Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Cloudsynchronisierung hat viele verschiedene Abhängigkeiten und Interaktionen, die zu verschiedenen Problemen führen können. Dieser Artikel hilft Ihnen, diese Fehler zu beheben. Es führt die typischen Bereiche ein, auf die Sie sich konzentrieren können, wie zusätzliche Informationen gesammelt werden, und die verschiedenen Techniken, mit denen Sie Probleme aufspüren können.
Agentprobleme
Wenn Sie Agent-Probleme beheben, stellen Sie sicher, dass der Agent ordnungsgemäß installiert wurde und mit Microsoft Entra ID kommuniziert. Insbesondere sind einige der ersten Punkte, die Sie mit dem Agent überprüfen möchten:
- Ist es installiert?
- Wird der Agent lokal ausgeführt?
- Befindet sich der Agent im Portal?
- Ist der Agent als gesund gekennzeichnet?
Sie können diese Elemente im Portal und auf dem lokalen Server überprüfen, auf dem der Agent ausgeführt wird.
Überprüfung des Microsoft Entra Admin Center-Agents
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Azure den Agent erkennt und dass der Agent fehlerfrei ist:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.
- Wählen Sie "Cloudsynchronisierung" aus.
- Sie sollten die Agents sehen, die Sie installiert haben. Überprüfen Sie, ob der betreffende Agent vorhanden ist. Wenn alles gut ist, wird der aktive (grüne) Status für den Agent angezeigt.
Überprüfen der erforderlichen offenen Ports
Stellen Sie sicher, dass der Microsoft Entra-Bereitstellungs-Agent erfolgreich mit Azure-Rechenzentren kommunizieren kann. Wenn sich eine Firewall im Pfad befindet, stellen Sie sicher, dass die folgenden Ports für ausgehenden Datenverkehr geöffnet sind:
| Portnummer | Wie diese verwendet wird |
|---|---|
| 80 | Herunterladen von Zertifikatsperrlisten (Certificate Revocation Lists, CRLs), während das TLS/SSL-Zertifikat überprüft wird. |
| 443 | Behandlung der gesamten ausgehenden Kommunikation mit dem Anwendungsproxy-Dienst. |
Wenn Ihre Firewall Datenverkehr gemäß Ursprungsbenutzern erzwingt, öffnen Sie auch die Ports 80 und 443 für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.
Zulassen des Zugriffs auf URLs
Lassen Sie den Zugriff auf die folgenden URLs zu:
| URL | Hafen | Wie diese verwendet wird |
|---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Kommunikation zwischen dem Connector und dem Anwendungsproxy-Clouddienst. |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Der Connector verwendet diese URLs, um Zertifikate zu überprüfen. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops |
443/HTTPS | Der Connector verwendet diese URLs während der Registrierung. |
ctldl.windowsupdate.com |
80/HTTP | Der Connector verwendet diese URL während des Registrierungsprozesses. |
Sie können Verbindungen mit *.msappproxy.net, *.servicebus.windows.netund anderen der vorherigen URLs zulassen, wenn Ihre Firewall oder Ihr Proxy Zugriffsregeln basierend auf Domänensuffixen konfigurieren können. Andernfalls müssen Sie den Zugriff auf die Azure-IP-Bereiche und -Diensttags – öffentliche Cloud – zulassen. Die IP-Adressbereiche werden wöchentlich aktualisiert.
Von Bedeutung
Vermeiden Sie jegliche Art von Inline-Untersuchung und -Beendigung der ausgehenden TLS-Kommunikation zwischen privaten Microsoft Entra-Netzwerkconnectors und Clouddiensten des Microsoft Entra-Anwendungsproxys.
DNS-Namensauflösung für Microsoft Entra-Anwendungsproxy-Endpunkte
Öffentliche DNS-Einträge für Microsoft Entra-Anwendungsproxyendpunkte sind verkettete CNAME-Einträge, die auf einen A-Eintrag verweisen. Dadurch wird Fehlertoleranz und Flexibilität sichergestellt. Es ist sichergestellt, dass der private Microsoft Entra-Netzwerkconnector immer auf Hostnamen mit den Domänensuffixen *.msappproxy.net oder *.servicebus.windows.net zugreift.
Während der Namensauflösung enthalten die CNAME-Einträge möglicherweise DNS-Einträge mit unterschiedlichen Hostnamen und Suffixen. Aus diesem Grund müssen Sie sicherstellen, dass das Gerät alle Datensätze in der Kette auflösen kann und die Verbindung zu den aufgelösten IP-Adressen zulässt. Da die DNS-Einträge in der Kette von Zeit zu Zeit geändert werden können, können wir Ihnen keine LISTEN-DNS-Einträge bereitstellen.
