Gaan we weer, vandaag wat tijd gevonden, en gekregen, om die hybrid join connector te bekijken, en waarom deploys falen met de nieuwe connectors. Ga je in de event viewer kijken en kom je een foutmelding tegen die zegt:
RequestOfflineDomainJoinBlob_Failure: Failed to generate ODJ blob
InstanceId: <id>
RequestId: <id>
DeviceId: <id>
DomainName: <domain name>
RetryCount: 0
WinErrorCode: 5
ErrorDescription: Failed to call NetProvisionComputerAccount machineName=<ComputerName>
DiagnosticCode: 2048
DiagnosticText:"Failed to get the ODJ Blob. The ODJ connector does not have sufficient privileges to complete the operation [Exception Message: "DiagnosticException: 0x00000800. Failed to get the ODJ Blob. The ODJ connector does not have sufficient privileges to complete the operation"] [Exception Message: "Failed to call NetProvisionComputerAccount machineName=<ComputerName>"]"
En je vindt exact dezelfde foutmelding op de site van Microsoft. Het enige wat MS daar zegt is dat de permissies op de OU verkeerd staan als je die foutmelding ziet. Ik kijk de permissies na en ... die staan gewoon goed. De MSA mag computer objecten aanmaken in die OU.
Is het nu echt te veel gevraagd om wat meer detail in de foutmeldingen te steken zodat je op zijn minst weet op welke OU het misloopt? Want het kan niet de OU zijn waar ik de computerobjecten in wil laten terechtkomen, daar staan de rechten gewoon goed.
Dus kiezen we maar even voor de nucleaire optie en geef ik die MSA full control op de OU, en dat maakt ook geen verschil. Verder zoeken dus. Uit nieuwsgierigheid start ik ook even mijn tweede connector op en sluit ik de eerste af. En verhip. Nummer twee werkt wel gewoon. Waar zit dan het verschil? (buiten dat 1 op 2025 draait en 2 op 2022).
Wat verder zoeken, en dan kom ik er achter dat op de eerste server, de service onder het system account draait ipv de MSA, terwijl op server 2 deze wel netjes onder de MSA draait. En daar heb je dus het verschil. Ik probeer om nogmaals de MSA op te zetten op server 1 en loop weer tegen exact dezelfde problemen aan als enkele weken terug. Problemen die ik dacht opgelost te hebben. Ik blijf een access denied krijgen, en na wat zoekwerk ga ik kijken naar de OU waarop ik vermoed dat ik vast loop en .. mijn account heeft er full control, toch faalt deze op het "verwijderen" van de MSA, ondanks dat deze niet eens rechten heeft op die OU.
Op dus naar een andere oplossing. Even de computeraccount rechten geven om computers aan te maken in die OU. Als de MSA niet werkt, werkt dat misschien wel, ook al is het niet de bedoeling. En ja hoor. Nu werkt alles.
Nu maar hopen dat wanneer MS eind deze maand de stekker eruit trekt, dat ze dat gewoon doen aan de hand van de versie van de connector. En in de toekomst verder kijken hoe we dit toch correct kunnen opzetten.
[
Voor 3% gewijzigd door
Blokker_1999 op 04-06-2025 13:01
]
No keyboard detected. Press F1 to continue.