Freigeben über

Problembehandlung für die Objektsynchronisierung mit der Microsoft Entra Connect-Synchronisierung

Dieser Artikel enthält Schritte zum Behandeln von Problemen bei der Objektsynchronisierung mithilfe der Problembehandlungsaufgabe. Die Funktionsweise der Problembehandlung in Microsoft Entra Connect wird in diesem kurzen Video veranschaulicht.

Aufgaben zur Problembehandlung

Verwenden Sie für die Microsoft Entra Connect-Bereitstellung der Version 1.1.749.0 oder später die Problembehandlungsaufgabe im Assistenten, um Probleme mit der Objektsynchronisierung zu bearbeiten. Bei früheren Versionen können Sie die Problembehandlung manuell durchführen.

Ausführen der Problembehandlungsaufgabe im Assistenten

Ausführen der Problembehandlungsaufgabe:

  1. Öffnen Sie mit der Option „Als Administrator ausführen“ eine neue Windows PowerShell-Sitzung auf Ihrem Microsoft Entra Connect-Server.
  2. Führen Sie Set-ExecutionPolicy RemoteSigned oder Set-ExecutionPolicy Unrestricted aus.
  3. Starten Sie den Microsoft Entra Connect-Assistenten.
  4. Wechseln Sie zu Weitere Aufgaben>Problembehandlung, und wählen Sie dann Weiter aus.
  5. Wählen Sie auf der Seite Problembehandlung die Option Starten, um das Menü für die Problembehandlung in PowerShell zu starten.
  6. Wählen Sie im Hauptmenü die Option Problembehandlung bei der Objektsynchronisierung aus.

Screenshot zeigt die Option „Problembehandlung für die Objektsynchronisierung“ in Microsoft Entra Connect hervorgehoben.

Problembehandlung bei Eingabeparametern

Für die Problembehandlungsaufgabe sind die folgenden Eingabeparameter erforderlich:

  • Distinguished Name des Objekts: Der Distinguished Name des Objekts, für das eine Problembehandlung durchgeführt werden muss.
  • AD-Connectorname: Der Name der Windows Server Active Directory (Windows Server AD)-Gesamtstruktur, in der sich das Objekt befindet.
  • Microsoft Entra-Anmeldeinformationen des Hybrididentitätsadministrators des Mandanten.

Screenshot zeigt das Dialogfeld „Anmeldeinformationen“ auf einem PowerShell-Terminalhintergrund.

Verstehen Sie die Ergebnisse der Fehlerbehebung.

Die Problembehandlungsaufgabe führt die folgenden Überprüfungen durch:

  • Ermitteln eines Konflikts mit dem Benutzerprinzipalnamen (User Principal Name, UPN), wenn das Objekt mit Microsoft Entra ID synchronisiert wird.
  • Überprüfen, ob das Objekt aufgrund einer Filterung der Domäne gefiltert wird
  • Überprüfen, ob das Objekt aufgrund der Filterung der Organisationseinheit (OE) gefiltert wird
  • Überprüfen, ob die Objektsynchronisierung aufgrund eines verknüpften Postfachs blockiert ist
  • Überprüfen, ob sich das Objekt in einer dynamischen Verteilergruppe befindet, die nicht für die Synchronisierung vorgesehen ist

Im weiteren Verlauf dieses Artikels werden konkrete Ergebnisse beschrieben, die von der Problembehandlungsaufgabe zurückgegeben werden. In jedem Fall stellt die Aufgabe eine Analyse gefolgt von den empfohlenen Aktionen zum Beheben des Problems bereit.

Ermitteln von UPN-Konflikten, wenn das Objekt mit Microsoft Entra synchronisiert wird

Überprüfen Sie auf UPN-Probleme, die in den nächsten Abschnitten beschrieben werden.

Das UPN-Suffix wird nicht mit dem Microsoft Entra-Mandanten überprüft

Wenn der UPN oder das alternative Anmelde-ID-Suffix nicht mit dem Microsoft Entra-Mandanten überprüft werden, ersetzt Microsoft Entra ID die UPN-Suffixe durch den Standarddomänennamen onmicrosoft.com. Um dieses Problem zu beheben, fügen Sie das UPN-Suffix als überprüfte Domäne zu Ihrem Mandanten hinzu. Weitere Informationen finden Sie unter Verwalten von benutzerdefinierten Domänennamen in Ihrer Microsoft Entra-ID.

