Freigeben über


Problembehandlung bei der Cloudsynchronisierung

Die Cloudsynchronisierung hat viele verschiedene Abhängigkeiten und Interaktionen, die zu verschiedenen Problemen führen können. Dieser Artikel hilft Ihnen, diese Fehler zu beheben. Es führt die typischen Bereiche ein, auf die Sie sich konzentrieren können, wie zusätzliche Informationen gesammelt werden, und die verschiedenen Techniken, mit denen Sie Probleme aufspüren können.

Agentprobleme

Wenn Sie Agent-Probleme beheben, stellen Sie sicher, dass der Agent ordnungsgemäß installiert wurde und mit Microsoft Entra ID kommuniziert. Insbesondere sind einige der ersten Punkte, die Sie mit dem Agent überprüfen möchten:

  • Ist es installiert?
  • Wird der Agent lokal ausgeführt?
  • Befindet sich der Agent im Portal?
  • Ist der Agent als gesund gekennzeichnet?

Sie können diese Elemente im Portal und auf dem lokalen Server überprüfen, auf dem der Agent ausgeführt wird.

Überprüfung des Microsoft Entra Admin Center-Agents

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Azure den Agent erkennt und dass der Agent fehlerfrei ist:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

    Screenshot der Startseite von Microsoft Entra Connect Cloud Sync.

  1. Wählen Sie "Cloudsynchronisierung" aus.
  2. Sie sollten die Agents sehen, die Sie installiert haben. Überprüfen Sie, ob der betreffende Agent vorhanden ist. Wenn alles gut ist, wird der aktive (grüne) Status für den Agent angezeigt.

Überprüfen der erforderlichen offenen Ports

Stellen Sie sicher, dass der Microsoft Entra-Bereitstellungs-Agent erfolgreich mit Azure-Rechenzentren kommunizieren kann. Wenn sich eine Firewall im Pfad befindet, stellen Sie sicher, dass die folgenden Ports für ausgehenden Datenverkehr geöffnet sind:

Portnummer Wie diese verwendet wird
80 Herunterladen von Zertifikatsperrlisten (Certificate Revocation Lists, CRLs), während das TLS/SSL-Zertifikat überprüft wird.
443 Behandlung der gesamten ausgehenden Kommunikation mit dem Anwendungsproxy-Dienst.

Wenn Ihre Firewall Datenverkehr gemäß Ursprungsbenutzern erzwingt, öffnen Sie auch die Ports 80 und 443 für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

Zulassen des Zugriffs auf URLs

Lassen Sie den Zugriff auf die folgenden URLs zu:

URL Hafen Wie diese verwendet wird
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Kommunikation zwischen dem Connector und dem Anwendungsproxy-Clouddienst.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP Der Connector verwendet diese URLs, um Zertifikate zu überprüfen.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS Der Connector verwendet diese URLs während der Registrierung.
ctldl.windowsupdate.com 80/HTTP Der Connector verwendet diese URL während des Registrierungsprozesses.

Sie können Verbindungen mit *.msappproxy.net, *.servicebus.windows.netund anderen der vorherigen URLs zulassen, wenn Ihre Firewall oder Ihr Proxy Zugriffsregeln basierend auf Domänensuffixen konfigurieren können. Andernfalls müssen Sie den Zugriff auf die Azure-IP-Bereiche und -Diensttags – öffentliche Cloud – zulassen. Die IP-Adressbereiche werden wöchentlich aktualisiert.

Von Bedeutung

Vermeiden Sie jegliche Art von Inline-Untersuchung und -Beendigung der ausgehenden TLS-Kommunikation zwischen privaten Microsoft Entra-Netzwerkconnectors und Clouddiensten des Microsoft Entra-Anwendungsproxys.

DNS-Namensauflösung für Microsoft Entra-Anwendungsproxy-Endpunkte

Öffentliche DNS-Einträge für Microsoft Entra-Anwendungsproxyendpunkte sind verkettete CNAME-Einträge, die auf einen A-Eintrag verweisen. Dadurch wird Fehlertoleranz und Flexibilität sichergestellt. Es ist sichergestellt, dass der private Microsoft Entra-Netzwerkconnector immer auf Hostnamen mit den Domänensuffixen *.msappproxy.net oder *.servicebus.windows.net zugreift.

