Réseaux Sociaux

Un bug a été détecté dans Azure AD Connect Preview, empêchant la désinstallation complète du produit.

En effet, lorsque vous souhaitez désinstaller le programme via Programs and Features, la désinstallation de Microsoft Azure Active Directory Connect Tool (Preview) ne désinstalle pas automatiquement l’outil de synchronisation Microsoft Azure AD Sync.

 

Uninstall AADConnect Preview

 

Il vous sera donc impossible de réinstaller correctement l’outil, et un nettoyage manuel sera nécessaire. Microsoft est au courant de ce problème et doit le corriger pour la sortie officielle du produit.

Solution

Nous n’avez pas encore désinstallé Azure AD Connect (ouf)

La solution de contournement consiste à désinstaller d’abord Microsoft Azure AD Sync AVANT de désinstaller Azure AD Connect Preview.

Pour cela :

  1. Ouvrez une Invite de Commande en tant qu’administrateur
  2. Tapez la commande cd « C:\Program Files\Microsoft Azure Active Directory Connect »
  3. Tapez ensuite la commande DirectorySyncTool.exe /uninstall

      

    Command Prompt

     

  4. Dans la fenêtre qui s’affiche, cliquez sur le bouton Uninstall

      

    AADConnect uninstall

     

  5. Vous pouvez maintenant désinstaller l’outil Azure Active Directory Connect Tool (Preview) depuis le menu Program and Features

 

Vous avez déjà désinstallé Azure AD Connect (zut)

Vous allez devoir effectuer un nettoyage du serveur pour pouvoir réinstaller correctement l’outil AADConnect.

Suivez ce guide pour plus d’informations.

Mots-clés : , , , , , , , , , , , , ,

  

Lorsque vous essayez de supprimer l’outil Azure Active Directory Sync, il se peut que la désinstallation ne se passe pas correctement, soit parce que vous n’avez pas désinstallé le bon produit dans le menu Programs and Features, soit parce que l’installation est corrompue.

Dans ces cas-là, l’erreur suivante peut s’afficher dans l’assistant Azure Active Directory : « Unable to install the Synchronization Service. PLease see the event log for additional details« .

 

unable to install the synchronization service

 

Voici quelques pistes pour désinstaller manuellement Azure Active Directory Sync.

Désinstallation des produits

Dans le menu Programs and Features, désinstallez tous les produits suivants :

Avec Azure Active Directory Connect

  • Microsoft Azure Active Directory Connect Tool
  • Microsoft Azure AD Sync
  • Forefront Identity Manager Windows Azure Active Directory Connector
  • Microsoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native Client
  • Microsoft SQL Server 2012 Command Line Utilities
  • Microsoft Online Services Sign-in Assistant (redémarrage requis)
  • Windows Azure Active Directory Module for Windows Powershell

 

uninstall programs

 

Avec Azure Active Directory Sync (standalone)

  • Microsoft Azure AD Connection Tool
  • Microsoft Azure AD Sync
  • Forefront Identity Manager Windows Azure Active Directory Connector
  • Microsoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native Client
  • Microsoft SQL Server 2012 Command Line Utilities
  • Microsoft Online Services Sign-in Assistant (redémarrage requis)
  • Windows Azure Active Directory Module for Windows Powershell

Suppression des dossiers

L’assistant de désinstallation ne supprime pas certains dossiers, ce qui peut poser des problèmes lors d’une réinstallation.

Vous devez donc supprimer les dossiers suivants :

Avec Azure Active Directory Connect

  • C:\Program Files\Microsoft Azure Active Directory Connect
  • C:\Program Files\Microsoft Azure AD Sync

 

Azure AD Sync folders

 

Avec Azure Active Directory Sync (standalone)

  • C:\Program Files\Microsoft Azure AD Connection Tool
  • C:\Program Files\Microsoft Azure AD Sync

 

Suppression de la tâche planifiée

Vous devez également supprimer la tâche planifiée lancant la synchronisation des objets dans le Cloud.

  1. Ouvrez le Task Scheduler
  2. Dans le conteneur Task Scheduler Library, faites un clic-droit sur Azure AD Sync Scheduler et cliquez sur Delete

 

task scheduler azure ad

 

Nettoyage du registre

Ouvrez le registre en tant qu’administrateur et supprimez les clés suivantes si elles existent encore :

Avec Azure Active Directory Connect

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AD Sync
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Azure AD Connect
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server Local DB
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftAzureADConnectionTool
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\AzureActiveDirectoryDirectorySyncTool
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\AzureADConnect_RASAPI32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\AzureADConnect_RASMANCS
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASAPI32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASMANCS

 

Avec Azure Active Directory Sync (standalone)

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AD Sync
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server Local DB
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicrosoftAzureADConnectionTool
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application\AzureActiveDirectoryDirectorySyncTool
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASAPI32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\DirectorySyncTool_RASMANCS

 

Vous pouvez désormais relancer l’installation d’Azure Active Directory Connect.

Mots-clés : , , , , , , , , , ,

  

Lorsque vous installez Active Directory Federation Services 3.0 (ADFS) sur un serveur Windows Server 2012 R2, il se peut que vous rencontriez l’erreur suivante :

Windows could not start the Active Directory Federation Services service on Local Computer.

