Sdílet prostřednictvím

Diagnostika a oprava chyb synchronizace kvůli duplicitním atributům

  • Článek

Přehled

Pokud chcete zvýraznit chyby synchronizace, microsoft Entra Connect Health zavádí samoobslužnou nápravu. Řeší chyby synchronizace duplicitních atributů a opravuje objekty, které jsou osamocené z ID Microsoft Entra. Funkce diagnostiky má tyto výhody:

  • Poskytuje diagnostický postup, který zúží chyby synchronizace duplicitních atributů. A poskytuje konkrétní opravy.
  • Použije opravu pro vyhrazené scénáře z ID Microsoft Entra k vyřešení chyby v jednom kroku.
  • K povolení této funkce není potřeba žádný upgrade ani konfigurace. Další informace o Microsoft Entra ID naleznete v tématu Synchronizace identit a odolnost duplicitních atributů.

Problémy

Běžný scénář

Když dojde k chybám synchronizace QuarantinedAttributeValueMustBeUnique a AttributeValueMustBeUnique , je běžné vidět konflikt userPrincipalName nebo proxy adres v Microsoft Entra ID. Chyby synchronizace můžete vyřešit aktualizací konfliktních zdrojových objektů z místní strany. Chyba synchronizace se vyřeší po další synchronizaci. Tento obrázek například označuje, že dva uživatelé mají konflikt jejich UserPrincipalName. Oba jsou Joe.J@contoso.com. Konfliktní objekty jsou v microsoft Entra ID v karanténě.

Diagnostika běžných scénářů chyb synchronizace

Scénář osamocených objektů

Někdy můžete zjistit, že stávající uživatel ztratí zdrojové ukotvení. Odstranění zdrojového objektu proběhlo v místní Active Directory. Ale změna signálu odstranění se nikdy nesynchronizovala s Microsoft Entra ID. K této ztrátě dochází z důvodů, jako jsou problémy se synchronizačním modulem nebo migrace domény. Pokud se stejný objekt obnoví nebo znovu vytvoří, logicky by existující uživatel měl být uživatelem, který se má synchronizovat ze zdrojového ukotvení.

Pokud je existujícím uživatelem pouze cloudový objekt, uvidíte také konfliktní uživatele synchronizovaný s Microsoft Entra ID. Uživatel se nedá synchronizovat s existujícím objektem. Neexistuje žádný přímý způsob, jak přemapovat zdrojové ukotvení. Další informace o stávajících znalostní báze

Například stávající objekt v ID Microsoft Entra zachová licenci Joea. Nově synchronizovaný objekt s jiným zdrojovým ukotvení se vyskytuje ve stavu duplicitního atributu v ID Microsoft Entra. Změny pro Joea v místní Active Directory se v Microsoft Entra ID nepoužijí u původního uživatele Joea (existujícího objektu).

Diagnostika scénáře osamocených objektů synchronizace

Postup diagnostiky a řešení potíží ve službě Connect Health

Funkce diagnostiky podporuje uživatelské objekty s následujícími duplicitními atributy:

Attribute name Typy chyb synchronizace
UserPrincipalName QuarantinedAttributeValueMustBeUnique nebo AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique nebo AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

Důležité

Pro přístup k této funkci se vyžaduje minimálně oprávnění přispěvatele z Azure RBAC.

Postupujte podle kroků z Centra pro správu Microsoft Entra, abyste zúžili podrobnosti o chybě synchronizace a poskytli konkrétnější řešení:

Kroky diagnostiky chyb synchronizace

V Centru pro správu Microsoft Entra proveďte několik kroků k identifikaci konkrétních opravitelných scénářů:

  1. Zkontrolujte sloupec Diagnostikovat stav. Stav ukazuje, jestli existuje možný způsob, jak opravit chybu synchronizace přímo z ID Microsoft Entra. Jinými slovy, tok řešení potíží existuje, který může zúžit případ chyby a potenciálně ho opravit.
Stav Co to znamená?
Nezahájeno Tento proces diagnostiky jste navštívili. V závislosti na výsledku diagnostiky existuje potenciální způsob, jak chybu synchronizace opravit přímo z portálu.
Ruční oprava požadovaná Chyba neodpovídá kritériím dostupných oprav na portálu. Konfliktní typy objektů nejsou uživatelé nebo jste už prošli diagnostickými kroky a na portálu není k dispozici žádné řešení opravy. V druhém případě je oprava z místní strany stále jedním z řešení. Přečtěte si další informace o místních opravách.
Čekající synchronizace Byla použita oprava. Portál čeká na další cyklus synchronizace, aby se chyba vymaže.

Důležité

Sloupec stavu diagnostiky se resetuje po každém cyklu synchronizace.

  1. V podrobnostech o chybě vyberte tlačítko Diagnostika. Odpovíte na několik otázek a identifikujete podrobnosti o chybě synchronizace. Odpovědi na otázky pomáhají identifikovat osamocený případ objektu.

  2. Pokud se na konci diagnostiky zobrazí tlačítko Zavřít, na základě odpovědí na portálu není k dispozici žádná rychlá oprava. Projděte si řešení uvedené v posledním kroku. Opravy z místního prostředí jsou stále řešení. Vyberte tlačítko Zavřít. Stav aktuální chyby synchronizace se přepne na ruční opravu. Stav zůstane během aktuálního cyklu synchronizace.

  3. Po identifikaci osamocených objektů můžete chyby synchronizace duplicitních atributů opravit přímo z portálu. Pokud chcete proces aktivovat, vyberte tlačítko Použít opravu . Stav aktuální chyby synchronizace se aktualizuje na čekající synchronizaci.

