Start-ADSyncSyncCycle -PolicyType Delta

Vynucení kompletní synchronizace (full sync)

Plnou synchronizaci služby provádějte jen zřídka. Úplná synchronizace služby Entra ID (Azure AD) trvá dlouho, protože prochází všechny objekty služby Active Directory a znovu je synchronizuje. Snad jediným případem použití, kdy je třeba provést úplnou synchronizaci, je změna konfigurace služby Entra Connect (Azure AD Connect).

Nicméně v případě, že opravdu chcete spustit úplnou synchronizaci, použijte tento příkaz:

				
					Start-ADSyncSyncCycle -PolicyType Initial

Zobrazení stavu a nastavení plánovače

				
					Get-ADSyncScheduler

Kontrola integrace Entra Connect Health Agent

				
					Test-AzureADConnectHealthConnectivity -Role Sync

Test-AzureADConnectHealthConnectivity -Role ADDS

Test-AzureADConnectHealthConnectivity -Role Sync -ShowResult

Ruční registrace Microsoft Entra Connect Health agent

Pozor Tento příkaz použít pouze, pokud registrace agenta (při instalaci Microsoft Entra Connect) skončí chybou.

				
					Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

Jedná se o ruční registraci agenta Microsoft Entra Connect Health pro synchronizaci. Po úspěšné registraci agenta se spustí služby Microsoft Entra Connect Health.

AttributeFiltering: $true (výchozí), pokud Microsoft Entra Connect nesynchronizuje výchozí sadu atributů a byl přizpůsoben tak, aby používal filtrovanou sadu atributů. V opačném případě použijte $false.

StagingMode: $false (výchozí), pokud server Microsoft Entra Connect není v režimu staging. Pokud je server nakonfigurován tak, aby byl v režimu staging, použijte $true.

Dokumentace: https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-health-agent-install#manually-register-microsoft-entra-connect-health-for-sync

Zapnutí / vypnutí Staging mode

				
					# Načtení parametrů nastavení
$AADSyncGlobalSettings=Get-ADSyncGlobalSettings

# zobrazit parametry
$AADSyncGlobalSettings.parameters

# vypnout Staging mode
($AADSyncGlobalSettings.parameters | ?{$_.name -eq "Microsoft.Synchronize.StagingMode"}).value="False"

# zapnout Staging mode
($AADSyncGlobalSettings.parameters | ?{$_.name -eq "Microsoft.Synchronize.StagingMode"}).value="True"

# Uložit nastavení !!!
Set-ADSyncGlobalSettings $AADSyncGlobalSettings

Změna plánu synchronizace

Výchozí nastavení synchronizace je 30 minut. Změny času synchronizace služby Entra Connect se provádějí pomocí příkazu Set-ADSyncScheduler.

Je však důležité si uvědomit, že pro plán synchronizace existují horní a dolní limity. Například plán synchronizace musí být spuštěn alespoň jednou za 7 dní. Kromě toho se synchronizační cyklus spouští pouze jednou za 30 minut. Nyní, s ohledem na tato omezení, použijme rutinu Set-ADSyncScheduler ke změně plánu na cyklus např. jednou za 2 hodiny:

				
					# Spusteni kazde 3 hodiny
Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00

# Spusteni 1x denne
Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0

#Syntaxe: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
#d - dny, HH - hodiny, mm - minuty, ss - sekundy

Vypnutí a zapnutí synchronizace

				
					# Vypnuti synchronizace
Set-ADSyncScheduler -SyncCycleEnabled $false

# Zapnuti synchronizace
Set-ADSyncScheduler -SyncCycleEnabled $true

Deletion trehsold exceeded

Pokud při synchronizaci narazíte na problém, že se nemažou z Entra ID staré objekty, které se již nemjí synchronizovat, podívejte se do Synchronization Service Manager, zda-li náhodou neuvidíte ve sloupci Status informaci „stopped-deletion-treshold-exceeded„. Tato chyba značí, že se synchronizační proces szaží z Entra ID odebrat větší množství objektů, než je jeho limit. Toto lze vyřešit pomocí těchto příkazů:

				
					# Zjisteni aktualniho limitu
Get-ADSyncExportDeletionThreshold


# Vypnuti limitu
Disable-ADSyncExportDeletionThreshold

# Opetovne zapnuti limitu
Enable-ADSyncExportDeletionThreshold -ThresholdCount 500

Jak zjistit aktuální verzi Microsoft Azure AD Connect / Entra ID Connect

Wed, 07 Feb 2024 07:21:41 +0000

Microsoft Entra Connect (dříve známý jako Azure AD Connect) je třeba pravidelně aktualizovat, protože společnost Microsoft pro něj vydává bezpečnostní opravy a vylepšení. V článku se dozvíte, jak zjistit verzi Azure AD Connect.

