Problémy s chybami synchronizace

  • 10 min

K chybám může dojít při synchronizaci dat identity ze služby Windows Server Active Directory (AD DS) do Microsoft Entra ID. Tato část obsahuje přehled různých typů chyb synchronizace, některé z možných scénářů, které způsobují tyto chyby a potenciální způsoby, jak chyby opravit. Tato část obsahuje běžné typy chyb a nemusí zahrnovat všechny možné chyby.

S nejnovější verzí microsoft Entra Připojení je sestava chyb synchronizace dostupná na webu Azure Portal jako součást služby Microsoft Entra Připojení Health pro synchronizaci.

Microsoft Entra Připojení provádí tři typy operací z adresářů, které udržuje v synchronizaci: Import, Synchronizace a Export. Chyby se můžou provádět ve všech operacích. Tato část se zaměřuje hlavně na chyby při exportu do Microsoft Entra ID.

Chyby při exportu do Microsoft Entra ID

Následující část popisuje různé typy chyb synchronizace, ke kterým může dojít během operace exportu do Microsoft Entra ID pomocí konektoru Microsoft Entra. Tento konektor lze identifikovat formátem contoso.onmicrosoft.comnázvu . Chyby při exportu do Microsoft Entra ID indikují, že operace (přidání, aktualizace, odstranění atd.) microsoft Entra Připojení (sync engine) v adresáři Microsoft Entra selhala.

Screenshot of the Export Errors Overview page in Microsoft Entra Connect.

Chyby neshody dat

InvalidSoftMatch

Popis

  • Když Microsoft Entra Připojení (synchronizační modul) dává adresář pokyn k přidání nebo aktualizaci objektů, Microsoft Entra ID odpovídá příchozímu objektu pomocí atributu sourceAnchor atributu immutableId objektů v Microsoft Entra ID. Tato shoda se nazývá Pevná shoda.
  • Pokud Microsoft Entra ID nenajde žádný objekt, který odpovídá immutableId atributu sourceAnchor příchozího objektu před zřízením nového objektu, vrátí se zpět k použití proxyAddresses a UserPrincipalName atributy najít shodu. Tato shoda se nazývá Soft Match. Soft Match je navržen tak, aby odpovídal objektům, které jsou již přítomné v Microsoft Entra ID s novými objekty, které se přidávají nebo aktualizují během synchronizace, které představují stejnou entitu (uživatele, skupiny) místně.
  • K chybě InvalidSoftMatch dojde, když pevná shoda nenajde žádný odpovídající objekt A soft match najde odpovídající objekt, ale tento objekt má jinou hodnotu immutableId než sourceAnchor příchozího objektu, který naznačuje, že odpovídající objekt byl synchronizován s jiným objektem z místní služby Active Directory.

Jinými slovy, aby se měkká shoda shodovala, objekt, který se má shodovat, by neměl mít žádnou hodnotu pro immutableId. Pokud některý objekt s neměnným id nastavenou hodnotou selhává, ale splňuje kritéria obnovitelné shody, operace by měla za následek chybu synchronizace InvalidSoftMatch.

Schéma adresáře Microsoft Entra neumožňuje, aby dva nebo více objektů měly stejnou hodnotu následujících atributů. (Toto není vyčerpávající seznam.)

  • ProxyAddresses
  • UserPrincipalName
  • onPremisesSecurityIdentifier
  • ObjectId

Funkce odolnosti duplicitních atributů atributu Microsoft Entra se také zavádí jako výchozí chování ID Microsoft Entra. Tím se sníží počet chyb synchronizace, které microsoft Entra Připojení (a další synchronizační klienti) tím, že Microsoft Entra ID zrychlí způsobem, jakým zpracovává duplicitní atributy ProxyAddresses a UserPrincipalName, které jsou přítomné v místních prostředích AD. Tato funkce neopravuje chyby duplikace. Data je tedy potřeba opravit. Umožňuje však zřizování nových objektů, které jsou jinak blokovány z důvodu duplicitních hodnot v Microsoft Entra ID. Tím se také sníží počet chyb synchronizace vrácených klientovi synchronizace. Pokud je pro vašeho tenanta povolená tato funkce, při zřizování nových objektů se nezobrazí chyby synchronizace InvalidSoftMatch.

