Freigeben über

End-to-End-Problembehandlung für Microsoft Entra Connect-Objekte und -Attribute

  • Artikel

In diesem Artikel soll eine gängige Vorgehensweise für die Behandlung von Synchronisierungsproblemen in Microsoft Entra ID beschrieben werden. Diese Methode gilt für Situationen, in denen ein Objekt oder Attribut nicht mit Azure Active AD synchronisiert wird und keine Fehler im Synchronisierungsmodul, in den Anwendungsanzeigeprotokollen oder in den Microsoft Entra Protokollen anzeigt. Es ist leicht, sich in den Details zu verlieren, wenn kein offensichtlicher Fehler vorliegt. Mithilfe bewährter Methoden können Sie das Problem jedoch isolieren und Erkenntnisse für Microsoft-Support Techniker bereitstellen.

Wenn Sie diese Problembehandlungsmethode auf Ihre Umgebung anwenden, können Sie im Laufe der Zeit die folgenden Schritte ausführen:

  • Problembehandlung bei der Logik der Synchronisierungs-Engine von Ende zu Ende.
  • Beheben Sie Synchronisierungsprobleme effizienter.
  • Identifizieren Sie Probleme schneller, indem Sie den Schritt vorhersagen, in dem sie auftreten werden.
  • Identifizieren Sie den Ausgangspunkt für die Überprüfung von Daten.
  • Bestimmen Sie die optimale Auflösung.

Screenshot des Microsoft Entra Connect-Flussdiagramms.

Die hier aufgeführten Schritte beginnen auf lokaler Active Directory-Ebene und werden in Richtung Microsoft Entra ID. Diese Schritte sind die am häufigsten verwendete Synchronisierungsrichtung. Die gleichen Prinzipien gelten jedoch für die umgekehrte Richtung (z. B. für Attributrückschreiben).

Voraussetzungen

Um diesen Artikel besser zu verstehen, lesen Sie zunächst die folgenden erforderlichen Artikel, um ein besseres Verständnis der Suche nach einem Objekt in verschiedenen Quellen (AD, AD CS, MV usw.) zu erhalten und zu verstehen, wie die Connectors und die Herkunft eines Objekts überprüft werden.

Fehlerhafte Methoden zur Problembehandlung

Das DirSyncEnabled-Flag in Microsoft Entra ID steuert, ob der Mandant bereit ist, die Synchronisierung von Objekten aus dem lokalen AD zu akzeptieren. Wir haben gesehen, dass sich viele Kunden angewöhnen, DirSync für den Mandanten zu deaktivieren, während Probleme mit der Objekt- oder Attributsynchronisierung behandelt werden. Es ist einfach, die Verzeichnissynchronisierung zu deaktivieren, indem Sie das folgende PowerShell-Cmdlet ausführen:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum beschränkt sich der Support für diese Module auf Unterstützung bei der Migration zum Microsoft Graph PowerShell SDK und auf Sicherheitskorrekturen. Die veralteten Module werden noch bis zum 30. März 2025 zur Verfügung stehen.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie in den Häufig gestellten Fragen zur Migration. Hinweis: Bei den Versionen 1.0.x von MSOnline kann es nach dem 30. Juni 2024 zu Unterbrechungen kommen.

Dies kann jedoch katastrophal sein, da es einen komplexen und langwierigen Back-End-Vorgang auslöst, um SoA aus dem lokalen Active Directory in Microsoft Entra ID/Exchange Online für alle synchronisierten Objekte auf dem Mandanten zu übertragen. Dieser Vorgang ist erforderlich, um jedes Objekt von DirSyncEnabled in die reine Cloud zu konvertieren und alle Schatteneigenschaften zu sauber, die aus dem lokalen AD synchronisiert werden (z. B. ShadowUserPrincipalName und ShadowProxyAddresses). Je nach Größe des Mandanten kann dieser Vorgang mehr als 72 Stunden dauern. Außerdem kann nicht vorhergesagt werden, wann der Vorgang abgeschlossen wird. Verwenden Sie diese Methode niemals, um ein Synchronisierungsproblem zu beheben, da dies zusätzlichen Schaden verursacht und das Problem nicht behebt. Das erneute Aktivieren von DirSync wird blockiert, bis dieser Deaktivierungsvorgang abgeschlossen ist. Außerdem muss AADC nach der erneuten Aktivierung von DirSync erneut alle lokalen Objekte mit vorhandenen Microsoft Entra-Objekten abgleichen. Dieser Prozess kann störend sein.