Pozor! Microsoft upozorňuje, že synchronizace přestane fungovat 1. října 2023 pro všechny zákazníky, kteří stále používají Microsoft Entra Connect V1. Zákazníci používající cloudovou synchronizaci Microsoft Entra Connect nebo Microsoft Entra Connect V2 zůstanou plně funkční bez nutnosti jakékoli akce.

Zjištění verze Microsoft Entra connect přes Entra Admin centrum

Přihlaste se do Microsoft Entra Admin centra
Rozbalte nabídku Identity
Dále rozbalte nabídku Hybrid management
Klikněte na Microsoft Entra Connect

5. V menu zvolte Connect Sync
6. Scrolujte dolů na konec obrazovky a klikněte na Microsoft Entra Connect Health

7. Klikněte na Sync Services
8. Vyberte Service Name

Zkontrolujte Status, pokud používáte Health Agenta, měl by být Status Healthy.

9. Zvolte Entra AD Connect Server

10. Klikněte na Properties

12. Klikněte na Synchronization

13. Zkontrolujte parametr Version. V tomto případě se jedná o Entra Connect V2 verze 2.3.2.0

Zjištění verze Microsoft Entra přes Synchronization Service Manager

Klikněte na Nabídku Start
Použijte vyhledávání a zadejte Synchronization nebo najděte složku Azure AD Connect a rozbalte ji
Klikněte na Synchronization service

4. V menu vyberte Help a About

5. Zobrazí se verze AD Connect

Zjištění verze Microsoft Entra connect pomocí "Přidat /odebrat programy"

Otevřete Nastavení – Aplikace

nebo

Ovládací panely – Programs and Features

Zjištění verze Microsoft Entra pomocí PowerShell

Spusťte PowerShell s oprávněním Administrator
Pokud nemáte, tak importujte modul ADSync
Použijte příkaz Get-ADSyncGlobalSettings

				
					Import-Module ADSync
(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).Value

Entra Connect – Miroslav Šraga

Entra Troubleshooting: permission-issue error code 8344

Obsah

Chyba: permission-issue

Způsoby řešení chyby 8344 Entra AD Connect

Způsob 1. Nastavení správných oprávnění pro účet konektoru služby AD DS

Způsob 2. msDS-KeyCredentialLink

Způsob 3. Udělení individuálních oprávnění

Další kroky

Entra Troubleshooting: unable to validate credentials

Obsah

EntraAD Connect: chyba ověření

Error parsing WS-Trust-response from endpoint

Při provádění úlohy Configure AAD Sync došlo k chybě

Jak postupovat

Entra AD Connect - Interactive authentication

Ověření, zda server podporuje TLS 1.2

PowerShell script pro zapnutí podpory TLS 1.2

PowerShell script pro vypnutí podpory TLS 1.2

Další kroky

Entra AD Connect – přesun na nový server

Entra Connect V2: Podpora a hlavní změny

Užitečné odkazy

Entra AD Sync (Azure AD Sync) – In-place upgrade + Health Agent

Užitečné příkazy pro Azure AD Connect / Entra connect

Zjištění aktuální verze AD Connect / Entra Connect

Ruční spuštění rozdílové synchronizace

Vynucení kompletní synchronizace (full sync)

Zobrazení stavu a nastavení plánovače

Kontrola integrace Entra Connect Health Agent

Ruční registrace Microsoft Entra Connect Health agent

Zapnutí / vypnutí Staging mode

Změna plánu synchronizace

Vypnutí a zapnutí synchronizace

Deletion trehsold exceeded

Jak zjistit aktuální verzi Microsoft Azure AD Connect / Entra ID Connect

Zjištění verze Microsoft Entra connect přes Entra Admin centrum

Zjištění verze Microsoft Entra přes Synchronization Service Manager

Zjištění verze Microsoft Entra connect pomocí "Přidat /odebrat programy"

Zjištění verze Microsoft Entra pomocí PowerShell

K dispozici je také video návod

Užitečné odkazy