Mobile-Menu

So beheben Sie Probleme mit Azure AD Connect Troubleshooting von Azure-Verbindungen und Azure AD

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Wenn Unternehmen lokal auf Active Directory setzen und parallel dazu Azure AD nutzen, kommt häufig die Synchronisierung mit Azure AD Connect ins Spiel. Wir zeigen nachfolgend wie bei Problemen Lösungen gefunden werden.

Firma zum Thema

Thomas Joos gibt Troubleshooting-Tipps, wenn bei Verbindungen zwischen lokalen Netzwerken und Azure AD hakt.
Thomas Joos gibt Troubleshooting-Tipps, wenn bei Verbindungen zwischen lokalen Netzwerken und Azure AD hakt.
(Bild: © duncanandison - stock.adobe.com)

Wenn die Verbindungen zwischen lokalen Netzwerken und Azure AD nicht mehr funktionieren, zum Beispiel beim Einsatz von Azure AD Connect, kann mit Microsoft-Tools und Bordmitteln eine erste Analyse stattfinden, um das Problem einzugrenzen und unter Umständen sogar zu beheben.

Wenn Objekte zwischen AD und Azure AD synchronisiert werden, sollte darauf geachtet werden, dass bei den verschiedenen Feldern keines der folgenden Zeichen verwendet wird: \ % & * + / = ? { } | < > ( ) ; : , [ ] " '

Bildergalerie
Bildergalerie mit 10 Bildern

Bei Problemen mit Azure AD hilft Microsoft auf der Github-Seite "Troubleshoot password hash synchronization with Azure AD Connect sync" mit verschiedenen Vorgehensweisen. Mit diesen Anleitungen lassen sich aber auch andere Probleme beheben.

Synchronisierung zeitweise deaktivieren

Funktioniert die Synchronisierung zwischen AD und Azure AD nicht mehr, sollte diese zunächst für das Azure-Abonnement deaktiviert werden. Bei diesem Vorgang gehen weder Daten noch Einstellungen verloren. Es wird lediglich die Synchronisierung angehalten, was die Fehlermeldungen reduziert. Diese Konfiguration kann zum Beispiel über die PowerShell durchgeführt werden. Dazu wird das Modul „AzureAD“ benötigt, das für die Verwaltung und Analyse ohnehin sinnvoll ist. Die Installation des Moduls erfolgt in der PowerShell mit:

Install-Module -Name AzureAD -AllowClobber -Force -Verbose

Durch den Parameter “-AllowClobber” wird eine bereits vorhandene, eventuell veraltete, Version überschrieben. Die Anmeldung an Azure AD erfolgt mit dem Cmdlet „Connect-AzureAD“. Wenn Azure AD parallel mit Microsoft 365 / Office 365 eingesetzt wird, sollte parallel noch das Modul „MSOnline“ auf dem gleichen Weg installiert werden:

Install-Module -Name MSOnline -AllowClobber -Force -Verbose

Beim Einsatz von Microsoft 365 / Office 365 wird ebenfalls auf Azure AD gesetzt und auch hier kann die Synchronisierung mit einem lokalen AD deaktiviert werden. Die Anmeldung erfolgt in diesem Fall mit „Connect-MSOlservice“. Die Deaktivierung der Synchronisierung erfolgt mit:

Set-MsolDirSyncEnabled -EnableDirSync $false

Um nach der Fehlerbehebung die Synchronisierung wieder zu starten, wird der folgende Befehl verwendet:

Set-MsolDirSyncEnabled -EnableDirSync $true

Troubleshooting mit Azure AD Connect

Um Probleme zwischen lokalem AD und Azure AD zu beheben steht in Azure AD Connect ein Assistent für die Fehlersuche und -Behebung zur Verfügung. Dazu wird auf dem Server im lokalen Netzwerk, auf dem Azure AD Connect installiert, ist der Client für Azure AD Connect gestartet und „Konfigurieren“ angeklickt. Hier können die Optionen für Azure AD Connect überprüft werden, falls Probleme bestehen.

Bildergalerie
Bildergalerie mit 10 Bildern

Für die Fehlerbehandlung bei der Synchronisierung kann hier mit „Problembehandlung“ das Azure AD Connect Troubleshooting-Tool gestartet werden. Das Tool kann über die PowerShell verschiedene Tests bezüglich der Verbindungen zwischen lokalem AD und Azure AD überprüfen und hilft dabei Fehler schnell einzugrenzen. Das Tool setzt dabei auf die PowerShell.

Über die Auswahl eines der Tests starten Assistenten, die Probleme analysieren. Wenn zum Beispiel die Verbindung zwischen AD und Azure AD nicht funktioniert, sollten zunächst die beiden Tests „Test Azure Active Directory Connectivity“ und „Test Active Directory Connectivity“ durchgeführt werden. Die Tests dauern wenige Sekunden und zeigen schnell, ob es generell zu Verbindungsproblemen kommt.

Mit dem Menüpunkt „Collect General Diagnostics“ führt der Assistent umfangreiche Analysen durch und zeigt in einer HTML-Datei das Ergebnis an. Die Datei kann auch verschickt werden, wenn bei der Problemlösung externe Hilfe notwendig ist.

Troubleshooting im Azure Active Directory Admin Center

Wenn es Probleme mit Azure AD oder der Synchronisierung mit einem lokalen AD gibt, sollte auch das Azure Active Directory Admin Center zum Einsatz kommen. Dieses wird über aad.portal.azure.com erreicht. Nach einem Klick auf „Azure Active Directory“ wird bei „Übersicht“ auch die Kachel von Azure AD Connect angezeigt. Hier ist zu sehen, wann die letzte Synchronisierung durchgeführt wurde oder ob die Synchronisierung nicht starten kann.

Azure Active Directory Connect Health

Über den Menüpunkt „Azure AD Connect“ wird die Verwaltungsseite von Azure AD Connect aufgerufen. Auch hier können Informationen zur Fehlerbehandlung gefunden werden. Im unteren Bereich ist dazu der Link zu Azure Active Directory Connect Health zu finden. Über diesen Bereich kann auch der lokale Agent für Azure AD Connect Health heruntergeladen und installiert werden. Über den Link „Synchronisierungsfehler“ sind hier in vielen Fällen auch Probleme mit Azure AD zu finden.

Firewall blockiert Ports

Für die Synchronisierung zwischen AD und Azure werden verschiedene Ports benötigt. Blockieren Firewalls diese Ports können lokale Server und Azure keine Daten über Azure AD synchronisieren. Auch zwischen dem Azure AD-Connect Server und den Domänencontrollern im lokalen Rechenzentrum müssen Ports offen sein. Die wichtigsten sind DNS (Port 53), Kerberos (Port 88), MS-RPC (Port 135), LDAP (Port 389), SMB (Port 636), LDAP/SSL (Port 636), RPC (49152-65535)

Active Directory im Fokus
Bildergalerie mit 43 Bildern

(ID:47115019)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist