Introdução
Instalar um segundo servidor Microsoft Entra (Azure) AD Connect em modo Staging é uma prática recomendada para garantir alta disponibilidade da sincronização de identidades. Entretanto, muitos administradores relatam o erro “Creation of connector AAD failed. This may be due to replication delay”. O problema, na esmagadora maioria dos casos recentes, não tem relação com a replicação do Active Directory e sim com o protocolo TLS 1.2 desativado. Este artigo detalha a causa, demonstra como diagnosticar e mostra o passo a passo para corrigir de forma definitiva.
Visão geral do cenário
| Aspecto | Detalhes principais |
|---|---|
| Cenário | Instalação de um segundo servidor Microsoft Entra AD Connect (versão 2.x) em modo Staging. |
| Erro exibido | Creation of connector <tenant>.onmicrosoft.com – AAD failed. This may be due to replication delay. An error occurred while sending the request. |
| Sintomas nos logs | – Falha contínua ao criar o conector e a conta de serviço. – Exceção SynchronizationConfigurationValidationException e erro AADSTS50173 (token revogado). |
| Ferramentas verificadas | repadmin e Visualizador de Eventos não mostravam qualquer atraso ou erro de replicação no domínio. |
Entendendo o erro
O instalador precisa estabelecer conexões HTTPS seguras com vários pontos de extremidade da Microsoft para:
- Validar assinatura do token do tenant.
- Criar o conector AAD interno.
- Provisionar a conta de serviço no inquilino.
Se o sistema operacional ou o .NET Framework não oferecerem TLS 1.2, o handshake TLS falha. A biblioteca subjacente devolve um erro genérico de rede (“An error occurred while sending the request”). O assistente interpreta a falha como “replication delay” porque, na versão 2.x, esse foi o motivo mais comum de falhas de criação do conector. O resultado é uma mensagem que confunde, levando o administrador a investigar replicação on‑premises quando o verdadeiro problema está na camada de segurança de transporte.
Análise da causa raiz
A partir da versão 2.0, o Entra Connect utiliza exclusivamente TLS 1.2 para todas as chamadas REST e SOAP. Quando o protocolo não está habilitado no provedor Schannel ou quando aplicativos .NET não são configurados para usar SystemDefault, ocorre falha de comunicação. Sistemas onde o hardening de TLS foi feito manualmente ou servidores mais antigos atualizados in‑place costumam ter esta configuração incorreta. Em ambientes com antivírus e soluções de DLP, é comum encontrar políticas que forçam TLS 1.0 por compatibilidade, desativando TLS 1.2 sem que o administrador perceba.
Identificando a ausência de TLS 1.2
Antes de alterar o registro, vale confirmar que o protocolo realmente está ausente. Os métodos abaixo são rápidos e não exigem downtime:
- PowerShell:
Invoke-WebRequest -Uri "https://login.microsoftonline.com" -UseBasicParsingSe retornar The request was aborted: Could not create SSL/TLS secure channel, o host não negocia TLS 1.2. - Command Prompt:
curl -v https://login.microsoftonline.com --ssl-no-revokeObserve a linha SSL connection using TLSv1.2. Caso apareça TLSv1 ou TLSv1.1, o 1.2 não está habilitado. - Registro:
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client /v EnabledSe a chave não existir ou tiver valor 0, o protocolo está desativado para o lado cliente.
Procedimento de correção passo a passo
Execute os passos seguintes diretamente no servidor que hospedará o Entra Connect em modo Staging. O procedimento é suportado em Windows Server 2012 R2 ou superior.
- Habilitar TLS 1.2 no Schannel
Abra o Editor do Registro (regedit.exe) como Administrador e confirme/adicione as chaves:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\
TLS 1.2\Client\Enabled = 1 (DWORD)
TLS 1.2\Client\DisabledByDefault = 0 (DWORD)
TLS 1.2\Server\Enabled = 1 (DWORD)
TLS 1.2\Server\DisabledByDefault = 0 (DWORD)
- Forçar .NET a usar TLS 1.2
Em versões do .NET Framework 4.6 ou posteriores, o valorSystemDefaultTlsVersionsjá existe, mas é prudente verificar:
HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
SystemDefaultTlsVersions = 1 (DWORD)
HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
SchUseStrongCrypto = 1 (DWORD)
Repita as mesmas chaves na ramificação Wow6432Node se o sistema for 64‑bit.
- Reiniciar o servidor
O reinício garante que o provedor Schannel carregue a nova configuração. É possível fazergpupdate /force, mas o reboot é mais seguro. - Executar o instalador do Entra Connect
Em modo Staging selecione “Use existing AD account”. O conector será criado sem erros e o assistente concluirá em poucos minutos.
Validação pós-correção
- Abra o Synchronization Service Manager e confirme status Idle em todos os Connectors.
- Execute
Get-ADSyncSchedulerem PowerShell e confirmeSyncCycleEnabled : False(modo Staging) eNextSyncCyclePolicyType : Delta. - No Azure Portal, navegue até Azure Active Directory → Synchronization e verifique “Última sincronização” atualizada.
- Use o comando
Test-NetConnection login.microsoftonline.com -Port 443e confirme TcpTestSucceeded : True.
Boas práticas complementares
| Tema | Recomendações |
|---|---|
| Validação de pré‑requisitos | – Aplicar todas as atualizações acumulativas do Windows. – Revisar políticas de segurança herdadas que possam reabilitar TLS 1.0/1.1. – Garantir que antivírus não faça interceptação TLS sem suporte a 1.2. |
| Diagnóstico de rede | – Usar Test-NetConnection para validar handshake.– Rodar “Microsoft Support and Recovery Assistant” em servidores com falha persistente. |
| Tokens AADSTS50173 | – Normalmente indicam bloqueio no canal seguro. Verifique TLS antes de redefinir senhas ou investigar replicação. |
| Instalações em build preview | – Builds Insider ou LTSC preview podem trazer TLS 1.2 desativado por padrão para testes. Sempre confirme as chaves antes da instalação. |
Perguntas frequentes
Ativar TLS 1.2 quebra aplicações legadas?
Não. Manter TLS 1.0/1.1 habilitados (Enabled = 1) garante compatibilidade. Apenas não defina DisabledByDefault = 1 nesses protocolos.
Posso apenas habilitar no .NET sem mexer no Schannel?
Não. O instalador usa WinHTTP nativo além do .NET; ambos precisam de TLS 1.2.
O modo Staging sincroniza senhas?
Sim. Sincroniza inclusive o hash de senha, mas não exporta mudanças para a nuvem. Após promover o servidor, o atributo Enabled = True no Scheduler ativa a exportação.
Existe atualização da Microsoft que corrige isso automaticamente?
Até o momento não. A equipe do produto recomenda a habilitação manual de TLS 1.2 antes da instalação.
Resumo executivo
O código de erro “replication delay” durante a instalação de um segundo Microsoft Entra AD Connect em modo Staging normalmente não sinaliza qualquer falha real de replicação. Em quase todos os incidentes relacionados a versões 2.x, a causa raiz é TLS 1.2 desativado no servidor. Ao habilitar o protocolo tanto no Schannel quanto no .NET, o conector é criado com sucesso, a conta de serviço é provisionada e a sincronização entra em estado saudável — sem alterações adicionais na topologia de domínio.