Die einzigen Szenarien, in denen dieser Befehl zum Deaktivieren von DirSync unterstützt wird, sind die folgenden:

  • Sie setzen Ihren lokalen Synchronisierungsserver außer Betrieb und möchten Ihre Identitäten weiterhin vollständig aus der Cloud statt aus Hybrididentitäten verwalten.
  • Sie verfügen über einige synchronisierte Objekte im Mandanten, die Sie in Microsoft Entra ID als reine Cloud beibehalten und dauerhaft aus dem lokalen AD entfernen möchten.
  • Sie verwenden derzeit ein benutzerdefiniertes Attribut als SourceAnchor in AADC (z. B. employeeId) und installieren AADC neu, um ms-Ds-Consistency-Guid/ObjectGuid als neues SourceAnchor-Attribut zu verwenden (oder umgekehrt).
  • Sie verfügen über einige Szenarien, in denen strategien für die Migration von Postfächern und Mandanten mit Risiken verbunden sind.

In einigen Situationen müssen Sie die Synchronisierung möglicherweise vorübergehend beenden oder AADC-Synchronisierungszyklen manuell steuern. Beispielsweise müssen Sie die Synchronisierung beenden, um jeweils einen Synchronisierungsschritt ausführen zu können. Anstatt DirSync zu deaktivieren, können Sie jedoch nur den Synchronisierungsplaner beenden, indem Sie das folgende Cmdlet ausführen:

Set-ADSyncScheduler -SyncCycleEnabled $false

Wenn Sie bereit sind, starten Sie manuell einen Synchronisierungszyklus, indem Sie das folgende Cmdlet ausführen:

Start-ADSyncSyncCycle

Glossar

Akronym/Abkürzung Name/Beschreibung
AADC Microsoft Entra Connect
AADCA Microsoft Entra Connector-Konto
AADCS Microsoft Entra Connectorbereich
AADCS:AttributeA Attribut "A" in Microsoft Entra Connectorbereich
Acls Access Control Listen (auch als ADDS-Berechtigungen bezeichnet)
ADCA AD-Connectorkonto
ADCS Active Directory-Connectorbereich
ADCS:AttributeA Attribut "A" im Active Directory-Connectorbereich
ADDS oder AD Active Directory Domain Services
CS Connectorbereich
MV Metaverse
MSOL-Konto Automatisch generiertes AD Connector-Konto (MSOL_########)
MV:AttributeA Attribut "A" im Metaverse-Objekt
Soa Autoritätsquelle

Schritt 1: Synchronisierung zwischen ADDS und ADCS

Ziel für Schritt 1

Bestimmen Sie, ob das Objekt oder Attribut in ADCS vorhanden und konsistent ist. Wenn Sie das Objekt in ADCS finden können und alle Attribute die erwarteten Werte aufweisen, fahren Sie mit Schritt 2 fort.

Screenshot: A D Connector Space AD-Replikation.

Beschreibung für Schritt 1

Die Synchronisierung zwischen ADDS und ADCS erfolgt beim Importschritt und ist der Moment, in dem AADC aus dem Quellverzeichnis liest und Daten in der Datenbank speichert. Das heißt, wenn Daten im Connectorbereich bereitgestellt werden. Während eines Deltaimports aus AD fordert AADC alle neuen Änderungen an, die nach einem bestimmten Verzeichniswasserzeichen aufgetreten sind. Dieser Aufruf wird von AADC mithilfe des Verzeichnisdienste-DirSync-Steuerelements für den Active Directory-Replikationsdienst initiiert. Dieser Schritt stellt das letzte Wasserzeichen als letzten erfolgreichen AD-Import bereit und gibt AD den Point-in-Time-Verweis ab dem Zeitpunkt, an dem alle (Delta-)Änderungen abgerufen werden sollen. Ein vollständiger Import ist anders, da AADC alle Daten (im Synchronisierungsbereich) aus AD importiert und dann alle Objekte als veraltet markiert (und löscht), die sich noch in ADCS befinden, aber nicht aus AD importiert wurden. Alle Daten zwischen AD und AADC werden über LDAP übertragen und standardmäßig verschlüsselt.