Příklady scénářů pro InvalidSoftMatch

  • V místní Active Directory existují dva nebo více objektů se stejnou hodnotou atributu ProxyAddresses. V Microsoft Entra ID se zřizuje jenom jedna.
  • V místní Active Directory existují dva nebo více objektů se stejnou hodnotou atributu userPrincipalName. V Microsoft Entra ID se zřizuje jenom jedna.
  • Objekt byl přidán do místní služby Active Directory se stejnou hodnotou atributu ProxyAddresses jako existující objekt v adresáři Microsoft Entra. Objekt přidaný místně se v adresáři Microsoft Entra nezřídí.
  • Objekt byl přidán v místní službě Active Directory se stejnou hodnotou atributu userPrincipalName jako účet v Microsoft Entra ID. Objekt se nezřídí v MICROSOFT Entra ID.
  • Synchronizovaný účet se přesunul z doménové struktury A do doménové struktury B. Microsoft Entra Připojení (synchronizační modul) k výpočtu sourceAnchoru používal atribut ObjectGUID. Po přesunutí doménové struktury se hodnota SourceAnchor liší. Nový objekt (z doménové struktury B) se nedaří synchronizovat s existujícím objektem v MICROSOFT Entra ID.
  • Synchronizovaný objekt se omylem odstranil z místní služby Active Directory a ve službě Active Directory byl vytvořen nový objekt pro stejnou entitu (například uživatele) bez odstranění účtu v Microsoft Entra ID. Nový účet se nepodaří synchronizovat s existujícím objektem Microsoft Entra.
  • Microsoft Entra Připojení byl odinstalován a přeinstalován. Během přeinstalace se jako SourceAnchor vybral jiný atribut. Všechny objekty, které dříve synchronizovaly, se přestaly synchronizovat s chybou InvalidSoftMatch.

Příklad:

  1. Bob Smith je synchronizovaný uživatel v Microsoft Entra ID z místní služby Active Directory contoso.com

  2. Bob Smith's UserPrincipalName je nastaven jako bobs@contoso.com.

  3. "abcdefghijklmnopqrstuv==" je SourceAnchor počítaný microsoftem Entra Připojení pomocí BOB Smithova objectGUID z místní služby Active Directory, což je immutableId pro Bob Smith v Microsoft Entra ID.

  4. Bob má také následující hodnoty pro atribut proxyAddresses :

    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com

  5. Do místní služby Active Directory se přidá nový uživatel Bob Taylor.

  6. Bob Taylor's UserPrincipalName je nastaven jako bobt@contoso.com.

  7. "abcdefghijkl0123456789="" je zdrojAnchor vypočítaný microsoftem Entra Připojení pomocí Bob Taylorova objectGUID z místní služby Active Directory. Objekt Boba Taylora se zatím nesynchronizuje s ID Microsoft Entra.

  8. Bob Taylor má následující hodnoty pro atribut proxyAddresses

    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
    • Smtp: bob@contoso.com

  9. Během synchronizace microsoft Entra Připojení rozpozná přidání Boba Taylora v místní službě Active Directory a požádá Microsoft Entra ID, aby udělal stejnou změnu.

  10. Microsoft Entra ID bude nejprve provádět pevnou shodu. To znamená, že vyhledá, pokud existuje nějaký objekt s immutableId rovnou "abcdefghijkl0123456789==". Hard Match selže, protože žádný jiný objekt v Microsoft Entra ID nebude mít tento neměnnýId.

  11. Microsoft Entra ID se pak pokusí o soft-match Bob Taylor. To znamená, že vyhledá, pokud je nějaký objekt s proxyAddresses rovnající se třem hodnotám, včetně smtp: bob@contoso.com

  12. Id Microsoft Entra najde objekt Boba Smitha tak, aby odpovídal kritériím obnovitelné shody. Tento objekt má ale hodnotu immutableId = "abcdefghijklmnopqrstuv==". označuje, že byl tento objekt synchronizován z jiného objektu z místní služby Active Directory. Proto Microsoft Entra ID nemůže soft-match tyto objekty a vede k chybě synchronizace InvalidSoftMatch .

