Problemas federando dominio con Azure ADConnect
Desde hace ya algún tiempo Azure ADConnect ha pasado de ser un producto preview , a sustituir definitivamente a DirSync, como instrumento para integrar y sincronizar identidades onpremise con Azure AD. Aunque ambas aplicaciones (DirSync y ADConnect), se basan en FIM 2010, esta última no sólo se ha dedicado a la sincronización de directorios (ampliándola con más opciones ), sino que ha incrementado su potencia añadiendo otros componentes. Quizá, debido a esta complejidad derivada de ser una herramienta multipropósito, puede ser más difícil acotar y depurar errores.
Para poder emplear ADConnect -una vez realizados los pasos previos necesarios en Azure- debemos descargarla e instalarla en una de las máquinas pertenecientes a nuestro dominio. El instalable es un asistente que nos guiará en todo momento. Todo esto nos facilita mucho el trabajo, convirtiéndolo en una mera sucesión de pantallas, en las que únicamente tendremos que pulsar el botón siguiente y completar los datos. Pero, ¿qué pasa si el programa falla o nos da error?
Dependiendo del punto donde esto suceda, el asistente nos ofrecerá una serie de recomendaciones. Si el fallo no se subsana, es posible que nos aconseje la desinstalación total del producto, y proceder a instalarlo nuevamente. Pero, esto no nos garantiza que el fallo vuelva a aparecer en la siguiente ejecución. Por todo ello, quizá antes de prender fuego a todo y volver a empezar de cero, es bueno que nos paremos un momento y recapacitemos.
CASO PRÁCTICO
Dicho todo esto vamos a poner un caso práctico: tenemos un dominio con nuestro DC, ADFS, etc que queremos federar con Azure; para hacerlo empleamos Azure ADConnect. Lanzamos el ejecutable y casi al final de la configuración nos falla con el error que podemos ver en pantalla:
Hemos revisado toda la configuración y parece que todo está correcto. Así que procedemos a reintentar la ejecución, pero sigue fallando. Nos fijamos en qué hay un log en el que podemos revisar todos y cada uno de los pasos realizados. Examinando el log en detalle, observamos que lo que hay detrás son comandos de PowerShell. En concreto, vemos que aunque el asistente ha validado los DNS no ha terminado de verificarlos, con lo que no es posible validar correctamente el dominio. Para solventarlo, abrimos una consola de Powershell Azure AD, nos conectamos a nuestra suscripción y ejecutamos:
|
1 |
Get-MsolDomainVerificationDns –DomainName “nuestro_dominio” |
Comprobamos que las entradas DNS son las correctas, pulsamos “Retry”, y voilà la configuración se puede completar correctamente.
Como conclusión después de todo lo anterior, es que para poder diagnosticar de forma adecuada es importante conocer su mecánica de funcionamiento. ¡Un saludo y hasta la próxima! 