Screenshot des Dialogfelds

Wenn die Verbindung mit AD erfolgreich hergestellt wurde, das Objekt oder Attribut aber nicht in ADCS vorhanden ist (vorausgesetzt, dass sich die Domäne oder das Objekt im Synchronisierungsbereich befindet), betrifft das Problem höchstwahrscheinlich ADDS-Berechtigungen. Die ADCA erfordert mindestens leseberechtigungen für das Objekt in AD, um Daten in ADCS importieren zu können. Standardmäßig verfügt das MSOL-Konto über explizite Lese-/Schreibberechtigungen für alle Benutzer-, Gruppen- und Computereigenschaften. Diese Situation kann jedoch weiterhin problematisch sein, wenn die folgenden Bedingungen zutreffen:

  • AADC verwendet ein benutzerdefiniertes ADCA, aber es wurden keine ausreichenden Berechtigungen in AD bereitgestellt.
  • Eine übergeordnete Organisationseinheit hat die Vererbung blockiert, was die Weitergabe von Berechtigungen aus dem Stamm der Domäne verhindert.
  • Das Objekt oder Attribut selbst verfügt über eine blockierte Vererbung, wodurch die Weitergabe von Berechtigungen verhindert wird.
  • Das Objekt oder Attribut verfügt über eine explizite Verweigern-Berechtigung, die verhindert, dass ADCA es liest.

Problembehandlung bei Active Directory

Konnektivität mit AD

Im Synchronisierungs-Service Manager zeigt der Schritt "Aus AD importieren", welcher Domänencontroller unter Verbindungsstatus kontaktiert wird. Hier wird höchstwahrscheinlich ein Fehler angezeigt, wenn ein Konnektivitätsproblem vorliegt, das sich auf AD auswirkt.

Screenshot: Bereich

Wenn Sie weitere Problembehandlungen bei der Konnektivität für AD durchführen müssen, insbesondere wenn keine Fehler in Microsoft Entra Connect-Server aufgetreten sind oder sie sich noch in der Installation des Produkts befinden, beginnen Sie mit der Verwendung von ADConnectivityTool.

Verbindungsprobleme mit ADDS haben die folgenden Ursachen:

  • Ungültige AD-Anmeldeinformationen. Beispielsweise ist die ADCA abgelaufen, oder das Kennwort wurde geändert.
  • Ein Fehler bei der Suche mit Fehlern, der auftritt, wenn dirSync Control nicht mit dem AD-Replikationsdienst kommuniziert, in der Regel aufgrund einer hohen Netzwerkpaketfragmentierung.
  • Ein "no-start-ma"-Fehler, der auftritt, wenn Probleme mit der Namensauflösung (DNS) in AD vorliegen.
  • Andere Probleme, die durch Namensauflösungsprobleme, Netzwerkroutingprobleme, blockierte Netzwerkports, hohe Netzwerkpaketfragmentierung, keine beschreibbaren DCs usw. verursacht werden können. In solchen Fällen müssen Sie wahrscheinlich die Verzeichnisdienste- oder Netzwerksupportteams einbeziehen, um die Problembehandlung zu unterstützen.

Zusammenfassung der Problembehandlung

  • Ermitteln Sie, welcher Domänencontroller verwendet wird.
  • Verwenden Sie bevorzugte Domänencontroller, um denselben Domänencontroller als Ziel zu verwenden.
  • Identifizieren Sie die ADCA ordnungsgemäß.
  • Verwenden Sie das ADConnectivityTool, um das Problem zu identifizieren.
  • Verwenden Sie das LDP-Tool, um zu versuchen, eine Bindung an den Domänencontroller mit adca durchzuführen.
  • Wenden Sie sich an verzeichnisdienste oder ein Netzwerksupportteam, um Ihnen bei der Problembehandlung zu helfen.

Ausführen der Synchronisierungsproblembehandlung

Führen Sie nach der Problembehandlung für die AD-Konnektivität das Tool zur Problembehandlung für die Objektsynchronisierung aus, da dies allein die offensichtlichsten Gründe für die Nichtsynchronisierung eines Objekts oder Attributs erkennen kann.

Screenshot des Bildschirms

AD-Berechtigungen

Ein Mangel an AD-Berechtigungen kann sich auf beide Richtungen der Synchronisierung auswirken:

  • Wenn Sie aus ADDS in ADCS importieren, kann ein Mangel an Berechtigungen dazu führen, dass AADC Objekte oder Attribute überspringt, sodass AADC keine ADDS-Updates im Importstream abrufen kann. Dieser Fehler tritt auf, weil adca nicht über ausreichende Berechtigungen zum Lesen des Objekts verfügt.
  • Wenn Sie aus ADCS nach ADDS exportieren, generiert ein Mangel an Berechtigungen einen Exportfehler vom Typ "Berechtigungsproblem".