Oprava chyby InvalidSoftMatch

Nejčastějším důvodem chyby InvalidSoftMatch jsou dva objekty s různými vlastnostmi SourceAnchor (immutableId) mají stejnou hodnotu pro atributy ProxyAddresses a/nebo UserPrincipalName, které se používají během procesu obnovitelné shody u ID Microsoft Entra. Chcete-li opravit neplatnou soft-match

  1. Identifikujte hodnoty duplikovaných atributů proxyAddresses, userPrincipalName nebo jiných atributů, které chybu způsobují. Určete také, které dva (nebo více) objektů jsou součástí konfliktu. Sestava vygenerovaná službou Microsoft Entra Připojení Health pro synchronizaci vám může pomoct identifikovat dva objekty.
  2. Určete, který objekt by měl mít i nadále duplicitní hodnotu, a který objekt by ji neměl mít.
  3. Odeberte duplicitní hodnotu z objektu, který by neměl mít danou hodnotu. Měli byste provést změnu v adresáři, ze kterého objekt pochází. V některých případech možná budete muset odstranit jeden z objektů, které jsou v konfliktu.
  4. Pokud jste provedli změnu v místní službě AD, nechte Microsoft Entra Připojení změnu synchronizovat.

Zprávy o chybách synchronizace v rámci služby Microsoft Entra Připojení Health pro synchronizaci se aktualizují každých 30 minut a obsahují chyby z nejnovějšího pokusu o synchronizaci.

Poznámka:

ImmutableId podle definice by se neměl měnit v době životnosti objektu. Pokud Připojení Microsoft Entra nebyla nakonfigurována s některými scénáři z výše uvedeného seznamu, můžete skončit v situaci, kdy Microsoft Entra Připojení vypočítá jinou hodnotu SourceAnchor pro objekt AD, který představuje stejnou entitu (stejný uživatel,skupina/kontakt atd.), který má existující objekt Microsoft Entra, který chcete nadále používat.

ObjectTypeMismatch

Popis

Když se Microsoft Entra ID pokusí spárovat dva objekty, je možné, že dva objekty s různými "typem objektu" (například User, Group, Contact atd.) mají stejné hodnoty pro atributy použité k provedení soft-match. Vzhledem k tomu, že duplicita těchto atributů není povolená v aplikaci Microsoft Entra, může operace způsobit chybu synchronizace ObjectTypeMismatch.

Ukázkové scénáře chyby ObjectTypeMismatch

  • V Microsoftu 365 se vytvoří skupina zabezpečení s povolenou poštou. Správa přidá nového uživatele nebo kontakt v místní službě AD (který ještě není synchronizovaný s ID Microsoft Entra) se stejnou hodnotou atributu ProxyAddresses jako u skupiny Microsoft 365.

Příklad:

  1. Správa vytvoří novou poštovní skupinu zabezpečení v Microsoftu 365 pro daňové oddělení a poskytne e-mailovou adresu jako tax@contoso.com. Tato skupina má přiřazenou hodnotu atributu ProxyAddresses smtp: tax@contoso.com
  2. Nový uživatel se připojí Contoso.com a pro uživatele v místním prostředí se vytvoří účet s proxyAddress jako smtp: tax@contoso.com
  3. Když Microsoft Entra Připojení synchronizuje nový uživatelský účet, zobrazí se chyba ObjectTypeMismatch.

