MENU
  1. Accueil
  2. Microsoft 365
  3. Erreur « Creation of connector failed » lors de l’installation d’un second serveur Microsoft Entra Connect : diagnostic et résolution TLS 1.2

Erreur « Creation of connector failed » lors de l’installation d’un second serveur Microsoft Entra Connect : diagnostic et résolution TLS 1.2

Microsoft 365

Vous ajoutez un serveur Microsoft Entra Connect en mode Staging, tout semble prêt et pourtant l’assistant s’interrompt avec “Creation of connector … failed”. Cette erreur, souvent attribuée à tort à la réplication Active Directory, provient presque toujours d’un oubli : TLS 1.2 n’est pas pleinement activé sur le nouveau serveur.

Sommaire

Échec de création du connecteur lors de l’installation d’un second serveur Microsoft Entra Connect

Vue d’ensemble de la question

  • Mise en place d’un serveur AAD Connect secondaire configuré en mode Staging pour la haute disponibilité ou la migration.
  • L’assistant bloque sur l’étape Configure AAD Sync et affiche :
    Creation of connector <tenant>.onmicrosoft.com – AAD failed. This may be due to replication delay. An error occurred while sending the request.
  • Aucun dysfonctionnement de réplication n’est identifié par repadmin ou dans l’Observateur d’événements, ce qui induit souvent les administrateurs en erreur.

Diagnostic

Les investigations répétées sur ces blocages aboutissent aux constats techniques suivants :

  1. Versions concernées : toutes les éditions d’Entra Connect à partir de la branche 2.x, donc également toutes les nouvelles installations depuis la mise au rebut officielle d’AAD Connect 1.x.
  2. Symptômes récurrents dans les journaux :
    • Exceptions System.Management.Automation.CmdletInvocationException et Microsoft.IdentityManagement.PowerShell.…SynchronizationConfigurationValidationException dans le fichier de trace.
    • Codes MSAL tels que AADSTS50173 – The provided grant has expired.
    • Création en boucle du compte service account (microsoft online dirsync) suivie d’une suppression immédiate.
  3. Cause racine identifiée : l’algorithme d’échange TLS 1.2 n’est pas ou plus actif côté client Windows Server. En conséquence, tous les appels HTTPS à Graph, Provisioning Web Service, Azure AD STS et MIM Service échouent silencieusement puis sont interprétés par l’assistant comme un “retard de réplication”.

Pourquoi TLS 1.2 est indispensable pour Entra Connect ≥ v2

Depuis juin 2022, Microsoft a définitivement désactivé TLS 1.0/1.1 sur l’ensemble de ses services d’identité. Entra Connect 2.x contient une logique de validation TLS “hard-coded” : si la négociation réseau ne se fait pas en TLS 1.2, la requête n’est même pas transmise, ce qui déclenche les messages erronés sur la “réplication”.

  • Graph API : utilisé dès le lancement de l’assistant pour créer le connecteur et récupérer la configuration du tenant.
  • Provisioning Web Service : dialogue utilisé par l’agent de synchronisation pour provisionner les comptes de service MIM.
  • MSAL : la librairie d’authentification moderne requiert plusieurs redirections OAuth 2.0 chiffrées en TLS 1.2.

Solution validée par la communauté et par l’éditeur

La correction consiste simplement à (ré)activer TLS 1.2 et à s’assurer que le framework .NET s’aligne sur les standards :

; Forcer TLS&nbsp;1.2&nbsp;–&nbsp;client et serveur
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"Enabled"=dword:00000001
"DisabledByDefault"=dword:00000000

; Activer la cryptographie forte pour .NET&nbsp;4.x
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001
"SystemDefaultTlsVersions"=dword:00000001
  1. Ouvrez l’Éditeur du Registre ou appliquez un GPO afin de distribuer ces clés sur tout serveur Entra Connect.
  2. Redémarrez le serveur pour garantir le rechargement de SCHANNEL et du CLR .NET 4.x.
  3. Relancez l’assistant ; l’étape Configure AAD Sync se déroule désormais sans incident et le connecteur apparaît dans la Console Synchronisation.

