Problembehandlung für ein Objekt, das nicht mit Microsoft Entra ID synchronisiert werden kann
Wenn ein Objekt nicht wie erwartet mit Microsoft Entra ID synchronisiert werden kann, kann dies mehrere Gründe haben. Wenn Sie eine E-Mail mit einer Fehlerbenachrichtigung von Microsoft Entra ID erhalten haben oder wenn der Fehler in Microsoft Entra Connect Health angezeigt wird, lesen Sie stattdessen Beheben von Fehlern während der Synchronisierung. Wenn Sie ein Problem behandeln möchten, bei dem das Objekt nicht in Microsoft Entra ID enthalten ist, dann ist dieser Artikel der Richtige für Sie. Hier wird beschrieben, wie Fehler in der Microsoft Entra Connect-Synchronisierung für lokale Komponenten gefunden werden.
Wichtig
Verwenden Sie für die Microsoft Entra Connect-Bereitstellung ab Version 1.1.749.0 die Problembehandlungsaufgabe im Assistenten, um Probleme bei der Objektsynchronisierung zu behandeln.
Synchronisierungsprozess
Vor dem Untersuchen von Synchronisierungsproblemen ist es wichtig, den Synchronisierungsprozess in Microsoft Entra Connect zu verstehen:
Terminologie
- CS: Connectorbereich, eine Tabelle in einer Datenbank
- MV: Metaverse, eine Tabelle in einer Datenbank
Synchronisierungsschritte
Der Synchronisierungsprozess umfasst die folgenden Schritte:
Importieren aus AD: Active Directory-Objekte werden in den Active Directory-Connectorbereich eingefügt.
Importieren aus Microsoft Entra ID: Microsoft Entra-Objekte werden in Microsoft Entra CS eingebunden.
Synchronisierung: Es werden Synchronisierungsregeln für eingehenden und ausgehenden Datenverkehr in der Reihenfolge der Priorität von niedrig zu hoch ausgeführt. Informationen zu den Synchronisierungsregeln finden Sie im Synchronisierungsregel-Editor in den Desktopanwendungen. Die Synchronisierungsregeln für eingehenden Datenverkehr importieren Daten aus dem Connectorbereich in die Metaverse. Die Synchronisierungsregeln für ausgehenden Datenverkehr verschieben Daten aus der Metaverse in den Connectorbereich.
Exportieren nach AD: Nach der Synchronisierung werden Objekte aus dem Active Directory-Connectorbereich nach Active Directory exportiert.
Exportieren in Microsoft Entra ID: Nach der Synchronisierung werden Objekte aus Microsoft Entra CS in Microsoft Entra ID exportiert.
Problembehandlung
Um Fehler zu finden, müssen Sie in folgender Reihenfolge an unterschiedlichen Stellen suchen:
- In den Vorgangsprotokollen, um Fehler zu finden, die während des Importierens und Synchronisierens vom Synchronisierungsmodul identifiziert werden.
- Im Connectorbereich, um fehlende Objekte und Synchronisierungsfehler zu finden.
- In der Metaverse, um datenbezogene Probleme zu finden.
Starten Sie Synchronization Service Manager vor dem Beginn der folgenden Schritte.
Operations
Sie sollten mit Ihrer Problembehandlung auf der Registerkarte Vorgänge in Synchronization Service Manager beginnen. Diese Registerkarte zeigt die Ergebnisse der letzten Vorgänge.
Die obere Hälfte der Registerkarte Vorgänge zeigt alle Ausführungen in chronologischer Reihenfolge. Standardmäßig enthält das Vorgangsprotokoll Informationen der letzten sieben Tage. Diese Einstellung kann mit dem Scheduler geändert werden. Suchen Sie nach Ausführungen ohne den Status Erfolg. Die Sortierung kann durch Klicken auf die Kopfzeilen geändert werden.
Die Spalte Status enthält die wichtigsten Informationen und das schwerwiegendste Problem einer Ausführung. Im Folgenden finden Sie eine kurze Zusammenfassung der häufigsten Status in der Reihenfolge ihrer Untersuchungspriorität (bei „*“ gibt es mehrere mögliche Fehlerzeichenfolgen).