Öffnen Sie zum Überprüfen der Berechtigungen das Fenster Eigenschaften eines AD-Objekts, wählen Sie Sicherheit>Erweitert aus, und überprüfen Sie dann die Zulassen/Verweigern-ACLs des Objekts, indem Sie die Schaltfläche Vererbung deaktivieren auswählen (wenn die Vererbung aktiviert ist). Sie können den Spalteninhalt nach Typ sortieren, um alle "Verweigern"-Berechtigungen zu finden. AD-Berechtigungen können stark variieren. Standardmäßig wird jedoch möglicherweise nur eine "Ablehnungs-ACL" für "Exchange Trusted Subsystem" angezeigt. Die meisten Berechtigungen werden als Zulassen markiert.

Die folgenden Standardberechtigungen sind am relevantesten:

  • Authentifizierte Benutzer

    Screenshot: Authentifizierte Benutzer

  • Jeder

    Screenshot: Option

  • Benutzerdefiniertes ADCA- oder MSOL-Konto

    Screenshot: benutzerdefiniertes ADCA- oder MSOL-Konto

  • Vor Windows 2000 kompatibler Zugriff

    Screenshot: Pre-Windows 2000-kompatibler Zugriff

  • SELBST

    Screenshot, der zeigt, dass die SELF-Berechtigung zulässig ist.

Die beste Möglichkeit zur Problembehandlung von Berechtigungen ist die Verwendung des Features "Effektiver Zugriff" in der AD-Konsole "Benutzer und Computer ". Dieses Feature überprüft die effektiven Berechtigungen für ein bestimmtes Konto (ADCA) für das Zielobjekt oder Attribut, das Bzw. das Sie behandeln möchten.

Screenshot: Informationen auf der Registerkarte

Wichtig

Die Problembehandlung für AD-Berechtigungen kann schwierig sein, da eine Änderung der ACLs nicht sofort wirksam wird. Denken Sie immer daran, dass solche Änderungen der AD-Replikation unterliegen.

Zum Beispiel:

  • Stellen Sie sicher, dass Sie die erforderlichen Änderungen direkt am nächstgelegenen Domänencontroller vornehmen (siehe Abschnitt "Konnektivität mit AD"):
  • Warten Sie, bis ADDS-Replikationen ausgeführt werden.
  • Starten Sie nach Möglichkeit den ADSync-Dienst neu, um den Cache zu löschen.

Zusammenfassung der Problembehandlung

  • Ermitteln Sie, welcher Domänencontroller verwendet wird.
  • Verwenden Sie bevorzugte Domänencontroller, um denselben Domänencontroller als Ziel zu verwenden.
  • Identifizieren Sie die ADCA ordnungsgemäß.
  • Verwenden Sie das Tool Konfigurieren von BERECHTIGUNGEN für AD DS-Connectorkonten .
  • Verwenden Sie das Feature "Effektiver Zugriff" in AD-Benutzer und -Computer.
  • Verwenden Sie das LDP-Tool, um eine Bindung an den Domänencontroller mit dem ADCA durchzuführen, und versuchen Sie, das fehlerhafte Objekt oder Attribut zu lesen.
  • Fügen Sie die ADCA vorübergehend den Unternehmens- oder Domänenadministratoren hinzu, und starten Sie den ADSync-Dienst neu.

Wichtig: Verwenden Sie dies nicht als Lösung.

  • Nachdem Sie das Berechtigungsproblem überprüft haben, entfernen Sie die ADCA aus allen Gruppen mit hohen Berechtigungen, und stellen Sie die erforderlichen AD-Berechtigungen direkt für adca bereit.
  • Engage Verzeichnisdienste oder ein Netzwerksupportteam, um Ihnen bei der Problembehandlung zu helfen.

