今回はAzure AD Connect(AADC)を構築した際に色々と問題がおきたので
その問題と解決策について述べていきたいと思います。

以下のタイトルについてそれぞれ述べていきます。

1. AADCインストール種別で簡単設定が使えない。
2. Azure AD Connect を実行するためのオンプレADのアカウント権限は
   エンタープライズ管理者権限だけでは足りない。
3. シームレスSSOが利用できない
4. IDは同期されるがパスワードが同期されない。

1. AADCインストール種別で簡単設定が使えない

◆事象

簡単インストール画面にてオンプレADの管理者用の正しいID,パスワードを入力しているのにも関わらずオンプレADとの接続に失敗してしまう。以下の画面の”次へ”を選択しても次画面の接続チェックらしき画面のとこでチェックが失敗する。

上記画面の次で失敗するイメージ。

メッセージとしてはオンプレADのID,パスワードが正しいかチェックしてください。ネットワークの到達性(FWポート空いているか)があるかチェックしてください的なメッセージが出てくる。

◆解決策

簡単インストールではなくカスタムインストールを実施する。

カスタムインストール時にもオンプレADのID,パスワード入力求められる箇所あるが、カスタムインストールだと異常なくインストール出来る状況になった。なぜ同様の内容を入力したのにも関わらず簡単設定だとうまくいかなかったのかは不明だが、簡単設定のインストールでうまくいかない際はカスタムインストールでも同様の事象となるかは確認した方が良い。

2. Azure AD Connect を実行するためのオンプレADのアカウント権限はエンタープライズ管理者権限だけでは足りない。

◆事象

AADCインストール時にオンプレAD側のエンタープライズ管理者権限(Enterprise Admins)のID,パスワード入力後次へ進むと、ドメイン管理者(Domain Admins)権限をもったIDを選択してくれと警告画面がでてインストールが先に進めない。

◆解決策

オンプレADへの接続アカウント用IDにドメイン管理者(Domain Admins)権限を付与する。

3. シームレスSSOが利用できない

◆事象

オンプレADからAADCを利用してAzure ADへのアカウント情報の同期完了後ログインの際にパスワード情報が求められてくる。
# シームレスSSOが有効になっていると本来パスワード入力は求められてきません。

◆解決策

イントラネットゾーンに以下URLを記載する。
– https://autologon.microsoftazuread-sso.com
　参考URL
https://blogs.technet.microsoft.com/jpazureid/2017/10/25/seamless-sso/

4. IDは同期されるがパスワードが同期されない。

◆事象

IDは同期されているがオンプレ側のパスワード情報がAzure ADに同期されておらずAzure へのログインが失敗する。
以下のようにパスワード同期のタイムスタンプだけが空白となる。
>Get-MsolCompanyInformation
<同期状況だけを抜粋>
LastDirSyncTime : 2019/09/10 9:21:00
LastPasswordSyncTime : → <空白>

以下の完全同期を実施てもパスワード同期せず
>Start-AdSyncSyncCycle Initial

トラブルシューティングタスクの実行(AADCウィザードより確認)しても何もエラーなし
関連サイト
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/tshoot-connect-objectsync

◆解決策

AADCのバージョンアップ

AADCのバグを踏んでいたようでありAADCのバージョンアップ後より
パスワード同期が開始された。
MSへの問い合わせが必要だが、以下スクリプトを実行することにより
解決する可能性有。
■ トラブルシューティングに役立つスクリプト – すべてのパスワードの完全同期の開始
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/tshoot-connect-password-hash-synchronization#trigger-a-full-sync-of-all-passwords

$adConnector = “”
$aadConnector = “”
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter “Microsoft.Synchronize.ForceFullPasswordSync”, String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

上記のようにAADCのセットアップはちょいちょいトラブルを引くことがある。
AADCの要件だったり、インストール情報は結構落ちてるがいざトラブルを引くと無い情報も結構あるので上記事象が発生した際には参考にして頂ければと思います。

記事について・製品についてのお問い合わせは下記フォームよりお願いいたします。