Status | Comment |
---|---|
stopped-* | Die Ausführung konnte nicht fertig gestellt werden. Dies kann beispielsweise passieren, wenn das Remotesystem ausgefallen ist und nicht kontaktiert werden kann. |
stopped-error-limit | Es gibt mehr als 5.000 Fehler. Die Ausführung wurde aufgrund der großen Anzahl von Fehlern automatisch beendet. |
completed-*-errors | Die Ausführung wurde abgeschlossen, es sind jedoch Fehler (weniger als 5.000) aufgetreten, die untersucht werden sollten. |
completed-*-warnings | Die Ausführung wurde abgeschlossen, einige Daten weisen jedoch einen unerwarteten Zustand auf. Wenn Fehler auftreten, ist diese Meldung in der Regel nur ein Symptom. Bis Sie die Fehler behoben haben, sollten Sie keine Warnungen untersuchen. |
success | Keine Probleme |
Wenn Sie eine Zeile auswählen, wird der untere Bereich der Registerkarte Vorgänge aktualisiert, und die Details dieser Ausführung werden angezeigt. Ganz links in diesem Bereich finden Sie möglicherweise eine Liste mit der Schrittnummer. Diese Liste wird nur angezeigt, wenn Ihre Gesamtstruktur mehrere Domänen enthält und jede Domäne als einzelner Schritt dargestellt wird. Den Domänennamen finden Sie unter der Überschrift Partition. Unter der Überschrift Synchronization Statistics (Synchronisierungsstatistik) finden Sie weitere Informationen zur Anzahl verarbeiteter Änderungen. Wählen Sie die Links aus, um eine Liste mit den geänderten Objekten anzuzeigen. Sind Objekte mit Fehlern vorhanden, werden diese Fehler unter der Überschrift Synchronisierungsfehler angezeigt.
Fehler auf der Registerkarte „Vorgänge“
Wenn Fehler auftreten, werden in Synchronization Service Manager sowohl das fehlerhafte Objekt als auch der Fehler selbst als Links dargestellt, über die weitere Informationen abgerufen werden können.
Wählen Sie zunächst die Fehlerzeichenfolge aus. (In der vorangegangenen Abbildung lautet die Fehlerzeichenfolge sync-rule-error-function-triggered.) Sie erhalten zunächst eine Übersicht über das Objekt. Wählen Sie zum Anzeigen des tatsächlichen Fehlers Stapelüberwachung aus. Dadurch werden für den Fehler Informationen der Debugebene angezeigt.
Klicken Sie im Feld Call Stack Information (Aufruflisteninformationen) mit der rechten Maustaste auf Alle auswählen, und wählen Sie anschließend Kopieren aus. Sie können dann den Stapel kopieren und den Fehler in Ihrem bevorzugten Editor, z. B. Windows-Editor, anzeigen.
Wenn der Fehler aus SyncRulesEngine stammt, beginnen die Aufruflisteninformationen mit einer Liste aller Attribute für das Objekt. Scrollen Sie nach unten, bis zur Sichtbarkeit der Überschrift InnerException=>.
Die Zeile nach der Überschrift gibt Aufschluss über den Fehler. In der obigen Abbildung stammt der Fehler von einer benutzerdefinierten Synchronisierungsregel, die Fabrikam erstellt hat.
Wenn der Fehler selbst nicht genügend Informationen liefert, sollten Sie sich die Daten ansehen. Wählen Sie den Link mit der Objekt-ID aus, und fahren Sie mit der Problembehandlung der importierten Objekte des Connectorbereichs fort.
Eigenschaften der Objekte des Connectorbereichs
Wenn auf der Registerkarte Vorgänge keine Fehler angezeigt werden, verfolgen Sie das Objekt aus dem Connectorbereich von Active Directory zur Metaverse in Microsoft Entra ID. In diesem Pfad sollten Sie feststellen können, wo das Problem liegt.
Suchen eines Objekts im Connectorbereich
Wählen Sie in Synchronization Service Manager die Option Connectors, anschließend den Active Directory-Connector und dann Connectorbereich durchsuchen aus.
Wählen Sie im Feld Bereich entweder RDN (wenn Sie nach dem CN-Attribut suchen möchten) oder DN oder Anker (wenn Sie auf dem Attribut distinguishedName suchen möchten) aus. Geben Sie einen Wert ein, und wählen Sie Suchen aus.
Wenn Sie das gesuchte Objekt nicht finden, wurde es möglicherweise mit der domänenbasierten Filterung oder der Filterung basierend auf der Organisationseinheit gefiltert. Informationen dazu, wie Sie überprüfen, ob die Filterung wie erwartet konfiguriert wurde, finden Sie unter Microsoft Entra Connect-Synchronisierung: Konfigurieren der Filterung.
Sie können eine weitere nützliche Suche ausführen, indem Sie den Microsoft Entra-Connector auswählen. Wählen Sie im Feld Bereich die Option Import steht aus und dann das Kontrollkästchen Hinzufügen aus. Bei dieser Suche werden Ihnen alle synchronisierten Objekte in Microsoft Entra ID angezeigt, die keinem lokalen Objekt zugeordnet werden können.