AD-Replikationen

Dieses Problem wirkt sich weniger wahrscheinlich auf Microsoft Entra Connect aus, da es größere Probleme verursacht. Wenn Microsoft Entra Connect jedoch Daten mithilfe einer verzögerten Replikation von einem Domänencontroller importiert, importiert er nicht die neuesten Informationen aus AD. Dies führt zu Synchronisierungsproblemen, bei denen ein Objekt oder Attribut, das kürzlich in AD erstellt oder geändert wurde, nicht mit Microsoft Entra ID synchronisiert wird, da es nicht auf den Domänencontroller repliziert wurde, der nicht auf den Domänencontroller repliziert wurde. Microsoft Entra Connect kontaktiert wird. Um zu überprüfen, ob dies das Problem ist, überprüfen Sie den Domänencontroller, den AADC für den Import verwendet (siehe "Konnektivität mit AD"), und verwenden Sie die AD-Konsole "Benutzer und Computer ", um eine direkte Verbindung mit diesem Server herzustellen (siehe Ändern des Domänencontrollers in der nächsten Abbildung). Überprüfen Sie dann, ob die Daten auf diesem Server den neuesten Daten entsprechen und ob sie mit den entsprechenden ADCS-Daten konsistent sind. In dieser Phase generiert AADC eine höhere Last auf dem Domänencontroller und der Netzwerkebene.

Screenshot der Option

Ein weiterer Ansatz besteht darin, das RepAdmin-Tool zu verwenden, um die Replikationsmetadaten des Objekts auf allen Domänencontrollern zu überprüfen, den Wert von allen Domänencontrollern abzurufen und die Replikation status zwischen Domänencontrollern zu überprüfen:

  • Attributwert von allen Domänencontrollern:

    repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

    Screenshot des RepAdmin-Tools mit showattr.

  • Objektmetadaten von allen DCs:

    repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

    Screenshot des RepAdmin-Tools mit dem Befehl showobjmeta.

  • AD-Replikationszusammenfassung

    repadmin /replsummary

    Screenshot des RepAdmin-Tools mit dem Befehl replsummary

Zusammenfassung der Problembehandlung

  • Ermitteln Sie, welcher Domänencontroller verwendet wird.
  • Vergleichen von Daten zwischen Domänencontrollern.
  • Analysieren Sie die RepAdmin-Ergebnisse.
  • Wenden Sie sich an verzeichnisdienste oder das Netzwerksupportteam, um das Problem zu beheben.

Änderungen an Domänen und Organisationseinheiten sowie Objekttypen oder Attribute, die in ADDS Connector gefiltert oder ausgeschlossen wurden

  • Das Ändern der Domänen- oder ORGANISATIONS-Filterung erfordert einen vollständigen Import.

    Beachten Sie, dass alle Änderungen an der Domänen- oder ORGANISATIONS-Filterung erst nach dem Ausführen eines vollständigen Importschritts wirksam werden, selbst wenn die Domänen- oder Organisationseinheitsfilterung bestätigt wird.

  • Attributfilterung mit Microsoft Entra App und Attributfilterung

    Ein leicht zu übersehenes Szenario für Attribute, die nicht synchronisiert werden, ist, wenn Microsoft Entra Connect mit der Microsoft Entra App- und Attributfilterungsfunktion konfiguriert ist. Um zu überprüfen, ob das Feature aktiviert ist und für welche Attribute, erstellen Sie einen allgemeinen Diagnosebericht.

  • In der ADDS-Connectorkonfiguration ausgeschlossener Objekttyp

    Diese Situation tritt bei Benutzern und Gruppen nicht so häufig auf. Wenn jedoch alle Objekte eines bestimmten Objekttyps in ADCS fehlen, kann es hilfreich sein, zu untersuchen, welche Objekttypen in der KONFIGURATION des ADDS-Connectors aktiviert sind.

    Sie können das Cmdlet Get-ADSyncConnector verwenden, um die Objekttypen abzurufen, die für den Connector aktiviert sind, wie in der nächsten Abbildung gezeigt. Im Folgenden sind die Objekttypen aufgeführt, die standardmäßig aktiviert werden sollten:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

    Im Folgenden sind die Objekttypen aufgeführt, die standardmäßig aktiviert werden sollten:

    Screenshot: Get-ADSyncConnector Objekttypen

    Hinweis

    Der PublicFolder-Objekttyp ist nur vorhanden, wenn das Feature Für E-Mail aktivierter öffentlicher Ordner aktiviert ist.

  • In ADCS ausgeschlossenes Attribut

    Wenn das Attribut für alle Objekte fehlt, überprüfen Sie auf die gleiche Weise, ob das Attribut im AD-Connector ausgewählt ist.

