Azure AD Connect における “デバイスの書き戻し” オプションを有効化できない

現象

Azure Active Directory (Azure AD) Connect 構成ウィザードを実行すると、”Customize synchronization options” (同期オプションをカスタマイズする) ページでデバイスの書き戻しオプションを有効化できません。

原因

この問題は以下の条件のいずれかが該当する場合に発生します。 
  • Azure AD 組織がデバイスの書き戻しを有効化していない。
  • 組織の操作マスタの役割 (通称 Flexible Single Master Operations または FSMO の役割) を保有するドメイン コントローラーが 1 つ以上レプリケートされていない。

解決方法

手順 1: FSMO の役割またはレプリケーションの問題をトラブルシューティングする

  1. repadmin /showrepl コマンドを実行し、レプリケーションの状態を表示する画面を表示します。以下の手順に従って実行してください。 
    1. 管理者としてコマンド プロンプトを開きます。
    2. 以下のコマンドを実行します。
      repadmin /showrepl * /csv > replication.csv 
    3. Replication.csv ファイルを検証し、エラーをトラブルシューティングおよび修正します。
  2. FSMO の役割を強制します。場合によっては、FMSO の役割を保有するサーバーが正しく表示されない場合があります。FMSO の役割の強制自体が問題を解決する可能性があります。

    以下の手順に従って実行します。
    1. インストール済みのリモート サーバー管理ツール パックを有するドメイン コントローラーまたはコンピューターで、管理者権限でコマンド プロンプトを開きます。
    2. 以下のコマンドを実行します。
      netdom query FSMO 
    3. 出力に表示される各コンピューターに対し、以下の Microsoft Knowledge Base 資料の「FSMO の役割を転送する」セクションの手順に従って実行します。
      255504 : Ntdsutil.exe を使用してドメイン コントローラーに FSMO の役割を強制または転送する

手順 2: 組織でデバイスの書き戻しを有効化する

Azure AD Connect がインストール済みのサーバーで以下の手順に従います。
  1. リモート サーバー管理ツール パックがインストール済みあることを確認します。詳細については、「リモート サーバー管理ツール パックをインストールまたは削除する」を参照してください。
  2. 管理者として Windows PowerShell 用 Microsoft Azure Active Directory モジュールを開きます。詳細については、「Windows PowerShell での Active Directory 管理」 (英語) を参照してください。
  3. %ProgramFiles%\Microsoft Azure Active Directory Connect\AdPrep へ移動し、以下のコマンドを実行します。
    1. Import-module .\AdSyncPrep.psm1 
    2. Initialize-ADSyncDeviceWriteBack –domainname <domain.com>  
      上記コマンドにおいて、プレースホルダー<domain.com> はご利用の Active Directory ドメインを意味します。例えば、Initialize-ADSyncDeviceWriteBack –domainname contoso.com を実行します。

      ご利用の Active Directory 環境の各ドメインに対してこのコマンドを実行する必要があります。 
  4. ユーザー名入力を求められた場合は、エンタープライズ管理者のユーザー名を入力します。
  5. Azure AD Connect 構成ウィザードを開きます。この時点でデバイスの書き戻しが有効化されます。 

追加情報

Azure AD Connect がインストール済みのサーバーで、以下の場所にあるログを確認します。
C:\Users\<UserAccount which AAD Connect was installed>\AppData\Local\AADConnect\trace-<DateTime>.log

以下のようなエラー メッセージが表示される可能性があります。
“[13:15:30.864] [ 18] [ERROR] ADPowerShellQueyProvider:SearchAdSyncDirectoryObjects Failed to run the ldap search query. Parameter values passed to PowerShell:
ForestFqdn : <Forest_Name>
AdConnectorId : b3eeda3e-9a35-4cee-9fbe-a6fe1b0f8382
PropertiesToRetrieve : msDS-DeviceLocation,name,displayName,distinguishedName,objectClass
NamingContextType : Configuration
BaseDnType : Relative
AdConnectorUserName : <Domain>\MSOL_d95558f154ee
BaseDn : CN=Services
LdapFilter : (objectClass=msDS-DeviceRegistrationService)
SearchScope : Subtree
Exception Details :
System.Management.Automation.CmdletInvocationException: Error HRESULT E_FAIL has been returned from a call to a COM component. ---> System.Runtime.InteropServices.COMException: Error HRESULT E_FAIL has been returned from a call to a COM component. at MmsServerRCW.IMMSServer2.SearchADSyncDirectoryObjects(String forestFqdn, Guid& adConnectorGuid, String namingContextType, String baseDnType, String baseDn, String ldapFilter, String searchScope, String propertiesToLoad, String userName, String password, String& outputSerializedResult) at Microsoft.IdentityManagement.PowerShell.Cmdlet.AdSyncDirectorySearchResult.ProcessRecord()" 

( [13:15:30.864] [ 18] [ERROR] ADPowerShellQueyProvider:SearchAdSyncDirectoryObjects は Ldap 検索クエリを実行できませんでした。パラメータ値が PowerShell に渡されました:
ForestFqdn : <Forest_Name>
AdConnectorId : b3eeda3e-9a35-4cee-9fbe-a6fe1b0f8382
PropertiesToRetrieve : msDS-DeviceLocation,name,displayName,distinguishedName,objectClass
NamingContextType : 構成
BaseDnType : 相対
AdConnectorUserName : <Domain>\MSOL_d95558f154ee
BaseDn : CN=サービス
LdapFilter : (objectClass=msDS-DeviceRegistrationService)
SearchScope : サブツリー
Exception Details :
System.Management.Automation.CmdletInvocationException: エラー HRESULT E_FAIL が COM コンポーネントの呼び出しから返されました。---> System.Runtime.InteropServices.COMException: Microsoft.IdentityManagement.PowerShell.Cmdlet.AdSyncDirectorySearchResult.ProcessRecord() における MmsServerRCW.IMMSServer2.SearchADSyncDirectoryObjects(文字列 forestFqdn、Guid& adConnectorGuid、文字列 namingContextType、文字列 baseDnType、文字列 baseDn、文字列 ldapFilter、文字列 searchScope、文字列 propertiesToLoad、文字列 username、文字列 password、文字列 & outputSerializedResult) で、エラー HRESULT E_FAIL が COM コンポーネントの呼び出しから返されました。)
You may also see the following event 2092 warning message logged in Event Viewer on the domain controller that's experiencing the issue:
Event ID: 2092
Task Category: Replicaiton
Level: Warning
Description:
This server is the owner of the following FSMO role, but does not consider it valid. For the partition which contains the FSMO, this server has not replicated successfully with any of its partners since this server has been restarted. Replication errors are preventing validation of this role.

問題が発生しているドメイン コントローラーにおけるイベント ビューアに保存された以下のイベント 2092 の警告メッセージ:

Event ID: 2092
Task Category: レプリケーション
Level: 警告
Description:
このサーバーは次の FSMO 役割の所有者ですが有効ではないと判断されています。このサーバーが再起動されて以来、FSMO を含むパーティションについて、このサーバーはどのパートナーとも正しくレプリケートが行われていません。この状態が修正されるまで、FSMO 操作マスタへのアクセスを必要とする操作は失敗します。

その他トピックは、Office 365 コミュニティ Web サイトまたは Azure Active Directory フォーラムを参照してください。
プロパティ

文書番号:3085068 - 最終更新日: 2015/09/03 - リビジョン: 1

フィードバック