  4. Po dalším cyklu synchronizace by se chyba měla ze seznamu odebrat.

Odpovědi na otázky týkající se diagnostiky

Existuje uživatel ve vašem místní Active Directory?

Tato otázka se pokouší identifikovat zdrojový objekt existujícího uživatele z místní Active Directory.

  1. Zkontrolujte, jestli id Microsoft Entra má objekt s zadaným userPrincipalName. Pokud ne, odpovězte ne.
  2. Pokud ano, zkontrolujte, jestli je objekt stále v oboru synchronizace.
    • Vyhledejte v prostoru konektoru Microsoft Entra pomocí DN.
    • Pokud je objekt nalezen ve stavu Čekající na přidání , odpovězte ne. Microsoft Entra Connect nemůže připojit objekt ke správnému objektu Microsoft Entra.
    • Pokud objekt nenajdete, odpovězte ano.

V těchto příkladech se otázka snaží identifikovat, jestli Joe Jackson stále existuje v místní Active Directory. Pro běžný scénář jsou v místní Active Directory přítomni jak uživatelé Joe Johnson, tak Joe Jackson. Objekty v karanténě jsou dva různé uživatele.

Diagnostika běžných scénářů chyb synchronizace

V případě osamoceného objektu je v místní Active Directory přítomn pouze jediný uživatel Joe Johnson:

Diagnostika chyby synchronizace osamocený objekt existuje ve scénáři uživatele

Patří oba tyto účty stejnému uživateli?

Tato otázka zkontroluje příchozího konfliktního uživatele a existující objekt uživatele v Microsoft Entra ID a zjistí, jestli patří stejnému uživateli.

  1. Konfliktní objekt je nově synchronizován s Microsoft Entra ID. Porovnejte atributy objektů:
    • Zobrazovaný název
    • UserPrincipalName nebo SignInName
    • ObjectID
  2. Pokud se nepovede porovnat ID Microsoft Entra, zkontrolujte, jestli má služba Active Directory objekty se zadanými vlastnostmi UserPrincipalNames. Pokud najdete obojí, odpovězte ne .

V následujícím příkladu patří dva objekty stejnému uživateli Joe Johnson.

Diagnostika chyby synchronizace osamoceného objektu stejného scénáře uživatele

Co se stane po použití opravy ve scénáři osamoceného objektu

Na základě odpovědí na předchozí otázky se zobrazí tlačítko Použít opravu , když je k dispozici oprava z ID Microsoft Entra. V tomto případě se místní objekt synchronizuje s neočekávaným objektem Microsoft Entra. Dva objekty jsou mapovány pomocí zdrojové ukotvení. Změna Použít opravu provede tyto nebo podobné kroky:

  1. Aktualizuje zdrojové ukotvení na správný objekt v Microsoft Entra ID.
  2. Odstraní konfliktní objekt v MICROSOFT Entra ID, pokud je k dispozici.

Diagnostika chyby synchronizace po opravě

Důležité

Změna Použít opravu se vztahuje pouze na osamocené případy objektu.

Po předchozích krocích má uživatel přístup k původnímu prostředku, což je odkaz na existující objekt. Hodnota Diagnostiky stavu v zobrazení seznamu aktualizuje čekající synchronizaci. Chyba synchronizace se vyřeší po další synchronizaci. Služba Connect Health už nebude zobrazovat vyřešenou chybu synchronizace v zobrazení seznamu.

Selhání a chybové zprávy

Uživatel s konfliktní atribut je obnovitelné odstranění v Microsoft Entra ID. Před opakováním se ujistěte, že je uživatel pevně odstraněný.
Uživatel s konfliktní atribut v Microsoft Entra ID by měl být vyčištěn, než můžete použít opravu. Před opakováním opravy se podívejte , jak trvale odstranit uživatele v Microsoft Entra ID . Uživatel se také automaticky odstraní trvale po 30 dnech ve stavu obnovitelného odstranění.

Aktualizace zdrojového ukotvení na cloudového uživatele ve vašem tenantovi se nepodporuje.
Cloudový uživatel v Microsoft Entra ID by neměl mít zdrojové ukotvení. Aktualizace zdrojového ukotvení není v tomto případě podporována. Ruční oprava se vyžaduje z místního prostředí.

Proces opravy se nepodařilo aktualizovat hodnoty. Konkrétní nastavení, jako je UserWriteback v microsoft Entra Connect , se nepodporuje. V nastavení prosím zakažte.

Často kladené dotazy

Otázka: Co se stane, když se spuštění opravy použití nezdaří?
A. Pokud se spuštění nezdaří, je možné, že Microsoft Entra Connect spouští chybu exportu. Aktualizujte stránku portálu a zkuste to znovu po další synchronizaci. Výchozí cyklus synchronizace je 30 minut.

Otázka: Co když by existující objekt měl být objektem , který se má odstranit?
A. Pokud by se existující objekt měl odstranit, proces nezahrnuje změnu zdrojového ukotvení. Obvykle ji můžete opravit z místní Active Directory.

Otázka: Jaké oprávnění potřebuje uživatel k použití opravy?
A. Přispěvatel z Azure RBAC má oprávnění pro přístup k procesu diagnostiky a řešení potíží. Toto je minimální oprávnění, které potřebujete.

Otázka: Musím pro tuto funkci nakonfigurovat Microsoft Entra Connect nebo aktualizovat agenta služby Microsoft Entra Connect Health?
A. Ne, proces diagnostiky je kompletní cloudová funkce.

Otázka: Pokud je existující objekt odstraněn, proces diagnostiky objekt znovu aktivuje?
A. Ne, oprava neaktualizuje atributy objektu jiné než zdrojové ukotvení.