Jak rozwiązać problem synchronizacji z użyciem Azure AD Connect? Co zrobić gdy AD Sync nie eksportuje obiektów i wyświetla błąd permission-issue? Kliknięcie na błąd, aby uzyskać więcej szczegółów, pokazuje niewystarczające uprawnienia dostępu do wykonania operacji (insufficient access rights to perform the operation) z kodem błędu 8344 (error code 8344). Jakie jest sprawdzone rozwiązanie?
Konto używane przez usługę Azure AD DS nie ma ustawionych wszystkich prawidłowych uprawnień, dlatego synchronizacja z użyciem Azure AD Connect podczas eksportowania obiektów krzyczy na nas błędem 8344 permission-issue.
Szczegóły widać tutaj z poziomu menadżera, nie jesteśmy wstanie wykonać synchronizacji dla takich obiektów, niektóre wartości nie mogą zostać zmienione – po kliknięciu w link do błędu otrzymamy jego właściwości:
szczegóły z zakładki Export Error:
Aby spróbować rozwiązać problem uruchamiamy synchronizator Azure AD Connect:
Klikamy przechodzimy do konfiguracji klikając Configure:
Wybieramy opcje rozwiązywania problemów Troubleshoot:
Uruchamiamy rozwiązywanie problemów klikając Launch:
W nowo otwartym oknie konsoli wybieramy opcje nr 4 – mamy przecież problem z uprawnieniami:
Pierwsze uruchomienie rozwiązywania błędów wymaga przystawki – zezwalamy na jej instalacje:
Zaczniemy od ustawienia domyślny uprawnień dla konta które wykonuje synchronizacje:
Potwierdzamy nasz wybór:
Chcemy użyć istniejącego konta dla konektora wybieramy E
Konto zostanie wyświetlone – wpisujemy jego nazwe:
wprowadzamy konto administratora domeny aby uzyskać uprawnienia do zmian:
Następnie 7 razy potwierdzamy czynności związane z „odbudową uprawnień” dla konta użytego do synchronizacji – zawsze odpowiadamy [Y] Yes lub [A] All
Confirm
Are you sure you want to perform this action?
Performing the operation "Grant Password Hash Synchronization permissions" on target "sprawdzone.it".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
Confirm
Are you sure you want to perform this action?
Performing the operation "Grant Password Writeback permissions" on target "sprawdzone.it".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
Confirm
Are you sure you want to perform this action?
Performing the operation "Grant Password Writeback permission for Unexpire Password extended right" on target
"sprawdzone.it".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
Confirm
Are you sure you want to perform this action?
Performing the operation "Grant Exchange Hybrid permissions" on target "sprawdzone.it".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
Confirm
Are you sure you want to perform this action?
Performing the operation "Grant Exchange Mail Public Folder permissions" on target "sprawdzone.it".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
Confirm
Are you sure you want to perform this action?
Performing the operation "Grant mS-DS-ConsistencyGuid permissions" on target "sprawdzone.it".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
Confirm
Are you sure you want to perform this action?
Performing the operation "Set restricted permissions" on target "CN=MSOL_c442ede68b5c,CN=users,DC=sprawdzone,DC=it".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
Następnie wychodzimy z konsoli i zamykamy Azure AD Connect:
Otwieramy okno PowerShell’a jeszcze raz, wymyszamy ponowną synchronizacje używając poniższego polecenia:
Start-ADSyncSyncCycle -PolicyType Initial
Otwieramy menadżęra synchronizacji i sprawdzamy efekty naszej „naprawy błędów”:
Synchronizacja przebiegła bez błędów! Mamy kolejny sprawdzony sposób!
UWAGA: w przypadku kiedy w jednym z kroków odnośnie uprawnień otrzymamy błąd:
Are you sure you want to perform this action?
Performing the operation "Grant Exchange Mail Public Folder permissions" on target "sprawdzone.it".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): A
GrantAcls : AD Schema for Exchange not present : No GUID Found for publicFolder The parameter is incorrect. The comma
nd failed to complete successfully.
At C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1:1875 char:17
… GrantAcls $domainDN $ACL $Inheritance -TargetForestCreden …
Grant permissions on all Domains: AD Domain 'DC=sprawdzone,DC=it'…
musimy dodać konto użyte do synchronizacji do grupy Enterprise Key Admins
a następnie uruchomić rozwiązywanie problemów ponownie i wykonać synchronizacje.
Jeżeli mój wpis Ci się spodobał, pomógł w pracy? Chcesz mnie wspierać? Postaw kawę! To dzięki waszemu wsparciu nie ma reklam! Poniżej kod QR do płatności który jest jednocześnie linkiem do PayPal.
