Synchronizační služba Azure AD Connect (Entra AD Connect) nepřenáší (některé) objekty z Active Directory a zobrazuje chybu permission-issue. Po kliknutí na chybu se zobrazí: „Přístupová práva jsou nedostatečná k provedení operace“ s kódem chyby 8344. Když navíc kliknete na tlačítko „Log“, zobrazí se chyba „Nerozpoznaný formát GUID“.
Proč k tomu dochází a jaké je řešení? V tomto článku se dozvíte, jak opravit chybu Entra/Azure AD Connect permission-issue s kódem 8344.
Obsah
Chyba: permission-issue
Connected data source error: Insufficient access rights to perform the operation.
Proč se tato chyba zobrazuje a jaké je řešení nedostatečných přístupových práv?
Způsoby řešení chyby 8344 Entra AD Connect
Účet konektoru Entra/Azure AD DS nemá k dispozici všechna oprávnění, a proto se v Entra/Azure AD Connect při exportu objektů AD zobrazí chybový kód 8344 permission-issue. Otázkou je, kde tato oprávnění chybí.
AD DS Connector account: Čtení/zápis informací do služby Windows Server Active Directory
ADSync Service account: Spuštění synchronizační služby a přístup k databázi SQL
Azure AD Connector account: Zápis informací do služby Entra ID (Azure AD)
Způsob 1. Nastavení správných oprávnění pro účet konektoru služby AD DS
1. Spustťe aplikaci „Azure AD Connect„
2. Klikněte na tlačítko „Konfigurovat„
3. Klikněte na „Řešení potíží„
4. Klikněte na tlačítko „Další„
5. Klikněte na tlačítko „Spustit„
6. Spustí se nové PowerShell okno. V tomto okně zadejte 4 (Configure AD DS Connector Account Permissions) a stiskněte Enter
----------------------------------------AADConnect Troubleshooting------------------------------------------
Enter '1' - Troubleshoot Object Synchronization
Enter '2' - Troubleshoot Password Hash Synchronization
Enter '3' - Collect General Diagnostics
Enter '4' - Configure AD DS Connector Account Permissions
Enter '5' - Test Azure Active Directory Connectivity
Enter '6' - Test Active Directory Connectivity
Enter 'Q' - Quit
Please make a selection:7. V dalším okně zadejte 12 (Set default AD Connector account permissions) a stiskněte Enter
--------------------------------------------Configure Permissions------------------------------------------
Enter '1' - Get AD Connector account
Enter '2' - Get objects with inheritance disabled
Enter '3' - Set basic read permissions
Enter '4' - Set Exchange Hybrid permissions
Enter '5' - Set Exchange mail public folder permissions
Enter '6' - Set MS-DS-Consistency-Guid permissions
Enter '7' - Set password hash sync permissions
Enter '8' - Set password writeback permissions
Enter '9' - Set restricted permissions
Enter '10' - Set unified group writeback permissions
Enter '11' - Show AD object permissions
Enter '12' - Set default AD Connector account permissions
Enter '13' - Compare object read permissions when running in context of AD Connector account vs Admin account
Enter 'B' - Go back to main troubleshooting menu
Enter 'Q' - Quit
Please make a selection: 8. V dalším okně potvrďte akci zadáním „Y“ a stiskněte Enter
This option will set permissions required for the following:
Password Hash Sync
Password Writeback
Hybrid Exchange
Exchange Mail Public Folder
MsDsConsistencyGuid
It will then restrict permissions
Confirm
Would you like to continue with these options?
[Y] Yes [N] No [?] Help (default is "Y"): 9. V dalším okně zadejte „E“ (Existing Connector Account) a stiskněte Enter
Account to Configure
Would you like to configure an existing connector account or a custom account?
[E] Existing Connector Account [C] Custom Account [?] Help (default is "E"): 10. V okně se zobrazí název konektoru, forest a účet konektoru
11. Zadejte název konektoru (viz sloupec ADConnectorName) a stiskněte Enter
Name of the connector who's account to configure: xxx.cz12. Zobrazí se požadavek na ověření účtem správce. Zadejte účet Administrátora místní domény
13. Povolte všechny následující požadavky o přidělení oprávnění. Přidělení oprávnění provedete tak, že u každého dotazu zadáte „A“ a stisknete Enter.