Diese Objekte wurden von einem anderen Synchronisierungsmodul oder einem Synchronisierungsmodul mit einer anderen Filterkonfiguration erstellt. Diese verwaisten Objekte werden nicht mehr verwaltet. Sie sollten diese Liste überprüfen, und diese Objekte mit den Microsoft Graph PowerShell-Cmdlets entfernen.
Importieren aus dem Connectorbereich
Beim Öffnen eines Connectorbereichsobjekts befinden sich oben mehrere Registerkarten. Auf der Registerkarte Importieren werden die Daten angezeigt, die nach einem Import bereitgestellt werden.
In der Spalte Alter Wert wird dargestellt, was derzeit im System gespeichert ist, und in der Spalte Neuer Wert wird angezeigt, was aus dem Quellsystem empfangen, aber noch nicht angewandt wurde. Wenn ein Fehler für das Objekt vorhanden ist, werden die Änderungen nicht verarbeitet.
Die Registerkarte Synchronisierungsfehler wird nur dann im Fenster Connector Space Object Properties (Eigenschaften der Objekte des Connectorbereichs) angezeigt, wenn ein Problem mit dem Objekt vorliegt. Weitere Informationen finden Sie unter Beheben von Synchronisierungsfehlern auf der Registerkarte Vorgänge.
CS-Herkunft
Auf der Registerkarte Herkunft im Fenster Connector Space Object Properties (Eigenschaften der Objekte des Connectorbereichs) wird gezeigt, in welchem Verhältnis das Objekt aus dem Connectorbereich mit dem Metaverseobjekt steht. Sie sehen, wann der Connector zuletzt eine Änderung aus dem verbundenen System importiert hat und welche Regeln zum Auffüllen der Daten in der Metaverse angewandt wurden.
In der obigen Abbildung zeigt die Spalte Aktion eine Synchronisierungsregel für eingehende Daten mit der Aktion Bereitstellen. Damit wird angegeben, dass das Metaverse-Objekt erhalten bleibt, solange dieses Objekt des Connectorbereichs vorhanden ist. Wenn die Liste mit den Synchronisierungsregeln hingegen eine Synchronisierungsregel für ausgehende Daten mit der Aktion Bereitstellen enthält, wird beim Löschen des Metaverseobjekts auch dieses Objekt gelöscht.
Sie können in der obigen Abbildung in der Spalte PasswordSync (Kennwortsynchronisierung) auch sehen, dass der eingehende Connectorbereich Kennwortänderungen beitragen kann, da eine Synchronisierungsregel den Wert True aufweist. Dieses Kennwort wird anschließend über die Ausgangsregel an Microsoft Entra ID gesendet.
Auf der Registerkarte Herkunft gelangen Sie zum Metaverse, indem Sie Metaverse Object Properties (Eigenschaften der Metaverseobjekte) auswählen.
Vorschau
In der linken unteren Ecke des Fensters Connector Space Object Properties (Eigenschaften der Objekte des Connectorbereichs) befindet sich die Schaltfläche Vorschau. Wählen Sie diese Schaltfläche aus, um die Seite Vorschau zu öffnen, auf der Sie ein einzelnes Objekt synchronisieren können. Diese Seite ist nützlich, wenn Sie Probleme mit einigen benutzerdefinierten Synchronisierungsregeln behandeln und die Auswirkungen einer Änderung auf ein einzelnes Objekt sehen möchten. Sie können eine Vollsynchronisation oder eine Deltasynchronisation auswählen. Sie können auch Vorschau erstellen wählen, wodurch die Änderung nur im Speicher verbleibt. Wählen Sie stattdessen Commit Preview (Vorschau ausführen) aus, um die Metaverse zu aktualisieren und alle Änderungen in den Zielconnectorbereichen bereitzustellen.
Sie können das Objekt und die für einen bestimmten Attributfluss angewandte Regel in der Vorschau prüfen.
Log
Wählen Sie neben der Schaltfläche Vorschau die Schaltfläche Protokoll aus, um die Seite Protokoll zu öffnen. Dort können Sie den Kennwortsynchronisierungsstatus und den Verlauf anzeigen. Weitere Informationen finden Sie unter Problembehandlung der Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung.
Objekteigenschaften der Metaverse
Es ist in der Regel besser, mit der Suche im Active Directory-Connectorbereich zu starten. Aber Sie können die Suche auch aus der Metaverse starten.
Suchen eines Objekts in der Metaverse
Wählen Sie in Synchronization Service Manager Metaverse Search (Metaversesuche) aus, wie in der folgenden Abbildung gezeigt. Erstellen Sie eine Abfrage, bei der Sie wissen, dass sie den Benutzer findet. Suchen Sie nach allgemeinen Attributen, z. B. accountName (sAMAccountName) und userPrincipalName. Weitere Informationen finden Sie unter Synchronization Service Manager – Metaverse Search.