Screenshot zeigt ein Beispiel für einen Fehler durch ein nicht überprüftes UPN-Suffix in PowerShell.

Das DirSync-Feature SynchronizeUpnForManagedUsers ist für Microsoft Entra-Mandanten deaktiviert

Wenn das DirSync-Feature SynchronizeUpnForManagedUsers des Microsoft Entra-Mandanten deaktiviert ist, lässt Microsoft Entra ID keine Synchronisierungsaktualisierungen für den UPN oder die alternative Anmelde-ID für lizenzierte Benutzerkonten zu, welche die verwaltete Authentifizierung verwenden. Informationen zum Aktivieren der SynchronizeUpnForManagedUsers-Funktion finden Sie unter Funktionen des Microsoft Entra Connect Synchronisierungsdienstes.

Screenshot zeigt ein Beispiel für einen Fehler bei der UPN-Synchronisierung für verwaltete Benutzer in PowerShell.

Das Objekt wird aufgrund einer Domänenfilterung gefiltert

Suchen Sie nach den Problemen mit der Domänenfilterung, die in den nächsten Abschnitten beschrieben werden.

Die Domäne ist nicht für die Synchronisierung konfiguriert

Das Objekt ist außerhalb des Bereichs, da die Domäne nicht konfiguriert wurde. Im Beispiel in der folgenden Abbildung befindet sich das Objekt nicht im Synchronisierungsbereich, weil die Domäne, zu der es gehört, aus der Synchronisierung gefiltert wird.

Screenshot zeigt ein Beispiel für einen Fehler, der durch eine Domäne verursacht wird, die sich nicht im Synchronisierungsbereich befindet.

Die Domäne ist für die Synchronisierung konfiguriert, aber es fehlen die Ausführungsprofile oder Ausführungsschritte

Das Objekt befindet sich außerhalb des Bereichs, weil in der Domäne Ausführungsprofile oder Ausführungsschritte fehlen. Im Beispiel in der folgenden Abbildung befindet sich das Objekt nicht im Synchronisierungsbereich, weil die Domäne, zu der es gehört, über keine Ausführungsschritte für das Ausführungsprofil für den vollständigen Import verfügt.

Screenshot zeigt ein Beispiel für einen Fehler, der durch fehlende Ausführungsschritte verursacht wird.

Das Objekt wird aufgrund einer Organisationseinheitenfilterung gefiltert

Das Objekt befindet sich aufgrund der Filterkonfiguration nach Organisationseinheit nicht im Synchronisierungsbereich. Im Beispiel in der folgenden Abbildung gehört das Objekt zu OU=NoSync,DC=bvtadwbackdc,DC=com. Diese OE ist nicht im Synchronisierungsbereich enthalten.

Screenshot zeigt ein Beispiel für einen durch OE-Filterung verursachten Fehler in PowerShell.

Problem mit einem verknüpften Postfach

Ein verknüpftes Postfach sollte einem externen primären Konto zugeordnet sein, das sich in einer anderen vertrauenswürdigen Kontogesamtstruktur befindet. Wenn das primäre Konto nicht vorhanden ist, synchronisiert Microsoft Entra Connect das Benutzerkonto, das dem verknüpften Postfach in der Exchange-Gesamtstruktur entspricht, nicht mit dem Microsoft Entra-Mandanten.

Screenshot zeigt ein Beispiel für einen Fehler infolge eines verknüpften Postfachs in PowerShell.

Problem mit der dynamischen Verteilergruppe

Aufgrund verschiedener Unterschiede zwischen dem lokalen Windows Server AD und Microsoft Entra ID synchronisiert Microsoft Entra Connect dynamische Verteilergruppen nicht mit dem Microsoft Entra-Mandanten.

Screenshot zeigt ein Beispiel für einen Fehler mit der dynamischen Verteilergruppe in PowerShell.

HTML-Bericht

Zusätzlich zum Analysieren des Objekts generiert die Problembehandlungsaufgabe auch einen HTML-Bericht, der alle bekannten Informationen über das Objekt enthält. Der HTML-Bericht kann dem Supportteam bei Bedarf zur weiteren Problembehandlung zur Verfügung gestellt werden.

Screenshot zeigt ein Beispiel für einen HTML-Bericht in PowerShell.

Nächste Schritte

Erfahren Sie mehr über das Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.