AADConnect Upgrade fails: “the provided user is not a member of the enterprise admins group”

In irgendeiner Version seit 1.1.5xx hat Microsoft im Upgrade-Wizard von AADConnect offensichtlich den Code zur Prüfung des Enterprise Admin Accounts geändert, den man im Upgrade Wizard angeben muss.

Unter bestimmten Umständen kann es passieren, dass Accounts nicht funktionieren, obwohl sie Mitglieder der Enterprise Admins-Gruppe des Forests sind, so geschehen jetzt aktuell in einer meiner Umgebungen.

Das Szenario:

  • Der Forest besteht aus einer Root-Domain (z.B. contoso.com) und mindestens einer Subdomain (z.B. corp.contoso.com)
  • Der verwendete administrative Account ist Mitglieder der Gruppe “Enterprise Admins” in der Root-Domain
  • Der verwendete administrative Account befindet sich selbst in einer Subdomain

Und genau der letzte Punkt ist das Problem: Im Code versucht der Wizard die Gruppenmitgliedschaften des angegeben Users aufzulösen, sucht sich hierzu jedoch ein neues DirectoryEntry-Objekt mit Hilfe des samAccountNames und unter Verwendung einer Verbindung zur Root Domain. Und damit erhält man meist keinen User und damit keine Gruppenmitgliedschaften und daher erscheint die Fehlermeldung.

Die einfache Lösung: Der verwendete Account muss sich auch in der Root-Domain befinden, also im Zweifelsfall einen separaten Account anlegen oder den Builtin-Administrator der Root-Domain verwenden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte die Buchstaben des captcha Bildes im Eingabefeld eintippen

Please type the characters of this captcha image in the input box