Oprava chyby ObjectTypeMismatch

Nejběžnějším důvodem chyby ObjectTypeMismatch jsou dva objekty různého typu (User, Group, Contact atd.) mají stejnou hodnotu pro atribut ProxyAddresses. Chcete-li opravit ObjectTypeMismatch:

  1. Identifikujte duplicitní hodnotu proxyAddresses (nebo jiného atributu), která způsobuje chybu. Určete také, které dva (nebo více) objektů jsou součástí konfliktu. Sestava vygenerovaná službou Microsoft Entra Připojení Health pro synchronizaci vám může pomoct identifikovat dva objekty.
  2. Určete, který objekt by měl mít i nadále duplicitní hodnotu, a který objekt by ji neměl mít.
  3. Odeberte duplicitní hodnotu z objektu, který by neměl mít danou hodnotu. Měli byste provést změnu v adresáři, ze kterého objekt pochází. V některých případech možná budete muset odstranit jeden z objektů, které jsou v konfliktu.
  4. Pokud jste provedli změnu v místní službě AD, nechte Microsoft Entra Připojení změnu synchronizovat. Zpráva o chybách synchronizace v rámci služby Microsoft Entra Připojení Health pro synchronizaci se aktualizuje každých 30 minut a obsahuje chyby z nejnovějšího pokusu o synchronizaci.

Duplicitní atributy

AttributeValueMustBeUnique

Popis

Schéma Microsoft Entra neumožňuje, aby dva nebo více objektů měly stejnou hodnotu následujících atributů. To je každý objekt v Microsoft Entra ID je nucen mít jedinečnou hodnotu těchto atributů v dané instanci.

  • ProxyAddresses
  • UserPrincipalName

Pokud se Microsoft Entra Připojení pokusí přidat nový objekt nebo aktualizovat existující objekt hodnotou pro výše uvedené atributy, které jsou již přiřazeny k jinému objektu v Microsoft Entra ID, operace způsobí chybu synchronizace AttributeValueMustBeUnique.

Možné scénáře:

Duplicitní hodnota je přiřazena k již synchronizovaným objektu, který je v konfliktu s jiným synchronizovaným objektem.

Příklad:

  1. Bob Smith je synchronizovaný uživatel v Microsoft Entra ID z místní služby Active Directory contoso.com

  2. Místní název UživatelePrincipalName Boba Smithe je nastavený jako bobs@contoso.com.

  3. Bob má také následující hodnoty pro atribut proxyAddresses :

    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com

  4. Do místní služby Active Directory se přidá nový uživatel Bob Taylor.

  5. Bob Taylor's UserPrincipalName je nastaven jako bobt@contoso.com.

  6. Bob Taylor má následující hodnoty pro atribut ProxyAddresses i. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com

  7. Objekt Boba Taylora je úspěšně synchronizován s Microsoft Entra ID.

  8. Správa rozhodli aktualizovat Boba Taylora Atribut ProxyAddresses s následující hodnotou: i. Smtp:bob@contoso.com

  9. Microsoft Entra ID se pokusí aktualizovat Bob Taylorův objekt v Microsoft Entra ID s výše uvedenou hodnotou, ale tato operace selže, protože hodnota ProxyAddresses je již přiřazena Bob Smith, což vede k chybě AttributeValueMustBeUnique.

Oprava chyby AttributeValueMustBeUnique

Nejběžnějším důvodem chyby AttributeValueMustBeUnique jsou dva objekty s různými SourceAnchor (immutableId) mají stejnou hodnotu pro atributy ProxyAddresses a/nebo UserPrincipalName. Oprava chyby AttributeValueMustBeUnique

  1. Identifikujte duplicitní proxyAddresses, userPrincipalName nebo jinou hodnotu atributu, která způsobuje chybu. Určete také, které dva (nebo více) objektů jsou součástí konfliktu. Sestava vygenerovaná službou Microsoft Entra Připojení Health pro synchronizaci vám může pomoct identifikovat dva objekty.
  2. Určete, který objekt by měl mít i nadále duplicitní hodnotu, a který objekt by ji neměl mít.
  3. Odeberte duplicitní hodnotu z objektu, který by neměl mít danou hodnotu. Měli byste provést změnu v adresáři, ze kterého objekt pochází. V některých případech možná budete muset odstranit jeden z objektů, které jsou v konfliktu.
  4. Pokud jste provedli změnu v místní službě AD, nechte Microsoft Entra Připojení synchronizovat změnu, aby se chyba opravila.

