Diagnose und Behebung von Synchronisierungsfehlern aufgrund doppelter Attribute
Überblick
In Bezug auf Synchronisierungsfehler wird Microsoft Entra Connect Health erweitert und eine Self-Service-Lösung eingeführt. Diese Lösung kann für die Problembehandlung bei Synchronisierungsfehlern aufgrund doppelter Attribute und zur Behebung von in Microsoft Entra ID verwaisten Objekten verwendet werden. Das Diagnosefeature hat folgende Vorteile:
- Bereitstellung eines Diagnoseverfahrens zum Eingrenzen von Synchronisierungsfehlern aufgrund doppelter Attribute sowie Angeben von spezifischen Fehlerbehebungen
- Anwenden einer Fehlerbehebung für dedizierte Szenarien aus Microsoft Entra ID, um den Fehler in nur einem Schritt zu beheben.
- Kein Upgrade- oder Konfigurationsaufwand zur Aktivierung dieses Features Weitere Informationen zu Microsoft Entra finden Sie unter Identitätssynchronisierung und Resilienz bei doppelten Attributen.
Probleme
Allgemeines Szenario
Wenn die Synchronisierungsfehler QuarantinedAttributeValueMustBeUnique und AttributeValueMustBeUnique auftreten, kommt es in Microsoft Entra ID häufig zu einem UserPrincipalName- oder ProxyAddresses-Konflikt. Sie können die Synchronisierungsfehler möglicherweise beheben, indem Sie das in Konflikt stehende Quellobjekt auf lokaler Seite aktualisieren. Der Synchronisierungsfehler wird nach der nächsten Synchronisierung behoben. In der folgenden Abbildung ist beispielsweise dargestellt, dass für zwei Benutzer ein Konflikt in Bezug auf den Benutzerprinzipalnamen (UserPrincipalName) besteht. Für beide ist Joe.J@contoso.com festgelegt. Die in Konflikt stehenden Objekte werden in Microsoft Entra-ID isoliert.
Szenario: Verwaistes Objekt
Gelegentlich kann es vorkommen, dass für einen vorhandenen Benutzer der Quellanker verloren geht. Das Löschen des Quellobjekts ist in der lokalen Active Directory-Instanz erfolgt. Die Änderung des Löschsignals wird jedoch nicht mit Microsoft Entra ID synchronisiert. Gründe für den Verlust können z.B. Probleme mit dem Synchronisierungsmodul oder die Migration einer Domäne sein. Wenn dasselbe Objekt wiederhergestellt oder neu erstellt wird, sollte folgerichtig ein vorhandener Benutzer der Benutzer sein, der die Synchronisierung vom Quellanker durchführt.
Wenn ein vorhandener Benutzer ein auf die Cloud beschränktes Objekt ist, können Sie den in Konflikt stehenden Benutzer in Microsoft Entra ID synchronisiert sehen. Der Benutzer kann nicht synchron mit dem vorhandenen Objekt abgeglichen werden. Es gibt keine Möglichkeit, den Quellanker direkt neu zuzuordnen. Weitere Informationen dazu finden Sie in der Knowledge Base.
Beispiel: Das vorhandene Objekt in Microsoft Entra ID behält die Lizenz von Joe bei. Ein neu synchronisiertes Objekt mit einem anderen Quellanker tritt in einem Zustand mit doppeltem Attribut in Microsoft Entra auf. Änderungen für Joe in der lokalen Active Directory-Instanz werden nicht auf den ursprünglichen Benutzer von Joe (vorhandenes Objekt) in Microsoft Entra ID angewandt.
Schritte für die Diagnose und Problembehandlung in Connect Health
Das Diagnosefeature unterstützt Benutzerobjekte mit den folgenden doppelten Attributen:
| Attributname | Typen von Synchronisierungsfehlern |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique oder AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique oder AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique (Wert für Attribut muss eindeutig sein) |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique (Wert für Attribut muss eindeutig sein) |
Wichtig
Für den Zugriff auf dieses Feature sind die Berechtigungen Globaler Administrator oder Mitwirkender aus Azure RBAC erforderlich.