Während der Namensauflösung enthalten die CNAME-Einträge möglicherweise DNS-Einträge mit unterschiedlichen Hostnamen und Suffixen. Aus diesem Grund müssen Sie sicherstellen, dass das Gerät alle Datensätze in der Kette auflösen kann und die Verbindung zu den aufgelösten IP-Adressen zulässt. Da die DNS-Einträge in der Kette von Zeit zu Zeit geändert werden können, können wir Ihnen keine LISTEN-DNS-Einträge bereitstellen.

Auf dem lokalen Server

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Agent ausgeführt wird:

  1. Öffnen Sie auf dem Server, auf dem der Agent installiert ist, Dienste. Gehen Sie dazu zu Start>Ausführen>Dienste.msc.

  2. Stellen Sie unter "Dienste" sicher, dass microsoft Entra Connect Agent Updater und Microsoft Entra Provisioning Agent vorhanden sind. Vergewissern Sie sich außerdem, dass ihr Status Wird ausgeführt ist.

    Screenshot der lokalen Dienste und deren Status.

Häufige Probleme bei der Agent-Installation

In den folgenden Abschnitten werden einige häufige Probleme bei der Agentinstallation und typische Lösungen für diese Probleme beschrieben.

Fehler beim Starten des Agents

Möglicherweise wird eine Fehlermeldung angezeigt, die folgendermaßen lautet:

Der Dienst "Microsoft Entra Provisioning Agent" konnte nicht gestartet werden. Stellen Sie sicher, dass Sie über ausreichende Berechtigungen verfügen, um die Systemdienste zu starten.

Dieses Problem wird in der Regel durch eine Gruppenrichtlinie verursacht. Die Richtlinie verhinderte, dass Berechtigungen auf das lokale NT-Dienstanmeldungskonto angewendet werden, das vom Installationsprogramm ()NT SERVICE\AADConnectProvisioningAgent erstellt wurde. Diese Berechtigungen sind zum Starten des Diensts erforderlich.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

  1. Melden Sie sich beim Server mit einem Administratorkonto an.

  2. Öffnen Sie Dienste, indem Sie zu Start>Ausführen>Services.msc gehen.

  3. Doppelklicken Sie unter "Dienste" auf den Microsoft Entra-Bereitstellungs-Agent.

  4. Auf der Registerkarte Anmelden ändern Sie dieses Konto zu einem Domänenadministrator. Starten Sie dann den Dienst neu.

    Screenshot, der Optionen zeigt, die auf der Registerkarte

Bei der Ausführung des Agents tritt ein Timeout auf, oder das Zertifikat ist ungültig.

Beim Versuch, den Agent zu registrieren, kann die folgende Fehlermeldung angezeigt werden:

Screenshot einer Timeout-Fehlermeldung.

Dieses Problem wird in der Regel dadurch verursacht, dass der Agent keine Verbindung mit dem Hybrididentitätsdienst herstellen kann. Konfigurieren Sie zur Problembehebung einen Proxy für den ausgehenden Datenverkehr.

Der Bereitstellungs-Agent unterstützt die Verwendung eines ausgehenden Proxys. Sie können ihn konfigurieren, indem Sie den folgenden Agent .config Datei bearbeiten: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Fügen Sie die folgenden Zeilen am Ende der Datei direkt vor dem schließenden </configuration> Tag hinzu. Ersetzen Sie die Variablen [proxy-server] und [proxy-port] durch den Namen Ihres Proxyservers und die Portwerte.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Fehler bei der Agent-Registrierung mit Sicherheitsfehler

Möglicherweise erhalten Sie während der Installation des Cloudbereitstellungs-Agent eine Fehlermeldung. Dieses Problem wird in der Regel dadurch verursacht, dass der Agent die PowerShell-Registrierungsskripts aufgrund lokaler PowerShell-Ausführungsrichtlinien nicht ausführen kann.

