ADConnectivityTool PowerShell モジュールを使用した Microsoft Entra 接続性のトラブルシューティング

ADConnectivity ツールは、次のいずれかの場合に使用される PowerShell モジュールです。

• インストール時に、ネットワーク接続の問題により、Active Directory の資格情報の検証が正常に行われない場合。
• インストール後、ユーザーが PowerShell セッションから関数を呼び出した場合。

ツールは C:\Program Files\Microsoft Entra Connect\Tools\ADConnectivityTool.psm1 にあります。

インストール時の ADConnectivityTool

Microsoft Entra Connect ウィザードの [ディレクトリの接続] ページにおいてネットワークの問題が発生した場合、ADConnectivityTool の関数の 1 つが自動的に使用されて、何が起きているかが判別されます。 以下の項目はネットワークの問題と考えることができます。

• ユーザーが指定したフォレストの名前に入力ミスがあった、またはそのフォレストが存在しない
• ユーザーが指定したフォレストに関連付けられているドメイン コントローラーの UDP ポート 389 が閉じられている
• [AD フォレスト アカウント] ウィンドウに入力された資格情報に、ターゲット フォレストに関連付けられているドメイン コントローラーを取得する権限がない
• ユーザーが指定したフォレストに関連付けられているドメイン コントローラーの TCP ポート 53、88、389 のいずれかが閉じられている
• UDP 389 と (1 つ以上の) TCP ポートの両方が閉じられている
• 指定されたフォレスト、関連付けられたドメイン コントローラー、またはその両方について、DNS を解決できなかった

これらの問題のいずれかが検出された場合は、関連するエラー メッセージが Microsoft Entra Connect ウィザードに表示されます。

たとえば、[ディレクトリの接続] 画面でディレクトリを追加しようとしているとき、Microsoft Entra Connect による確認が必要であり、ポート 389 経由で Microsoft Entra Connect とドメイン コントローラーの通信が可能である必要があります。 それができない場合、スクリーンショットに示すようなエラーが表示されます。

実際には、バックグラウンドで Microsoft Entra Connect により Start-NetworkConnectivityDiagnosisTools 関数が呼び出されています。 この関数は、ネットワーク接続の問題が原因で資格情報の検証が失敗したときに呼び出されます。

最後に、ウィザードからツールが呼び出されるたびに詳細なログ ファイルが生成されます。 そのログの場所は C:\ProgramData\AADConnect\ADConnectivityTool-<date>-<time>.log です

インストール後の ADConnectivityTools

Microsoft Entra Connect がインストールされると、ADConnectivityTools PowerShell モジュールのどの関数でも使用できるようになります。

関数のリファレンス情報は、ADConnectivityTools リファレンスのページにあります。

Start-ConnectivityValidation

この関数を呼び出す理由は、ADConnectivityTool.psm1 を PowerShell にインポートした後では、この関数は手動でしか呼び出せないためです。

この関数によって実行されるロジックは、指定された AD 資格情報を検証するために Microsoft Entra Connect ウィザードによって実行されるロジックと同じです。 ただし、問題と推奨されている解決方法に関する、より詳細な説明が提供されます。

接続の検証は、次の手順で構成されます。

• ドメイン FQDN (完全修飾ドメイン名) オブジェクトを取得する
• ユーザーが [新しい AD アカウントを作成] を選択した場合は、資格情報が Enterprise Administrators グループに属していることを検証する
• フォレスト FQDN オブジェクトを取得する
• 先ほど取得したフォレスト FQDN オブジェクトに関連付けられた少なくとも 1 つのドメインにアクセスできることを確認する
• フォレストの機能レベルが Windows Server 2003 以上であることを確認する

ユーザーは、これらすべてのアクションが正常に実行された場合に、ディレクトリを追加できるようになります。

ユーザーが問題の解決後にこの関数を実行した場合 (または問題がまったく存在しない場合)、Microsoft Entra Connect ウィザードに戻って資格情報を再度入力することをユーザーに求める出力が表示されます。

次のステップ

• Microsoft Entra Connect: アカウントとアクセス許可
• 高速インストール
• カスタム インストール
• ADConnectivityTools リファレンス