    Um in ADDS Connector nach aktivierten Attributen zu suchen, verwenden Sie den Synchronisierungs-Manager, wie in der nächsten Abbildung gezeigt, oder führen Sie das folgende PowerShell-Cmdlet aus:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

    Screenshot des AD-Connectorsynchronisierungs-Managers.

    Hinweis

    Das Einschließen oder Ausschließen von Objekttypen oder Attributen in der Synchronisierungs-Service Manager wird nicht unterstützt.

Zusammenfassung der Problembehandlung

Ressourcen für Schritt 1

Hauptressourcen:

  • Get-ADSyncConnectorAccount– Identifizieren des richtigen Connectorkontos, das von AADC verwendet wird

  • ADConnectivityTool

  • Identifizieren von Konnektivitätsproblemen mit ADDS

  • Trace-ADSyncToolsADImport (ADSyncTools): Ablaufverfolgungsdaten, die aus ADDS importiert werden

  • LDIFDE: Sichern des Objekts aus ADDS zum Vergleichen von Daten zwischen ADDS und ADCS

  • LDP: Testen der AD Bind-Konnektivität und der Berechtigungen zum Lesen von Objekten im Sicherheitskontext von ADCA

  • DSACLS – Vergleichen und Auswerten von ADDS-Berechtigungen

  • Set-ADSync-Featureberechtigungen<>– Anwenden von AADC-Standardberechtigungen in ADDS

  • RepAdmin: Überprüfen von AD-Objektmetadaten und AD-Replikations-status

Schritt 2: Synchronisierung zwischen ADCS und MV

Screenshot des Flussdiagramms

Ziel für Schritt 2

In diesem Schritt wird überprüft, ob das Objekt oder Attribut von CS zu MV fließt (d. h., ob das Objekt oder Attribut in den MV projiziert wird). Stellen Sie in dieser Phase sicher, dass das Objekt vorhanden ist oder dass das Attribut in ADCS richtig ist (in Schritt 1 behandelt), und beginnen Sie dann mit der Betrachtung der Synchronisierungsregeln und der Herkunft des Objekts.

Beschreibung für Schritt 2

Die Synchronisierung zwischen ADCS und MV erfolgt im Schritt delta/full-Synchronisierung. An diesem Punkt liest AADC die bereitgestellten Daten in ADCS, verarbeitet alle Synchronisierungsregeln und aktualisiert das entsprechende MV-Objekt. Dieses MV-Objekt enthält CS-Links (oder Connectors), die auf die CS-Objekte verweisen, die zu seinen Eigenschaften und zur Herkunft der Synchronisierungsregeln beitragen, die im Synchronisierungsschritt angewendet wurden. Während dieser Phase generiert AADC mehr Last auf den SQL Server (oder LocalDB) und Netzwerkebenen.

Problembehandlung bei ADCS > MV für Objekte

  • Überprüfen der Regeln für die eingehende Synchronisierung für die Bereitstellung

    Ein Objekt, das in ADCS vorhanden ist, aber in MV fehlt, gibt an, dass es keine Bereichsfilter für die Bereitstellungssynchronisierungsregeln gab, die auf dieses Objekt angewendet wurden. Daher wurde das Objekt nicht in MV projiziert. Dieses Problem kann auftreten, wenn deaktivierte oder angepasste Synchronisierungsregeln vorhanden sind.

    Führen Sie den folgenden Befehl aus, um eine Liste der Synchronisierungsregeln für die eingehende Bereitstellung abzurufen:

    Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Screenshot: Get-ADSyncRule Befehl verwendet wird, um eingehende Bereitstellungsregeln zu überprüfen.

  • Überprüfen der Herkunft des ADCS-Objekts

    Sie können das fehlerhafte Objekt aus dem ADCS abrufen, indem Sie nach "DN oder Anker" in "Search Connector space" suchen. Auf der Registerkarte Herkunft werden Sie wahrscheinlich sehen, dass das Objekt ein Disconnector (keine Links zu MV) ist und die Herkunft leer ist. Überprüfen Sie außerdem, ob das Objekt Fehler aufweist, falls eine Synchronisierungsfehlerregisterkarte vorhanden ist.

    Screenshot der Eigenschaften des Connectorbereichsobjekts in AD C S.