Error 1297 : A privilege that the service requires to function properly does not exist in the service account configuration.

 

erreur 1297 service adfs 3.0

 

Solution

L’erreur affichée dans l’Event Viewer est pour une fois claire : il manque un privilège au service ADFS pour qu’il puisse se lancer correctement.

Un petit tour dans le registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\adfssrv nous montre que le service a besoin du privilège Security Audits.

 

ADFS service privilege security audit

 

Il ne vous reste plus qu’à rajouter votre compte de service ADFS dans la partie « Generate Security Audits » des paramètres de sécurité locaux, ou de déployer ce paramètre par GPO.

 

security audit ADFS GPO

 

Pour information, ce paramètre se situe dans la partie Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.

Mots-clés : , , , , , , , , , ,

  

Edit 27/10/2014 : Microsoft a désormais publié une mise à jour de l’outil AADSync en version 1.0.0470.1023. Cette dernière mouture corrige enfin le problème de synchronisation des proxyAddresses. Vous pouvez la télécharger ici.

———————————————————–

AADSync (Microsoft Azure Active Directory Sync) est le nouvel outil de synchronisation d’annuaires vers Office365 et Azure. Cette release a été publiée le 15/09/2014 en version 1.0.0419.0911.

AADsync est toujours basé sur le moteur FIM, mais un certain nombre de nouveautés ont été introduites :

  • Nouvelle interface de configuration
  • Synchronisation multi-forêt
  • Synchronisation de plusieurs serveurs Exchange on-prem vers un même tenant Office365
  • Gestion des synchronisations dans le Task Scheduler
  • Nouvelles règles de filtrage, de mapping d’attributs AD et de provisionning (Synchronization Rules Editor)
  • Nouvelles commandes Powershell

AADSync et ProxyAddresses : attention

Après avoir désinstallé DirSync puis installé AADSync, j’ai eu la surprise de voir que tous mes alias de messagerie Exchange Online avaient disparu sur l’ensemble de mes boites mails.

Un petit tour sur les forums montre effectivement une réponse de la part du Support Microsoft : la version 1.0.0419.0911 ne prend pas correctement en charge le mapping de l’attribut ProxyAddresses. Ce n’est pas tout à fait vrai. En fait, cela dépend de votre configuration.

Voici la mienne :

  • Pas d’organisation Exchange interne
  • J’ai choisi l’option Users are only represented once across all forests
  • Je gère manuellement la liste des proxyAddresses dans les comptes AD
  • Password Write-back : désactivé
  • Mapping / Filtering : activé pour toutes les applications

Le champ mailNickName de mes comptes Active Directory n’est par contre pas renseigné, et c’est à ce niveau que ça coince. En effet, un certain nombre de filtres sont appliqués par défaut sur les règles préexistantes.

La règle In from AD – User Common from Exchange prend en charge l’attribut ProxyAddresses mais n’est appliquée que si le champ MailNickname n’est pas nul.

 

mail nickname

Solution de contournement

La solution de contournement est simple : Soit vous complétez le champ mailNickName de tous vos comptes AD, soit vous créez une nouvelle règle de Transformation dans Synchronization Rules Editor.

  • Ouvrez l’outil Synchronization Rules Editor.
  • Dans la partie Rules Type, choisissez Inbound.

 

Synchronization Rules Editor

 

  • Sélectionnez la règle In from AD – User Common et cliquez sur Edit.

 

Synchronization Rules Editor - Inbound rule

 

  • Dans l’onglet Transformations, cliquez sur Add Transformation puis sélectionnez ProxyAddresses dans la partie Target et Source. Enregistrez les modifications en cliquant sur Save.

 

transform rule aadsync

 

  • Allez dans le dossier C:\Program Files\Microsoft Azure AD Sync\Bin puis lancez DirectorySyncClientCmd.exe pour lancer une nouvelle synchronisation.

 

  • Ouvrez la console FIM (C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe) et vérifiez que vos alias de messagerie ont bien été synchronisés dans le cloud !

 

FIM Proxy Addresses

Mots-clés : , , , , , ,

  

Lorsque vous souhaitez installer l’outil Azure Active Directory Sync (DirSync) sur une machine Windows Server 2008 R2 en français, vous pouvez rencontrer l’erreur suivante :

The minimum version of Windows Powershell is 2.0. Please install the minimum version required (or higher) and try again.

 

Erreur Powershell Dirsync

 

Cependant, vous n’êtes pas sans savoir que Windows Server 2008 R2 est livré avec… Powershell 2.0 ! Vous ne devriez donc pas rencontrer cette erreur sur un serveur 2008 R2 ou supérieur.

 

Solution

Cette erreur est due à une mauvaise gestion du format régional par l’outil d’installation DirSync. En effet, le programme d’installation est incompatible avec le format régional français, qui a comme symbole décimal la virgule, au lieu du point aux Etats-Unis. Le problème est connu de Microsoft et sera corrigé dans la prochaine version de l’outil.

Pour pouvoir installer DirSync, vous devez donc changer temporairement le format régional de votre serveur en Anglais (Etats-Unis) le temps de l’installation.

 

Format régional Windows

 

Alernativement, vous pouvez également changer le symbole décimal en cliquant sur le bouton Paramètres supplémentaires.

 

Symbole décimal Windows

Mots-clés : , , , , , , , ,