- Grant Password Hash Synchronization permissions
- Grant Password Writeback permissions
- Grant Password Writeback permission for Unexpire Password extended right
- Grant Exchange Hybrid permissions
- Grant Exchange Mail Public Folder permissions
- Grant mS-DS-ConsistencyGuid permissions
- Set restricted permissions
14. Pokud jste potvrdili přidělení oprávnění ve všech 7 krocích, zavřete okno PowerShell a také okno Entra/Azure AD Connect
15. Spusťe PowerShell s zadejte příkaz pro plnou (iniciání) synchronizaci
Start-ADSyncSyncCycle -PolicyType Initial16. Počkejte několik minut, než bude synchronizace dokončena.
17. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.
Pokud se chyba stále opakuje, pokračujde dál v tomto návodu.
Způsob 2. msDS-KeyCredentialLink
V některých případech se mi stalo, že chyba „permission-issue“ se vyskytovala jen u těch uživatelů, kterým se změnila hodnota Active Directory atributu msDS-KeyCredentialLink.
V případě, že používáte zpětný zápis do Active Directory (Writeback), může problém vyřešit, když účet AADSync přidáte do skupiny „Enterprise Key Admins„.
Relevantní zdroje:
- https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/deploy/hybrid-cert-trust
- https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-hybrid-aadj-sso
- https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/f70afbcc-780e-4d91-850c-cfadce5bb15c
Po nastavení oprávnění znovu spusťte synchronizaci.
Start-ADSyncSyncCycle -PolicyType InitialZpůsob 3. Udělení individuálních oprávnění
Setkal jsem se případy, kdy byl (po nespecifikovaném zásahu do Active Directory) znemožněn přístup k některým objektům z důvodu chybějícího oprávnění (opravdu per AD objekt). Viděl jsem to zejména v případech, kdy došlo k re-instalaci nebo aktualizaci Entra Connect a byl znovu vytvořen další účet pro synchrnonizaci (MSOL_xxx).
V takovém případě postupujte následujícím způsobem:
1. Spusťte „Entra/Azure AD Connect„
2. Klikněte na tlačítko „Konfigurovat„
3. Vyberte možnost „Zobrazit nebo exportovat aktuální konfiguraci“ a klikněte na tlačítko „Další„
4. Podívejte se, pod jakým účtem se spouští konektor a tento účet si zapamatujte nebo poznačte
5. Okno Entra Connect zavřete kliknutím na tlačítko „Konec„
6. Otevřete si „Active Directory Users and Coputers / Uživatelé a počítače služby Active Directory„
7. Klikněte na menu „Zobrazit“ a aktivujte volbu „Upřesňující funkce„
8. Najděte objekt (uživatele), u kterého se zobrazuje chyba 8344 permission-issue a rozklikněte jeho vlastnosti
9. Přejděte na kartu „Zabezpečení„
10. Zkontrolujte, jaké účty MSOL_xxx mají oprávnění na objekt uživatele a zkontrolujte, zda-li je přidělen správný účet. Ověřte, zda-li je zde uveden účet, který jste si poznačili v kroku 4.
11. Klikněte na tlačítko „Přidat„
12. Do pole „Název objektu“ zadejte „MSOL„
13. klikněte na tlačítko „Kontrola názvů„
14. Pokud se zobrazí okno s více účty, znamená to, že při re-instalaci nebo aktualizaci došlo k vytvoření dalšího účtu. vybere účet, který jste si poznamenali v kroku 4
15. Klikněte na tlačítko „OK„
16. Volbu opět potvrďte kliknutím na tlačítko „OK„
17. Oprávnění pro nově přidaný účet nastavte stejně, jak jsou nastavena u původního účtu – klikněte na tlačítko „Upřesnit„
18. Vyberte jakýkoliv záznam, který odpovídá účtu z kroku 4 (MSOL_xxx) a klikněte na tlačítko „Upravit„
19. V následujícím okne vyberte tato oprávnění:
- Read all properties
- Write all properties
- Read msDS-OperationsForAzTaskBL
- Read msDS-parentdistname
20. Nastavení potvrďte kliknutím na tlačítko „OK„
21. Vlastnosti uživatele také zavřete kliknutím na tlačítko „OK„
22. Po nastavení oprávnění znovu spusťte synchronizaci.
Start-ADSyncSyncCycle -PolicyType Initial23. Počkejte několik minut, než bude synchronizace dokončena.
24. Znovu spusťte „AD Connect Synchronization Service“ a zkontrolujte, zda-li se chyba „permission-issue“ stále opakuje, nebo byla vyřešena.
Další kroky
Pokud nasazujete Microsoft Entra Connect, poprvé, mohou se vám hodit následující informace: