Problembehandlung für die Objektsynchronisierung mit der Microsoft Entra Connect-Synchronisierung

  • Artikel

Dieser Artikel enthält Schritte zum Behandeln von Problemen bei der Objektsynchronisierung mithilfe der Problembehandlungsaufgabe. Die Funktionsweise der Problembehandlung in Microsoft Entra Connect wird in diesem kurzen Video veranschaulicht.

Aufgaben zur Problembehandlung

Verwenden Sie für die Microsoft Entra Connect-Bereitstellung der Version 1.1.749.0 oder später die Problembehandlungsaufgabe im Assistenten, um Probleme mit der Objektsynchronisierung zu bearbeiten. Bei früheren Versionen können Sie die Problembehandlung manuell durchführen.

Ausführen der Problembehandlungsaufgabe im Assistenten

Ausführen der Problembehandlungsaufgabe:

  1. Öffnen Sie mit der Option „Als Administrator ausführen“ eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.
  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.
  3. Starten Sie den Microsoft Entra Connect-Assistenten.
  4. Wechseln Sie zu Weitere Aufgaben>Problembehandlung, und wählen Sie dann Weiter aus.
  5. Wählen Sie auf der Seite Problembehandlung die Option Starten, um das Menü für die Problembehandlung in PowerShell zu starten.
  6. Wählen Sie im Hauptmenü die Option Problembehandlung bei der Objektsynchronisierung aus.

Screenshot that shows the Troubleshoot object sync option highlighted in Microsoft Entra Connect.

Problembehandlung bei Eingabeparametern

Für die Problembehandlungsaufgabe sind die folgenden Eingabeparameter erforderlich:

  • Distinguished Name des Objekts: Der Distinguished Name des Objekts, für das eine Problembehandlung durchgeführt werden muss.
  • AD-Connectorname: Der Name der Windows Server Active Directory (Windows Server AD)-Gesamtstruktur, in der sich das Objekt befindet.
  • Microsoft Entra-Anmeldeinformationen des Hybrididentitätsadministrators des Mandanten.

Screenshot that shows the credentials dialog on a PowerShell terminal background.

Grundlegendes zu den Ergebnissen der Problembehandlungsaufgabe

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

  • Ermitteln eines Konflikts mit dem Benutzerprinzipalnamen (User Principal Name, UPN), wenn das Objekt mit Microsoft Entra ID synchronisiert wird.
  • Überprüfen, ob das Objekt aufgrund einer Filterung der Domäne gefiltert wird
  • Überprüfen, ob das Objekt aufgrund der Filterung der Organisationseinheit (OE) gefiltert wird
  • Überprüfen, ob die Objektsynchronisierung aufgrund eines verknüpften Postfachs blockiert ist
  • Überprüfen, ob sich das Objekt in einer dynamischen Verteilergruppe befindet, die nicht für die Synchronisierung vorgesehen ist

Im weiteren Verlauf dieses Artikels werden konkrete Ergebnisse beschrieben, die von der Problembehandlungsaufgabe zurückgegeben werden. In jedem Fall stellt die Aufgabe eine Analyse gefolgt von den empfohlenen Aktionen zum Beheben des Problems bereit.

Ermitteln von UPN-Konflikten, wenn das Objekt mit Microsoft Entra synchronisiert wird

Überprüfen Sie auf UPN-Probleme, die in den nächsten Abschnitten beschrieben werden.

Das UPN-Suffix wird nicht mit dem Microsoft Entra-Mandanten überprüft

Wenn der UPN oder das alternative Anmelde-ID-Suffix nicht mit dem Microsoft Entra-Mandanten überprüft werden, ersetzt Microsoft Entra ID die UPN-Suffixe durch den Standarddomänennamen onmicrosoft.com. Um dieses Problem zu beheben, fügen Sie das UPN-Suffix als überprüfte Domäne zu Ihrem Mandanten hinzu. Weitere Informationen finden Sie unter Verwalten benutzerdefinierter Domänennamen in Ihrer Microsoft Entra ID-Instanz.

Screenshot that shows an example of an unverified UPN suffix error in PowerShell.

Das DirSync-Feature SynchronizeUpnForManagedUsers ist für Microsoft Entra-Mandanten deaktiviert

Wenn das DirSync-Feature SynchronizeUpnForManagedUsers des Microsoft Entra-Mandanten deaktiviert ist, lässt Microsoft Entra ID keine Synchronisierungsaktualisierungen für den UPN oder die alternative Anmelde-ID für lizenzierte Benutzerkonten zu, welche die verwaltete Authentifizierung verwenden. Informationen zum Aktivieren der SynchronizeUpnForManagedUsers-Funktion finden Sie unter Microsoft Entra Connect-Synchronisierungsdienstfunktionen.

Screenshot that shows an example of a UPN sync for managed users error in PowerShell.

Das Objekt wird aufgrund einer Domänenfilterung gefiltert

Suchen Sie nach den Problemen mit der Domänenfilterung, die in den nächsten Abschnitten beschrieben werden.

Die Domäne ist nicht für die Synchronisierung konfiguriert

Das Objekt ist außerhalb des Bereichs, da die Domäne nicht konfiguriert wurde. Im Beispiel in der folgenden Abbildung befindet sich das Objekt nicht im Synchronisierungsbereich, weil die Domäne, zu der es gehört, aus der Synchronisierung gefiltert wird.

Screenshot that shows an example of an error caused by a domain that's not in sync scope.

Die Domäne ist für die Synchronisierung konfiguriert, aber es fehlen die Ausführungsprofile oder Ausführungsschritte

Das Objekt befindet sich außerhalb des Bereichs, weil in der Domäne Ausführungsprofile oder Ausführungsschritte fehlen. Im Beispiel in der folgenden Abbildung befindet sich das Objekt nicht im Synchronisierungsbereich, weil die Domäne, zu der es gehört, über keine Ausführungsschritte für das Ausführungsprofil für den vollständigen Import verfügt.

Screenshot that shows an example of an error caused by missing run steps.

Das Objekt wird aufgrund einer Organisationseinheitenfilterung gefiltert

Das Objekt befindet sich aufgrund der Filterkonfiguration nach Organisationseinheit nicht im Synchronisierungsbereich. Im Beispiel in der folgenden Abbildung gehört das Objekt zu OU=NoSync,DC=bvtadwbackdc,DC=com. Diese OE ist nicht im Synchronisierungsbereich enthalten.

Screenshot that shows an example of an OU filtering error in PowerShell.

Problem mit einem verknüpften Postfach

Ein verknüpftes Postfach sollte einem externen primären Konto zugeordnet sein, das sich in einer anderen vertrauenswürdigen Kontogesamtstruktur befindet. Wenn das primäre Konto nicht vorhanden ist, synchronisiert Microsoft Entra Connect das Benutzerkonto, das dem verknüpften Postfach in der Exchange-Gesamtstruktur entspricht, nicht mit dem Microsoft Entra-Mandanten.

Screenshot that shows an example of a linked mailbox error in PowerShell.

Problem mit der dynamischen Verteilergruppe

Aufgrund verschiedener Unterschiede zwischen dem lokalen Windows Server AD und Microsoft Entra ID synchronisiert Microsoft Entra Connect dynamische Verteilergruppen nicht mit dem Microsoft Entra-Mandanten.

Screenshot that shows an example of a dynamic distribution group error in PowerShell.

HTML-Bericht

Zusätzlich zum Analysieren des Objekts generiert die Problembehandlungsaufgabe auch einen HTML-Bericht, der alle bekannten Informationen über das Objekt enthält. Der HTML-Bericht kann dem Supportteam bei Bedarf zur weiteren Problembehandlung zur Verfügung gestellt werden.

Screenshot that shows an example of an HTML report in PowerShell.

Nächste Schritte

Erfahren Sie mehr zum Integrieren lokaler Identitäten in Microsoft Entra ID.