Étapes de vérification avant et après redémarrage

  1. Dans Observateur d’événements ➔ Journaux Windows ➔ Système ➔ Schannel, recherchez l’ID 36874 ou 36886. Leur absence après remédiation confirme la négociation TLS 1.2.
  2. Exécutez [System.Net.ServicePointManager]::SecurityProtocol dans une console PowerShell 5.x. Le résultat doit inclure 3072 (Tls12).
  3. Lancez Test-NetConnection login.microsoftonline.com -Port 443 ; ceci valide la connectivité de bout en bout sans inspection ou rétrogradation TLS.

Pièges courants rencontrés

  • Images durcies : certains templates de serveurs durcissent le canal TLS et laissent TLS 1.2 côté Server mais pas côté Client.
  • Avast/Bitdefender avec HTTPS Scanning : les proxys d’antivirus d’entreprise interceptent TLS et injectent leurs certificats racines, brisant la chaîne de confiance.
  • .NET 4.x non patché : avant 4.8, SystemDefaultTlsVersions n’est pas activé d’office. Sans la clé registre, l’application reste en TLS 1.0.
  • Proxy explicite : si un proxy impose TLS 1.3 uniquement, les appels .NET 4.8 (compatible jusqu’à 1.2) échouent ; activez pour l’instant TLS 1.2 sur le proxy ou migrez vers Entra Connect Sync v3 (préversion .NET 6).

Bonnes pratiques post‑résolution

Après le succès de l’installation, profitez‑en pour sécuriser et documenter votre environnement :

  • Planifiez une tâche de basculement mensuelle : inversez le mode Staging/Active pour vérifier régulièrement la capacité de reprise.
  • Ajoutez un script PowerShell de surveillance qui lit l’événement DirectorySynchronization – Export Scheduler afin d’alerter dès qu’un delta n’est pas appliqué.
  • Documentez le regroupement SPN du compte de service, les règles de pare‑feu et l’URL d’Endpoint de provisioning ; ces éléments sont critiques lors d’un audit.
  • Maintenez le niveau de correctifs DU (Durable Update) Windows Server : des correctifs récents optimisent la compatibilité TLS 1.3 sans rompre TLS 1.2.

Tableau récapitulatif des contrôles rapides

À contrôlerPourquoiMémo rapide
Version d’Entra ConnectLes builds ≥ 2.1 retirent toute prise en charge TLS 1.0/1.1Release notes officielles
Système d’exploitationWindows Server 2022 active TLS 1.2 par défaut mais pas sur certaines images durciesKB TLS par rôle/OS
Connectivité 443Inspection SSL ou proxy canalisé = handshake rejetéPorts & FQDN prereqs AAD Connect
Outils d’auditDétecter les suites ciphers obsolètes ou manquantesSupport and Recovery Assistant, IISCrypto

FAQ

Faut‑il mettre à jour Entra Connect 1.x vers 2.x avant d’ajouter un serveur de secours ?
Oui. Le mode Staging n’est officiellement pris en charge entre deux serveurs qu’à iso‑version. Depuis janvier 2024, seul le canal 2.x reçoit des correctifs.

Existe‑t‑il un contournement temporaire si je ne peux pas activer TLS 1.2 ?
Non. Microsoft a supprimé la possibilité de forcer TLS 1.0/1.1 côté service. Activez TLS 1.2 ou installez Entra Connect sur un OS plus récent.

Que signifie le code erreur AADSTS50173 dans ce contexte ?
Le jeton d’accès MSAL devient invalide avant d’être utilisé car la négociation TLS échoue ; MSAL l’interprète comme un jeton expiré.

Résumé pratique

Erreur de connecteur ≠ problème de réplication. Sur un second serveur AAD Connect, si l’installation échoue avec “This may be due to replication delay” alors que votre AD est sain, vérifiez avant tout l’activation de TLS 1.2. Dans plus de 90 % des cas, cette simple modification règle l’installation en moins de cinq minutes.

En appliquant ces recommandations, vous disposez d’un serveur Entra Connect redondant, prêt à prendre le relais sans perte de synchronisation, tout en respectant les exigences de sécurité TLS modernes.

Microsoft 365
Sommaire