Ändern Sie zur Lösung dieses Problems die PowerShell-Ausführungsrichtlinien auf dem Server. Sie müssen die Maschinen- und Benutzerrichtlinien als Undefined oder RemoteSigned festgelegt haben. Wenn sie als Unrestrictedfestgelegt sind, wird dieser Fehler angezeigt. Weitere Informationen finden Sie unter PowerShell-Ausführungsrichtlinien.

Protokolldateien

Standardmäßig gibt der Agent minimale Fehlermeldungen und Stack-Trace-Informationen aus. Diese Ablaufverfolgungsprotokolle finden Sie im folgenden Ordner: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Führen Sie die folgenden Schritte aus, um weitere Details zur Behandlung von Problemen mit dem Agent zu sammeln.

  1. Installieren Sie das PowerShell-Modul "AADCloudSyncTools".
  2. Verwenden Sie das PowerShell-Cmdlet Export-AADCloudSyncToolsLogs, um die Informationen zu erfassen. Sie können die folgenden Optionen verwenden, um Ihre Datensammlung zu optimieren.
    • SkipVerboseTrace um nur aktuelle Protokolle zu exportieren, ohne ausführliche Protokolle zu erfassen (Standard = false).
    • TracingDurationMins um eine andere Erfassungsdauer anzugeben (Standard = 3 Minuten).
    • OutputPath um einen anderen Ausgabepfad anzugeben (Standard = Ordner "Dokumente" des Benutzers).

Probleme bei der Objektsynchronisierung

Im Portal können Sie Bereitstellungsprotokolle verwenden, um Probleme mit der Objektsynchronisierung nachzuverfolgen und zu beheben. Um die Protokolle anzuzeigen, wählen Sie "Protokolle" aus.

Screenshot, der die Schaltfläche

Bereitstellungsprotokolle bieten eine Fülle von Informationen zum Status der Objekte, die zwischen Ihrer lokalen Active Directory-Umgebung und Azure synchronisiert werden.

Screenshot, der Informationen zu Bereitstellungsprotokollen zeigt.

Sie können die Ansicht filtern, um sich auf bestimmte Probleme zu konzentrieren, z. B. Datumsangaben. Sie können die Protokolle auch nach Aktivitäten im Zusammenhang mit einem Active Directory-Objekt mithilfe von Active Directory ObjectGuiddurchsuchen. Doppelklicken Sie auf ein einzelnes Ereignis, um weitere Informationen anzuzeigen.

Screenshot: Informationen in Dropdownlisten der Bereitstellungsprotokolle.

Diese Informationen enthalten detaillierte Schritte und der Ort, an dem das Synchronisierungsproblem auftritt. Auf diese Weise können Sie die genaue Stelle des Problems lokalisieren.

Übersprungene Objekte

Wenn Sie Benutzer und Gruppen aus Active Directory synchronisiert haben, können Sie möglicherweise eine oder mehrere Gruppen in der Microsoft Entra-ID nicht finden. Dies kann darauf zurückzuführen sein, dass die Synchronisierung noch nicht abgeschlossen oder noch nicht mit der Erstellung des Objekts im Active Directory abgeglichen ist, ein Synchronisierungsfehler vorliegt, der die Erstellung des Objekts in Microsoft Entra blockiert, oder eine Synchronisierungsbereichsregel angewendet wird, die das Objekt ausschließt.

Wenn Sie die Synchronisierung neu starten und dann, nach Abschluss des Bereitstellungszyklus, das Bereitstellungsprotokoll nach Aktivitäten im Zusammenhang mit einem Objekt durchsuchen, indem Sie das Active Directory ObjectGuid dieses Objekts verwenden. Wenn ein Ereignis mit einer Identität, die nur eine Quell-ID enthält und ein Status von Skipped im Protokoll vorhanden ist, kann dies darauf hindeuten, dass der Agent das Active Directory-Objekt gefiltert hat, da es außerhalb des Gültigkeitsbereichs war.

