[AD-Connect] Error al finalizar configuracion

Recientemente estuve ayudando con una investigación relacionada con Azure AD Connect. Durante la configuración inicial de Azure AD Connect, falla la fase de prueba de conectividad final con el error que se muestra en la siguiente captura de pantalla. El mismo problema persiste cuando se intenta desde diferentes servidores de la red. 

El mensaje de error también apunta al artículo de Microsoft https://docs.microsoft.com/en-us/troubleshoot/azure/active-directory/unable-communicate-windows-service, que sugiere actualizar el archivo machine.config con el detalles del servidor proxy. Pero esta red en particular no tenía ningún proxy y el servidor usa una conexión directa a Internet que se filtra a través de un firewall. Se confirmó que el archivo machine.config relacionado con el marco .net no tenía entradas relacionadas con el proxy. El firewall tenía todas las URL requeridas en la lista blanca y también se permitían los puertos 80/443. Además, no pude encontrar ningún artículo de Microsoft, otros foros de discusión o blogs que mencionen este error específico El nombre remoto no se pudo resolver: 'deshabilitado'

  • La revisión de captura de Wireshark confirmó que se permite el tráfico requerido. 
  • Las pruebas con PortQuery confirmaron que la conexión a las URL y los puertos necesarios para ser accesible desde la red
  • El script de PowerShell de https://gallery.technet.microsoft.com/scriptcenter/Azure-AD-Connect-Network-150c20a3 indicó que todas las pruebas de conectividad fueron exitosas 
  • La verificación de conectividad con PowerShell también funciona bien, y ambas URL devuelven el código de estado como 200                                                                        
    • Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc
    • Invoke-WebRequest -Uri https://login.windows.net
  • No hay problemas con la resolución de DNS, confirmado con comandos como "TNC login.windows.net -Port 443"
  • Se verificó la configuración del proxy del sistema con el comando netsh winhttp show proxy, y el resultado mostró acceso directo (sin servidor proxy)

Después de un poco de investigación, el problema se resolvió indicando explícitamente que el proxy está deshabilitado en machine.config, aunque no existe ningún proxy en la red. Detalles de la resolución que se enumeran a continuación:

Navegue a la siguiente ruta - C: \ Windows \ Microsoft.NET \ Framework64 \ v4.0.30319 \ config y localice el archivo machine.config . Agregue lo siguiente bajo la etiqueta </system.web>

<system.net> <defaultProxy enabled = "false"> </defaultProxy> </system.net>

Después de realizar los cambios, reinicie el servicio de sincronización de Azure AD y vuelva a ejecutar el asistente de configuración. 

Dado que no hay proxy, la herramienta debería haber utilizado la conexión directa sin comprobar ningún proxy. Pero comenzó a funcionar solo después de indicar explícitamente que la disponibilidad del proxy era falsa. Parece extraño, pero una posible razón para este escenario es si la red o los servidores aún contienen información en caché sobre cualquier proxy heredado que ya no es relevante. Esto podría suceder como resultado de cambiar de ISP a otro. 

Espero que esto ayude en caso de que alguien se encuentre con un error similar en el futuro. 

Comentarios