AAD Connect will not start due to logon failure

In questo articolo, vi presentiamo una situazione che potrebbe capitarvi ed il comportamento che qualsiasi utente metterebbe in atto di conseguenza.
L’errore in questione, è un’ulteriore conferma del fatto che dovete sempre prestare attenzione a non installare AAD Connect su un domain controller.

La situazione che presentiamo si è creata perché l’utente amministratore doveva sincronizzare alcuni nuovi utenti ma, quando ha aperto AAD Connect, gli si è presentato il seguente messaggio:

Azure Active Directory

Come si evince dal messaggio d’errore, il servizio associato “Microsoft Azure AD Sync” non sta funzionando.

Azure Active Directory

Il servizio ha fallito l’esecuzione con il seguente errore: “Error 1069: The service did not start due to logon failure”.

Azure Active Directory

I permessi associati dell’account “AAD_” erano confermati ed un tentativo di avviare il servizio ha fatto sì che si presentasse il medesimo errore.

Lo step successivo dell’utente, è stato quello di riavviare il server su cui AAD Connect era installato. Ma, nuovamente, AAD Connect ha restituito il medesimo errore ed il servizio non è partito.

Dopo aver rimosso e re-installato AAD Connect ed aver riavviato il server, si è presentato nuovamente il messaggio d’errore.

Successivamente, AAD Connect è stato rimosso manualmente e re-installato. Questa volta, dopo aver riavviato il server, AAD Connect funziona correttamente.

Ciò nonostante, dopo un po’ di tempo, si è ripresentato il medesimo messaggio.

A questo punto, l’utente decide di dare un’occhiata alle impostazioni di “Log on as a service” all’interno delle Local Security Policy ed assicurarsi che l’account “AAD_” (o qualsiasi gruppo di cui facesse parte) non fosse uno degli utenti assegnati.
In effetti l’impostazione “Log on as a service” era stata gestita dalle group policy ma nessuno degli account di default era assegnato (i.e. “NETWORK SERVICE” and “NT SERVICE\ALL SERVICES”).

Dopo aver ricevuto il permesso del cliente, l’impostazione “Log on as a service” all’interno delle “Default Domain Policy” era stato aggiornato per includere gli account corretti.

 

ATTENZIONE

 

L’impostazione di group policy “Log on as a service” si trova sotto le seguente voce:
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.

Una volta aggiornata la group policy, è stato eseguito il comando “gpupdate /force” dal Command Prompt per aggiungere i nuovi cambiamenti al server interessato.

A questo punto, il “Microsoft Azure AD Sync” si è avviato senza ulteriori problematiche e AAD Connect si è aperto correttamente.

Contattaci

La tua crescita parte da qui
Per maggiori informazioni

Contattaci

    Iscriviti alla newsletter

      Tematiche d'interesse