Auf dem lokalen Server
Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Agent ausgeführt wird:
Öffnen Sie auf dem Server, auf dem der Agent installiert ist, Dienste. Gehen Sie dazu zu Start>Ausführen>Dienste.msc.
Stellen Sie unter "Dienste" sicher, dass microsoft Entra Connect Agent Updater und Microsoft Entra Provisioning Agent vorhanden sind. Vergewissern Sie sich außerdem, dass ihr Status Wird ausgeführt ist.
Häufige Probleme bei der Agent-Installation
In den folgenden Abschnitten werden einige häufige Probleme bei der Agentinstallation und typische Lösungen für diese Probleme beschrieben.
Fehler beim Starten des Agents
Möglicherweise wird eine Fehlermeldung angezeigt, die folgendermaßen lautet:
Der Dienst "Microsoft Entra Provisioning Agent" konnte nicht gestartet werden. Stellen Sie sicher, dass Sie über ausreichende Berechtigungen verfügen, um die Systemdienste zu starten.
Dieses Problem wird in der Regel durch eine Gruppenrichtlinie verursacht. Die Richtlinie verhinderte, dass Berechtigungen auf das lokale NT-Dienstanmeldungskonto angewendet werden, das vom Installationsprogramm ()NT SERVICE\AADConnectProvisioningAgent erstellt wurde. Diese Berechtigungen sind zum Starten des Diensts erforderlich.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Melden Sie sich beim Server mit einem Administratorkonto an.
Öffnen Sie Dienste, indem Sie zu Start>Ausführen>Services.msc gehen.
Doppelklicken Sie unter "Dienste" auf den Microsoft Entra-Bereitstellungs-Agent.
Auf der Registerkarte Anmelden ändern Sie dieses Konto zu einem Domänenadministrator. Starten Sie dann den Dienst neu.
Bei der Ausführung des Agents tritt ein Timeout auf, oder das Zertifikat ist ungültig.
Beim Versuch, den Agent zu registrieren, kann die folgende Fehlermeldung angezeigt werden:
Dieses Problem wird in der Regel dadurch verursacht, dass der Agent keine Verbindung mit dem Hybrididentitätsdienst herstellen kann. Konfigurieren Sie zur Problembehebung einen Proxy für den ausgehenden Datenverkehr.
Der Bereitstellungs-Agent unterstützt die Verwendung eines ausgehenden Proxys. Sie können ihn konfigurieren, indem Sie den folgenden Agent .config Datei bearbeiten: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.
Fügen Sie die folgenden Zeilen am Ende der Datei direkt vor dem schließenden </configuration> Tag hinzu. Ersetzen Sie die Variablen [proxy-server] und [proxy-port] durch den Namen Ihres Proxyservers und die Portwerte.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Fehler bei der Agent-Registrierung mit Sicherheitsfehler
Möglicherweise erhalten Sie während der Installation des Cloudbereitstellungs-Agent eine Fehlermeldung. Dieses Problem wird in der Regel dadurch verursacht, dass der Agent die PowerShell-Registrierungsskripts aufgrund lokaler PowerShell-Ausführungsrichtlinien nicht ausführen kann.
Ändern Sie zur Lösung dieses Problems die PowerShell-Ausführungsrichtlinien auf dem Server. Sie müssen die Maschinen- und Benutzerrichtlinien als Undefined oder RemoteSigned festgelegt haben. Wenn sie als Unrestrictedfestgelegt sind, wird dieser Fehler angezeigt. Weitere Informationen finden Sie unter PowerShell-Ausführungsrichtlinien.
Protokolldateien
Standardmäßig gibt der Agent minimale Fehlermeldungen und Stack-Trace-Informationen aus. Diese Ablaufverfolgungsprotokolle finden Sie im folgenden Ordner: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.
Führen Sie die folgenden Schritte aus, um weitere Details zur Behandlung von Problemen mit dem Agent zu sammeln.
- Installieren Sie das PowerShell-Modul "AADCloudSyncTools".
- Verwenden Sie das PowerShell-Cmdlet
Export-AADCloudSyncToolsLogs, um die Informationen zu erfassen. Sie können die folgenden Optionen verwenden, um Ihre Datensammlung zu optimieren.SkipVerboseTraceum nur aktuelle Protokolle zu exportieren, ohne ausführliche Protokolle zu erfassen (Standard = false).TracingDurationMinsum eine andere Erfassungsdauer anzugeben (Standard = 3 Minuten).OutputPathum einen anderen Ausgabepfad anzugeben (Standard = Ordner "Dokumente" des Benutzers).
Probleme bei der Objektsynchronisierung
Im Portal können Sie Bereitstellungsprotokolle verwenden, um Probleme mit der Objektsynchronisierung nachzuverfolgen und zu beheben. Um die Protokolle anzuzeigen, wählen Sie "Protokolle" aus.
