Entrei em contato com o suporte técnico do Office 365 e, entre nós, descobrimos que parece haver um bug / incompatibilidade entre o Azure AD Connect 1.1.647.0 e os controladores de domínio do Active Directory que executam o Windows Server (2012 R2) Essentials ou Standard com o Essentials. possivelmente devido a um filtro de senha implementado pelo Essentials.
Nós resolvemos o problema instalando o Azure AD Connect 1.1.443.0. Upgrades automáticos não devem ser um problema porque as credenciais já estão definidas.
O engenheiro disse que entrará em contato com a equipe de desenvolvimento para consertar isso em uma versão futura.
Atualização 2017/10/31 :
A instalação do Azure AD Connect 1.1.647.0 e 1.1.443.0 em um servidor do Controlador de Domínio que executa o Windows Server 2012 R2 Standard com o Windows Server Essentials (diferente do Windows Server 2012 R2 Essentials) falhou com um erro muito semelhante.
Mais uma vez, entrei em contato com o suporte técnico do Office 365 e, em última análise, tivemos que criar e usar uma conta de serviço dedicada. link | Password Synchronisation
foi muito útil ao fazer isso - tudo que você precisa fazer é substituir o nome de usuário de nível inferior.
Atualização 2017/11/01 :
A instalação do Azure AD Connect 1.1.649.0 (lançado em 2017/10/27) em um servidor que executa o Windows Server 2012 R2 Standard, mas em um ambiente do Active Directory do Windows Server 2012 R2 encontrou os mesmos erros, portanto, o problema ainda não é fixo.