Problemen met Azure AD Password-hash sync

Vele malen ging het zonder slag of stoot, maar ditmaal liep ik bij het koppelen van een on-premise omgeving aan een office 365 omgeving tegen het probleem aan dat objecten werden gesynchroniseerd zonder wachtwoorden.

In de eventvwr zag ik een boel Event ID 611 meldingen:

Microsoft.Online.PasswordSynchronization.DirectoryReplicationServices.DrsException: RPC Error 8453 : Replication access was denied. There was an error calling _IDL_DRSGetNCChanges.

De eerste stappen in troubleshooting waren het aanpassen van de Powershell Execution policies:

Set-ExecutionPolicy RemoteSigned
Set-ExecutionPolicy Unrestricted

Wanneer dat geen effect heeft, ga je naar services.msc en noteer je het user-account dat staat bij Log On As bij de Microsoft Azure AD Sync service. Ga vervolgens naar Active Directory Users and Computers. Klik daar met rechts op je Domain en ga naar de properties. Ga naar het tabblad security en geef de gebruiker die je eerder genoteerd hebt Allow permissies op:
– Replicating Directory Changes
– Replicating Directory Changes All

Je zult nu een Event ID 622 zien: Full Password hash synchronization completed for domain