Standardmäßig schließen die Bereichsregeln die folgenden Objekte von der Synchronisierung mit der Microsoft Entra-ID aus:

  • Benutzer, Gruppen und Kontakte, die IsCriticalSystemObject auf TRUE festgelegt sind, einschließlich vieler der integrierten Benutzer und Gruppen in Active Directory
  • Replikationszielobjekte

Zusätzliche Einschränkungen können im Synchronisierungsschema vorhanden sein.

Microsoft Entra Objektlöschschwellenwert

Wenn Sie über eine Implementierungstopologie mit Microsoft Entra Connect und Microsoft Entra Cloud Sync verfügen, beide in denselben Microsoft Entra-Mandanten exportieren oder vollständig von der Verwendung von Microsoft Entra Connect zu Microsoft Entra Cloud Sync verschoben wurden, erhalten Sie möglicherweise die folgende Exportfehlermeldung, wenn Sie mehrere Objekte aus dem definierten Bereich löschen oder verschieben:

Screenshot, der den Exportfehler zeigt.

Dieser Fehler bezieht sich nicht auf das Feature zur Verhinderung versehentlicher Löschungen der Microsoft Entra Connect-Cloudsynchronisierung. Es wird durch das Feature zur Verhinderung von versehentlichen Löschungen im Microsoft Entra-Verzeichnis von Microsoft Entra Connect ausgelöst. Wenn Sie keinen Microsoft Entra Connect-Server installiert haben, über den Sie das Feature umschalten können, können Sie das PowerShell-Modul "AADCloudSyncTools" verwenden, das mit dem Microsoft Entra Connect-Cloud-Synchronisierungs-Agenten installiert ist, um die Einstellung für den Mandanten zu deaktivieren und ermöglichen, dass die blockierten Löschungen exportiert werden, nachdem bestätigt wurde, dass sie erwartet und zulässig sind. Verwenden Sie den folgenden Befehl:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Während des nächsten Bereitstellungszyklus sollten die Objekte, die für den Löschvorgang markiert wurden, erfolgreich aus dem Microsoft Entra-Verzeichnis gelöscht werden.

Bereitstellungsprobleme im Status „Quarantäne“

Die Cloudsynchronisierung überwacht die Integrität Ihrer Konfiguration und platziert fehlerhafte Objekte in einem Quarantänezustand. Wenn die meisten oder alle Aufrufe gegen das Zielsystem aufgrund eines Fehlers (z. B. ungültige Administratoranmeldeinformationen) konsistent fehlschlagen, wird der Synchronisierungsauftrag als in Quarantäne markiert.

Screenshot des Quarantänestatus.

Wenn Sie den Status auswählen, werden weitere Informationen zur Quarantäne angezeigt. Sie können auch den Fehlercode und die Meldung abrufen.

Screenshot mit zusätzlichen Informationen zur Quarantäne.

Wenn Sie mit der rechten Maustaste auf den Status klicken, werden weitere Optionen angezeigt:

  • Zeigen Sie die Bereitstellungsprotokolle an.
  • Zeigen Sie die Agents an.
  • Löschen Sie die Quarantäne.

Screenshot der Menüoptionen mit der rechten Maustaste.

Auflösen einer Quarantäne

Es gibt zwei verschiedene Möglichkeiten zum Auflösen einer Quarantäne. Sie können die Quarantäne löschen oder den Bereitstellungsauftrag neu starten.

Löschen der Quarantäne

Um das Wasserzeichen zu löschen und eine Delta-Synchronisierung für den Bereitstellungsauftrag auszuführen, nachdem Sie ihn überprüft haben, klicken Sie einfach mit der rechten Maustaste auf den Status, und wählen Sie "Quarantäne löschen" aus.

Es sollte ein Hinweis angezeigt werden, dass die Quarantäne aufgehoben wird.

Screenshot, der den Hinweis zeigt, dass die Quarantäne gelöscht wird.