Bereitstellungsprotokolle bieten eine Fülle von Informationen zum Status der Objekte, die zwischen Ihrer lokalen Active Directory-Umgebung und Azure synchronisiert werden.
Sie können die Ansicht filtern, um sich auf bestimmte Probleme zu konzentrieren, z. B. Datumsangaben. Sie können die Protokolle auch nach Aktivitäten im Zusammenhang mit einem Active Directory-Objekt mithilfe von Active Directory ObjectGuiddurchsuchen. Doppelklicken Sie auf ein einzelnes Ereignis, um weitere Informationen anzuzeigen.
Diese Informationen enthalten detaillierte Schritte und der Ort, an dem das Synchronisierungsproblem auftritt. Auf diese Weise können Sie die genaue Stelle des Problems lokalisieren.
Übersprungene Objekte
Wenn Sie Benutzer und Gruppen aus Active Directory synchronisiert haben, können Sie möglicherweise eine oder mehrere Gruppen in der Microsoft Entra-ID nicht finden. Dies kann darauf zurückzuführen sein, dass die Synchronisierung noch nicht abgeschlossen oder noch nicht mit der Erstellung des Objekts im Active Directory abgeglichen ist, ein Synchronisierungsfehler vorliegt, der die Erstellung des Objekts in Microsoft Entra blockiert, oder eine Synchronisierungsbereichsregel angewendet wird, die das Objekt ausschließt.
Wenn Sie die Synchronisierung neu starten und dann, nach Abschluss des Bereitstellungszyklus, das Bereitstellungsprotokoll nach Aktivitäten im Zusammenhang mit einem Objekt durchsuchen, indem Sie das Active Directory ObjectGuid dieses Objekts verwenden. Wenn ein Ereignis mit einer Identität, die nur eine Quell-ID enthält und ein Status von Skipped im Protokoll vorhanden ist, kann dies darauf hindeuten, dass der Agent das Active Directory-Objekt gefiltert hat, da es außerhalb des Gültigkeitsbereichs war.
Standardmäßig schließen die Bereichsregeln die folgenden Objekte von der Synchronisierung mit der Microsoft Entra-ID aus:
- Benutzer, Gruppen und Kontakte, die
IsCriticalSystemObjectauf TRUE festgelegt sind, einschließlich vieler der integrierten Benutzer und Gruppen in Active Directory - Replikationszielobjekte
Zusätzliche Einschränkungen können im Synchronisierungsschema vorhanden sein.
Microsoft Entra Objektlöschschwellenwert
Wenn Sie über eine Implementierungstopologie mit Microsoft Entra Connect und Microsoft Entra Cloud Sync verfügen, beide in denselben Microsoft Entra-Mandanten exportieren oder vollständig von der Verwendung von Microsoft Entra Connect zu Microsoft Entra Cloud Sync verschoben wurden, erhalten Sie möglicherweise die folgende Exportfehlermeldung, wenn Sie mehrere Objekte aus dem definierten Bereich löschen oder verschieben:
Dieser Fehler bezieht sich nicht auf das Feature zur Verhinderung versehentlicher Löschungen der Microsoft Entra Connect-Cloudsynchronisierung. Es wird durch das Feature zur Verhinderung von versehentlichen Löschungen im Microsoft Entra-Verzeichnis von Microsoft Entra Connect ausgelöst. Wenn Sie keinen Microsoft Entra Connect-Server installiert haben, über den Sie das Feature umschalten können, können Sie das PowerShell-Modul "AADCloudSyncTools" verwenden, das mit dem Microsoft Entra Connect-Cloud-Synchronisierungs-Agenten installiert ist, um die Einstellung für den Mandanten zu deaktivieren und ermöglichen, dass die blockierten Löschungen exportiert werden, nachdem bestätigt wurde, dass sie erwartet und zulässig sind. Verwenden Sie den folgenden Befehl:
Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"
Während des nächsten Bereitstellungszyklus sollten die Objekte, die für den Löschvorgang markiert wurden, erfolgreich aus dem Microsoft Entra-Verzeichnis gelöscht werden.
Bereitstellungsprobleme im Status „Quarantäne“
Die Cloudsynchronisierung überwacht die Integrität Ihrer Konfiguration und platziert fehlerhafte Objekte in einem Quarantänezustand. Wenn die meisten oder alle Aufrufe gegen das Zielsystem aufgrund eines Fehlers (z. B. ungültige Administratoranmeldeinformationen) konsistent fehlschlagen, wird der Synchronisierungsauftrag als in Quarantäne markiert.
Wenn Sie den Status auswählen, werden weitere Informationen zur Quarantäne angezeigt. Sie können auch den Fehlercode und die Meldung abrufen.
Wenn Sie mit der rechten Maustaste auf den Status klicken, werden weitere Optionen angezeigt:
- Zeigen Sie die Bereitstellungsprotokolle an.