Klicken Sie im Fenster Suchergebnisse auf das Objekt.
Wenn Sie das Objekt nicht gefunden haben, hat es die Metaverse noch nicht erreicht. Suchen Sie das Objekt weiter im Active Directory-Connectorbereich. Wenn Sie das Objekt im Active Directory-Connectorbereich finden, könnte ein Synchronisierungsfehler vorliegen, der das Objekt daran hindert, zur Metaverse zu gelangen, oder es könnte ein Synchronisierungsregelfilter angewandt werden.
Objekt in MV nicht gefunden
Wenn das Objekt im Active Directory-Connectorbereich, aber nicht im Metaverse vorhanden ist, wird ein Bereichsfilter angewandt. Um den Bereichsfilter anzuzeigen, wählen Sie im Menü der Desktopanwendung den Synchronisierungsregel-Editor aus. Filtern Sie die für das Objekt geltenden Regeln anhand der Filter unten.
Zeigen Sie Regel in der Liste von oben nach unten an, und überprüfen Sie die Bereichsfilter. Wenn der Wert isCriticalSystemObject im folgenden Bereichsfilter NULL, FALSE oder leer ist, gehört er zum Bereich.
Wechseln Sie zur Attributliste CS Import (Aus dem Connectorbereich importieren), und überprüfen Sie, welcher Filter das Verschieben des Objekts in die Metaverse verhindert. Die Attributliste Connector Space (Connectorbereich) zeigt nur Attribute an, die nicht NULL oder leer sind. Wenn beispielsweise isCriticalSystemObject nicht in der Liste angezeigt wird, ist der Wert dieses Attributs NULL oder leer.
Objekt in Microsoft Entra CS nicht gefunden
Wenn das Objekt nicht im Connectorbereich von Microsoft Entra ID, aber in der Metaverse vorhanden ist, sehen Sie sich den Bereichsfilter der Ausgangsregeln des entsprechenden Connectorbereichs an. Überprüfen Sie, ob das Objekt herausgefiltert wurde, da die MV-Attribute nicht die Kriterien erfüllen.
Um den ausgehenden Bereichsfilter anzuzeigen, wählen Sie die für das Objekt anwendbaren Regeln aus, indem Sie den untenstehenden Filter anpassen. Zeigen Sie jede einzelne Regel an, und überprüfen Sie den entsprechenden Wert für das MV-Attribut.
MV-Attribute
Auf der Registerkarte Attribute werden die Werte und der Connectors, von denen sie stammen, angezeigt.
Wenn ein Objekt nicht synchronisiert wird, stellen Sie die folgenden Fragen zum Attributstatus in der Metaverse:
- Ist das Attribut cloudFiltered vorhanden und auf True festgelegt? Wenn dies zutrifft, wurde es anhand der Schritte zur attributbasierten Filterung gefiltert.
- Ist das Attribut sourceAnchor vorhanden? Wenn dies nicht der Fall ist, haben Sie eine Topologie mit Kontoressourcengesamtstruktur? Wenn ein Objekt als ein verknüpftes Postfach identifiziert wird (das Attribut msExchRecipientTypeDetails hat den Wert 2), dann wird sourceAnchor von der Gesamtstruktur mit einem aktivierten Active Directory-Konto bereitgestellt. Stellen Sie sicher, dass das Hauptkonto ordnungsgemäß importiert und synchronisiert wurde. Das Hauptkonto muss bei den Connectors für das Objekt aufgelistet sein.
Metaverseconnectors
Auf der Registerkarte Connectors werden alle Connectorbereiche angezeigt, die über eine Darstellung des Objekts verfügen.
Sie müssen einen Connector haben für:
- Jede Active Directory-Gesamtstruktur, in der der Benutzer dargestellt wird. Diese Darstellung kann die Objekte foreignSecurityPrincipals und Contact umfassen.
- Ein Connector in Microsoft Entra ID.
Wenn Ihnen der Microsoft Entra-Connector fehlt, dann lesen Sie den Abschnitt zu Metaverseattributen, um die Kriterien für die Bereitstellung in Microsoft Entra ID zu überprüfen.
Sie können auch von der Registerkarte Connectors zum Objekt im Connectorbereich navigieren. Wählen Sie eine Zeile aus, und klicken Sie auf Eigenschaften.
Nächste Schritte
- Erfahren Sie mehr über Microsoft Entra Connect-Synchronisierung.
- Erfahren Sie mehr über Hybrididentitäten.