Selhání ověření dat

IdentityDataValidationFailed

Popis

Microsoft Entra ID před povolením zápisu dat do adresáře vynucuje různá omezení samotných dat. Tato omezení zajišťují, aby koncoví uživatelé získali co nejlepší možnosti při používání aplikací, které na těchto datech závisejí.

Scénáře

Hodnota atributu UserPrincipalName má neplatné nebo nepodporované znaky. b. Atribut UserPrincipalName neodpovídá požadovanému formátu.

Oprava chyby IdentityDataValidationFailed

Ujistěte se, že atribut userPrincipalName má podporované znaky a požadovaný formát.

FederatedDomainChangeError

Popis

Výsledkem tohoto případu je chyba synchronizace "FederatedDomainChangeError" , když se přípona userPrincipalName změní z jedné federované domény na jinou federovanou doménu.

Scénáře

U synchronizovaného uživatele se přípona UserPrincipalName změnila z jedné federované domény na jinou federovanou doménu místně. Například UserPrincipalName =bob@contoso.combyl změněn na UserPrincipalName = bob@fabrikam.com.

Příklad

  1. Bob Smith, účet pro Contoso.com, se přidá jako nový uživatel ve službě Active Directory s názvem UserPrincipalName bob@contoso.com
  2. Bob se přesune do jiného oddělení Contoso.com označovaných jako Fabrikam.com a jeho userPrincipalName se změní na bob@fabrikam.com
  3. Domény contoso.com i fabrikam.com jsou federované domény s ID Microsoft Entra.
  4. Bobův userPrincipalName se neaktualizuje a výsledkem je chyba synchronizace FederatedDomainChangeError.

Objekt LargeObject

Popis

Pokud atribut překročí povolený limit velikosti, limit délky nebo limit počtu nastavený schématem Microsoft Entra, výsledkem operace synchronizace je chyba LargeObject nebo ExceededAllowedLength synchronizace. Typicky k této chybě dochází pro následující atributy:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Možné scénáře

  1. Atribut userCertificate Boba ukládá příliš mnoho certifikátů přiřazených Bobovi. Může se jednat o starší certifikáty, jejichž platnost vypršela. Pevně stanovený limit je 15 certifikátů.
  2. Atribut UserSMIMECertificate Boba ukládá příliš mnoho certifikátů přiřazených Bobovi. Může se jednat o starší certifikáty, jejichž platnost vypršela. Pevně stanovený limit je 15 certifikátů.
  3. Bob's thumbnailPhoto set in Active Directory is too large to be synced in Microsoft Entra ID.
  4. Během automatického souboru atributu ProxyAddresses ve službě Active Directory má objekt přiřazený příliš mnoho proxyAddresses.

Jak problém vyřešit

Ujistěte se, že atribut způsobující chybu spadá do povoleného omezení.

konflikt rolí Správa

Popis

Při synchronizaci dojde u objektu uživatele při synchronizaci k existujícímu Správa konfliktu role:

  • oprávnění správce a
  • stejný UserPrincipalName jako existující objekt Microsoft Entra

Microsoft Entra Připojení nemá povolené obnovitelné porovnávání objektu uživatele z místní služby AD s objektem uživatele v MICROSOFT Entra ID, který má přiřazenou roli správce.

Screenshot of the Microsoft Entra Connect screen with the Existing Admin field selected.

Jak problém vyřešit

Pokud chcete tento problém vyřešit, postupujte takto:

  1. Odeberte účet Microsoft Entra (vlastník) ze všech rolí správce.
  2. Odstranění objektu v karanténě v cloudu
  3. Další cyklus synchronizace se postará o obnovitelné spárování místního uživatele s cloudovým účtem (protože cloudový uživatel už není globální ga).
  4. Obnovte členství rolí vlastníka.

Poznámka:

Roli správce můžete přiřadit existujícímu objektu uživatele znovu po dokončení obnovitelné shody mezi místním objektem uživatele a objektem uživatele Microsoft Entra.