Daraufhin sollte der Status des Agents als fehlerfrei angezeigt werden.

Screenshot: Agent-Status „Fehlerfrei“

Erneutes Starten des Bereitstellungsauftrags

Verwenden Sie das Portal, um den Bereitstellungsauftrag neu zu starten. Wählen Sie auf der Seite "Agentkonfiguration" die Option "Synchronisierung neu starten" aus.

Screenshot der Optionen auf der Agent-Konfigurationsseite.

Alternativ können Sie Microsoft Graph verwenden, um den Bereitstellungsauftrag neu zu starten. Sie haben die volle Kontrolle über das, was Sie neu starten. Sie können auswählen, dass Folgendes geschieht:

  • Der Zählerwert wird auf 0 zurückgesetzt und steigt wieder an, sobald neue Elemente in Quarantäne verschoben werden.
  • Eine Anwendung wird aus der Quarantäne entfernt.
  • Grenzwerte werden geändert.

Verwenden Sie die folgende Anforderung:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Reparieren des Cloudsynchronisierungsdienstkontos

Wenn Sie das Cloudsynchronisierungsdienstkonto reparieren müssen, können Sie den Repair-AADCloudSyncToolsAccount Befehl verwenden.

  1. Installieren Sie das PowerShell-Modul "AADCloudSyncTools".

  2. In einer PowerShell-Sitzung mit Administratorrechten geben Sie Folgendes ein oder kopieren und fügen Sie es ein:

    Connect-AADCloudSyncTools
    
  3. Geben Sie Ihre Anmeldeinformationen des globalen Microsoft Entra-Administrators ein.

  4. Geben Sie Folgendes ein oder kopieren und fügen Sie es ein.

    Repair-AADCloudSyncToolsAccount
    
  5. Nach Abschluss dieses Vorgangs sollte gesagt werden, dass das Konto erfolgreich repariert wurde.

Kennwortrückschreiben

Wenn Sie das Kennwortrückschreiben mit der Cloudsynchronisierung aktivieren und verwenden möchten, beachten Sie Folgendes:

  • Wenn Sie die gMSA-Berechtigungen aktualisieren müssen, kann es eine Stunde oder mehr dauern, bis diese Berechtigungen auf alle Objekte in Ihrem Verzeichnis repliziert werden. Wenn Sie diese Berechtigungen nicht zuweisen, kann die Rückschreibung ordnungsgemäß konfiguriert erscheinen, aber die Benutzer erhalten möglicherweise Fehlermeldungen, wenn sie ihre lokalen Kennwörter über die Cloud aktualisieren. Berechtigungen müssen auf dieses Objekt und alle untergeordneten Objekte angewendet werden, damit unexpire Password angezeigt wird.
  • Wenn Kennwörter für einige Benutzerkonten nicht in das lokale Verzeichnis zurückgeschrieben werden, stellen Sie sicher, dass die Vererbung für das Konto in der lokalen Active Directory Domain Services (AD DS)-Umgebung nicht deaktiviert ist. Schreibberechtigungen für Kennwörter müssen auf Nachfolgerobjekte angewendet werden, damit die Funktion ordnungsgemäß funktioniert.
  • Kennwortrichtlinien in der lokalen AD DS-Umgebung verhindern möglicherweise, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden. Wenn Sie dieses Feature testen und Kennwörter für Benutzer mehr als einmal pro Tag zurücksetzen möchten, muss die Gruppenrichtlinie für das Mindestkennwortalter auf 0 festgelegt werden. Sie finden diese Einstellung an folgendem Speicherort: Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Kontorichtlinien, in gpmc.msc.
    • Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl gpupdate /force.
    • Damit Kennwörter sofort geändert werden können, muss das Mindestkennwortalter auf 0 festgelegt werden. Wenn Benutzer jedoch den lokalen Richtlinien entsprechen und das Mindestkennwortalter auf einen Wert festgelegt ist, der größer als 0 ist, funktioniert das Kennwortrückschreiben nach der Auswertung der lokalen Richtlinien nicht.

Nächste Schritte