- Zeigen Sie die Agents an.
- Löschen Sie die Quarantäne.
Auflösen einer Quarantäne
Es gibt zwei verschiedene Möglichkeiten zum Auflösen einer Quarantäne. Sie können die Quarantäne löschen oder den Bereitstellungsauftrag neu starten.
Löschen der Quarantäne
Um das Wasserzeichen zu löschen und eine Delta-Synchronisierung für den Bereitstellungsauftrag auszuführen, nachdem Sie ihn überprüft haben, klicken Sie einfach mit der rechten Maustaste auf den Status, und wählen Sie "Quarantäne löschen" aus.
Es sollte ein Hinweis angezeigt werden, dass die Quarantäne aufgehoben wird.
Daraufhin sollte der Status des Agents als fehlerfrei angezeigt werden.
Erneutes Starten des Bereitstellungsauftrags
Verwenden Sie das Portal, um den Bereitstellungsauftrag neu zu starten. Wählen Sie auf der Seite "Agentkonfiguration" die Option "Synchronisierung neu starten" aus.
Alternativ können Sie Microsoft Graph verwenden, um den Bereitstellungsauftrag neu zu starten. Sie haben die volle Kontrolle über das, was Sie neu starten. Sie können auswählen, dass Folgendes geschieht:
- Der Zählerwert wird auf 0 zurückgesetzt und steigt wieder an, sobald neue Elemente in Quarantäne verschoben werden.
- Eine Anwendung wird aus der Quarantäne entfernt.
- Grenzwerte werden geändert.
Verwenden Sie die folgende Anforderung:
POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Reparieren des Cloudsynchronisierungsdienstkontos
Wenn Sie das Cloudsynchronisierungsdienstkonto reparieren müssen, können Sie den Repair-AADCloudSyncToolsAccount Befehl verwenden.
In einer PowerShell-Sitzung mit Administratorrechten geben Sie Folgendes ein oder kopieren und fügen Sie es ein:
Connect-AADCloudSyncToolsGeben Sie Ihre Anmeldeinformationen des globalen Microsoft Entra-Administrators ein.
Geben Sie Folgendes ein oder kopieren und fügen Sie es ein.
Repair-AADCloudSyncToolsAccountNach Abschluss dieses Vorgangs sollte gesagt werden, dass das Konto erfolgreich repariert wurde.
Kennwortrückschreiben
Wenn Sie das Kennwortrückschreiben mit der Cloudsynchronisierung aktivieren und verwenden möchten, beachten Sie Folgendes:
- Wenn Sie die gMSA-Berechtigungen aktualisieren müssen, kann es eine Stunde oder mehr dauern, bis diese Berechtigungen auf alle Objekte in Ihrem Verzeichnis repliziert werden. Wenn Sie diese Berechtigungen nicht zuweisen, kann die Rückschreibung ordnungsgemäß konfiguriert erscheinen, aber die Benutzer erhalten möglicherweise Fehlermeldungen, wenn sie ihre lokalen Kennwörter über die Cloud aktualisieren. Berechtigungen müssen auf dieses Objekt und alle untergeordneten Objekte angewendet werden, damit unexpire Password angezeigt wird.
- Wenn Kennwörter für einige Benutzerkonten nicht in das lokale Verzeichnis zurückgeschrieben werden, stellen Sie sicher, dass die Vererbung für das Konto in der lokalen Active Directory Domain Services (AD DS)-Umgebung nicht deaktiviert ist. Schreibberechtigungen für Kennwörter müssen auf Nachfolgerobjekte angewendet werden, damit die Funktion ordnungsgemäß funktioniert.
- Kennwortrichtlinien in der lokalen AD DS-Umgebung verhindern möglicherweise, dass Kennwortzurücksetzungen ordnungsgemäß verarbeitet werden. Wenn Sie dieses Feature testen und Kennwörter für Benutzer mehr als einmal pro Tag zurücksetzen möchten, muss die Gruppenrichtlinie für das Mindestkennwortalter auf 0 festgelegt werden. Sie finden diese Einstellung an folgendem Speicherort: Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Kontorichtlinien, in gpmc.msc.
- Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl
gpupdate /force. - Damit Kennwörter sofort geändert werden können, muss das Mindestkennwortalter auf 0 festgelegt werden. Wenn Benutzer jedoch den lokalen Richtlinien entsprechen und das Mindestkennwortalter auf einen Wert festgelegt ist, der größer als 0 ist, funktioniert das Kennwortrückschreiben nach der Auswertung der lokalen Richtlinien nicht.
- Warten Sie beim Aktualisieren der Gruppenrichtlinie, bis die aktualisierte Richtlinie repliziert wurde, oder verwenden Sie den Befehl