Azure AD Connect: «Run profile ‚Full Import‘ does not have run steps»

Eines schönen Morgens erhielt ich die Meldung, dass neue AD-Objekte nicht mehr ins Azure AD synchronisiert werden. SSO funktionierte glücklicherweise, sonst hätte sie mir die Hütte eingerannt :).

Ich prüfte den «Synchronization Service» (C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe), welcher mir offenbarte, dass er seit einiger Zeit nicht mehr synchronisierte (kein Fehler, aber keine aktuellen Einträge!).

Das Eventlog war auskunftsfreudiger:

System.Management.Automation.CmdletInvocationException: Run profile ‚Full Import‘ does not have run steps. —> System.InvalidOperationException: Run profile ‚Full Import‘ does not have run steps.
bei Microsoft.IdentityManagement.PowerShell.Cmdlet.InvokeADSyncRunProfileCmdlet.ProcessRecord()

Wieder zurück im «Synchronization Service»-Tool, dort auf «Connectors». Da sind zwei Connectors vorhanden, einer mit dem Namen der internen Domäne, und der zweite mit dem Namen der O365-Domäne «*.onmicrosoft.com – AAD». Im internen Connector fehlten unter «Configure Run Profiles» tatsächlich sämtliche Profile!

Glücklicherweise lassen sich diese relativ einfach manuell erstellen:

1. Profil anwählen (z.b. «Full Import»), dann «New Step»
2. Type entsprechend wählen (siehe unten) > Next
3. Connector Configuration
   • Partition = interne Domain
   • Batch size = (siehe unten)
   • Page size = 500
   • Timeout = 120
4. Finish

Dies muss für alle Profile ausgeführt werden.

Ausserdem muss unter «Connectors», der interne angewählt, und dann mit «Properties» konfiguriert werden:

«Configure Directory Partitions» > internes AD wählen/aktivieren

Achtung: falls nicht das gesamte AD synchronisiert werden sollte, müssen nun im Azure AD Connect Client noch die gewünschten OU’s ausgewählt werden, da sonst das gesamte AD synchronisiert wird!

Sync starten mit

Start-ADSyncSyncCycle -PolicyType Initial