Führen Sie die Schritte über das Microsoft Entra Admin Center aus, um die Details zu Synchronisierungsfehlern einzugrenzen und spezifischere Lösungen bereitzustellen:
Führen Sie im Microsoft Entra Admin Center einige Schritte aus, um bestimmte behebbare Szenarien zu identifizieren:
- Überprüfen Sie die Spalte mit dem Diagnosestatus. Der Status gibt an, ob eine Möglichkeit besteht, einen Synchronisierungsfehler direkt in Microsoft Entra ID zu beheben. Das heißt, in diesem Fall ist ein Problembehandlungsablauf verfügbar, mit dem der Fehler eingegrenzt und möglicherweise behoben werden kann.
| Status | Was bedeutet das? |
|---|---|
| Nicht gestartet | Sie haben den Diagnoseprozess nicht aufgerufen. Je nach Diagnoseergebnis besteht unter Umständen die Möglichkeit, den Synchronisierungsfehler direkt über das Portal zu beheben. |
| Manuelle Korrektur erforderlich | Der Fehler erfüllt nicht die Kriterien für verfügbare Korrekturen über das Portal. Entweder sind die in Konflikt stehenden Objekttypen keine Benutzer, oder Sie haben die Diagnoseschritte bereits ausgeführt, und im Portal war keine Korrektur verfügbar. In letzterem Fall ist die Korrektur auf lokaler Seite weiterhin eine mögliche Lösung. Erfahren Sie mehr zu lokalen Fehlerkorrekturen. |
| Synchronisierung ausstehend | Eine Korrektur wurde angewandt. Im Portal wird auf den nächsten Synchronisierungszyklus gewartet, um den Fehler zu beheben. |
Wichtig
Die Spalte mit dem Diagnosestatus wird nach jedem Synchronisierungszyklus zurückgesetzt.
Wählen Sie die Schaltfläche Diagnose unter den Fehlerdetails aus. Sie beantworten mehrere Fragen und identifizieren Details zu Synchronisierungsfehlern. Die Antworten auf die Fragen tragen zum Identifizieren eines verwaisten Objekts bei.
Wenn am Ende des Diagnosevorgangs die Schaltfläche Schließen angezeigt wird, steht basierend auf Ihren Antworten keine schnelle Fehlerbehebung über das Portal zur Verfügung. Weitere Informationen finden Sie unter der Lösung, die im letzten Schritt angezeigt wird. Lokale Fehlerkorrekturen gelten weiterhin als Lösung. Wählen Sie die Schaltfläche Schließen aus. Der Status des aktuellen Synchronisierungsfehlers wird in Manuelle Korrektur erforderlich geändert. Der Status wird während des aktuellen Synchronisierungszyklus beibehalten.
Nachdem der Fall eines verwaisten Objekts identifiziert wurde, können Sie Synchronisierungsfehler aufgrund doppelter Attribute direkt über das Portal beheben. Wählen Sie die Schaltfläche Fix anwenden aus, um den Prozess auszulösen. Der Status des aktuellen Synchronisierungsfehlers wird in Synchronisierung ausstehend aktualisiert.
Nach dem nächsten Synchronisierungszyklus sollte der Fehler aus der Liste entfernt werden.
Beantworten von Fragen zur Diagnose
Ist der Benutzer in Ihrer lokalen Active Directory-Instanz vorhanden?
Mit dieser Frage wird versucht, das Quellobjekt des vorhandenen Benutzers in der lokalen Active Directory-Instanz zu identifizieren.
- Überprüfen Sie, ob Microsoft Entra ID ein Objekt mit dem angegebenen UserPrincipalName enthält. Wenn dies nicht der Fall ist, antworten Sie mit Nein.
- Wenn dies der Fall ist, überprüfen Sie, ob das Objekt weiterhin im Bereich für die Synchronisierung enthalten ist.
- Suchen Sie im Microsoft Entra-Connectorbereich unter Verwendung des DN.
- Wenn das Objekt mit dem Status Ausstehender Hinzufügevorgang gefunden wird, antworten Sie mit Nein. Microsoft Entra Connect kann das Objekt nicht mit dem rechten Microsoft Entra-Objekt verbinden.
- Wenn das Objekt nicht gefunden wird, antworten Sie mit Ja.
In diesen Beispielen soll mit der Frage ermittelt werden, ob Joe Jackson in der lokalen Active Directory-Instanz noch vorhanden ist. Für das allgemeine Szenario ist sowohl der Benutzer Joe Johnson als auch der Benutzer Joe Jackson in der lokalen Active Directory-Instanz vorhanden. Bei den unter Quarantäne gestellten Objekten handelt es sich um zwei unterschiedliche Benutzer.
Für das Szenario mit verwaistem Objekt ist nur der Benutzer Joe Johnson in der lokalen Active Directory-Instanz vorhanden:
Gehören beide Konten zu demselben Benutzer?
Mit dieser Frage werden in Konflikt stehende eingehende Benutzer und das vorhandene Benutzerobjekt in Microsoft Entra ID überprüft, um zu ermitteln, ob sie zu demselben Benutzer gehören.
- Das in Konflikt stehende Objekt wird neu mit Microsoft Entra ID synchronisiert. Vergleichen Sie die Attribute der Objekte:
- Anzeigename
- UserPrincipalName oder SignInName
- ObjectID
- Wenn ein Vergleich in Microsoft Entra ID nicht möglich ist, überprüfen Sie, ob in Active Directory Objekte mit den angegebenen UserPrincipalNames enthalten sind. Wenn beide vorhanden sind, antworten Sie mit Nein.
Im folgenden Beispiel gehören die beiden Objekte zu demselben Benutzer Joe Johnson.
Nach der Anwendung der Korrektur im Szenario mit verwaistem Objekt
Basierend auf den Antworten auf die oben genannten Fragen wird die Schaltfläche Fix anwenden angezeigt, wenn über Microsoft Entra ID eine Korrektur verfügbar ist. In diesem Fall wird das lokale Objekt mit einem unerwarteten Microsoft Entra-Objekt synchronisiert. Die beiden Objekte werden über den Quellanker zugeordnet. Bei der Änderung über Fix anwenden werden folgende oder ähnliche Schritte ausgeführt:
- Aktualisiert den Quellanker auf das richtige Objekt in Microsoft Entra ID.
- Löscht das in Konflikt stehende Objekts in Microsoft Entra ID, falls es vorhanden ist.
Wichtig
Die Änderung über Fix anwenden gilt nur für die Fälle mit verwaisten Objekten.
Nach den oben beschriebenen Schritten kann der Benutzer auf die ursprüngliche Ressource zugreifen, die mit einem vorhandenen Objekt verknüpft ist. Der Wert zum Diagnosestatus in der Listenansicht wird in Synchronisierung ausstehend aktualisiert. Der Synchronisierungsfehler wird nach der nächsten Synchronisierung behoben. In Connect Health wird der behobene Synchronisierungsfehler nicht mehr in der Listenansicht angezeigt.
Fehler und Fehlermeldungen
Der Benutzer mit dem konfliktverursachenden Attribut wird in Microsoft Entra ID vorläufig gelöscht. Stellen Sie sicher, dass der Benutzer dauerhaft gelöscht wird, bevor Sie den Vorgang wiederholen.
Der Benutzer mit dem konfliktverursachenden Attribut in Microsoft Entra ID muss bereinigt werden, bevor Sie den Fix anwenden können. Lesen Sie die Informationen zum endgültigen Löschen des Benutzers in Microsoft Entra ID, bevor Sie die Anwendung des Fixes wiederholen. Darüber hinaus wird der Benutzer 30 Tage nach seiner vorläufigen Löschung automatisch endgültig gelöscht.
Die Aktualisierung des Quellankers für cloudbasierte Benutzer in Ihrem Mandanten wird nicht unterstützt.
Cloudbasierte Benutzer in Microsoft Entra ID dürfen keinen Quellanker besitzen. Die Aktualisierung des Quellankers wird in diesem Fall nicht unterstützt. Ein manueller Fix aus der lokalen Umgebung ist erforderlich.
Die Werte konnten durch den Korrekturprozess nicht aktualisiert werden. Die spezifischen Einstellungen wie UserWriteback in Microsoft Entra Connect werden nicht unterstützt. Deaktivieren Sie sie in den Einstellungen.
Häufig gestellte Fragen
Q. Was passiert, wenn beim Anwenden der Änderung über Fix anwenden ein Fehler auftritt?
A. Bei einer fehlerhaften Ausführung kann es sein, dass Microsoft Entra Connect einen Export durchführt und der Fehler deshalb auftritt. Aktualisieren Sie die Portalseite, und wiederholen Sie den Vorgang nach der nächsten Synchronisierung. Der Synchronisierungszyklus dauert standardmäßig 30 Minuten.
Q. Was passiert, wenn das vorhandene Objekt das zu löschende Objekt ist?
A. Wenn das vorhandene Objekt gelöscht werden soll, umfasst der Prozess keine Änderung des Quellankers. Normalerweise können Sie die Behebung über die lokale AD-Instanz durchführen.
Q. Welche Berechtigung benötigt ein Benutzer, um die Fehlerbehebung anwenden zu können?
A.Globaler Administrator oder Mitwirkender aus Azure RBAC sind die Berechtigungen für den Zugriff auf den Diagnose- und Problembehandlungsprozess.
F: Muss ich Microsoft Entra Connect konfigurieren oder den Microsoft Entra Connect Health-Agent für dieses Feature aktualisieren?
A. Nein. Der Diagnoseprozess ist ein ausschließlich cloudbasiertes Feature.
Q. Wird für das Objekt während des Diagnoseprozesses wieder der aktive Zustand hergestellt, wenn das vorhandene Objekt vorläufig gelöscht wird?
A. Nein. Bei der Korrektur werden über den Quellanker hinaus keine Objektattribute aktualisiert.