  • Ausführen einer Vorschau für das ADCS-Objekt

    Wählen Sie Vorschau>vorschau> generierenCommitvorschau aus, um zu sehen, ob das Objekt auf MV projiziert wird. Wenn dies der Fall ist, sollte ein vollständiger Synchronisierungszyklus das Problem für andere Objekte in derselben Situation beheben.

    Screenshot des Vorschaubildschirms des AD C S-Objekts.

    Screenshot des Bildschirms

  • Exportieren des Objekts in XML

    Für eine detailliertere Analyse (oder offline-Analyse) können Sie alle Datenbankdaten sammeln, die mit dem Objekt in Zusammenhang stehen, indem Sie das Cmdlet Export-ADSyncObject verwenden. Diese exportierten Informationen helfen zu bestimmen, welche Regel das Objekt herausfiltert. Mit anderen Worten, welcher Bereichsfilter für eingehenden Datenverkehr in den Bereitstellungssynchronisierungsregeln verhindert, dass das Objekt in die MV projiziert wird.

    Hier sind einige Beispiele für die Export-ADsyncObject-Syntax :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Zusammenfassung der Problembehandlung (Objekte)

  • Überprüfen Sie die Bereichsfilter für die regeln für die eingehende Bereitstellung von "In From AD".
  • Create eine Vorschau des Objekts.
  • Führen Sie einen vollständigen Synchronisierungszyklus aus.
  • Exportieren Sie die Objektdaten mithilfe des Skripts Export-ADSyncObject .

Problembehandlung bei ADCS > MV für Attribute

  1. Identifizieren der Eingehenden Synchronisierungsregeln und Transformationsregeln des Attributs

    Jedes Attribut verfügt über einen eigenen Satz von Transformationsregeln, die für die Weiterleitung des Werts von ADCS an MV verantwortlich sind. Der erste Schritt besteht darin, zu ermitteln, welche Synchronisierungsregeln die Transformationsregel für das Attribut enthalten, das Sie behandeln.

    Die beste Möglichkeit, um zu ermitteln, welche Synchronisierungsregeln über eine Transformationsregel für ein bestimmtes Attribut verfügen, besteht darin, die integrierten Filterfunktionen der Synchronisierungsregeln Editor zu verwenden.

    Screenshot: Synchronisierungsregeln Editor in AD C S.

  2. Überprüfen der Herkunft des ADCS-Objekts

    Jeder Connector (oder jede Verbindung) zwischen dem CS und mv weist eine Herkunft auf, die Informationen zu den Synchronisierungsregeln enthält, die auf dieses CS-Objekt angewendet werden. Im vorherigen Schritt erfahren Sie, welche Synchronisierungsregeln für eingehenden Datenverkehr (ob Bereitstellung oder Verknüpfungsregeln) in der Herkunft des Objekts vorhanden sein müssen, um den richtigen Wert von ADCS an MV zu übertragen. Indem Sie die Herkunft des ADCS-Objekts untersuchen, können Sie feststellen, ob diese Synchronisierungsregel auf das Objekt angewendet wurde.

    Screenshot des Bildschirms

    Wenn mehrere Connectors (mehrere AD-Gesamtstrukturen) mit dem MV-Objekt verknüpft sind, müssen Sie möglicherweise die Metaverse-Objekteigenschaften untersuchen, um zu ermitteln, welcher Connector den Attributwert zu dem Attribut beiträgt, das Sie behandeln möchten. Nachdem Sie den Connector identifiziert haben, untersuchen Sie die Herkunft dieses ADCS-Objekts.

    Screenshot des Bildschirms

  3. Überprüfen der Bereichsfilter für die Synchronisierungsregel für eingehenden Datenverkehr

    Wenn eine Synchronisierungsregel aktiviert ist, aber nicht in der Herkunft des Objekts vorhanden ist, sollte das Objekt durch den Bereichsfilter der Synchronisierungsregel herausgefiltert werden. Indem Sie die Bereichsfilter der Synchronisierungsregel, die Daten im ADCS-Objekt und die Aktivierung oder Deaktivierung der Synchronisierungsregel überprüfen, sollten Sie feststellen können, warum diese Synchronisierungsregel nicht auf das ADCS-Objekt angewendet wurde.

    Hier sehen Sie ein Beispiel für einen häufigen problematischen Bereichsfilter aus einer Synchronisierungsregel, die für die Synchronisierung von Exchange-Eigenschaften zuständig ist. Wenn das Objekt einen NULL-Wert für mailNickName aufweist, wird keines der Exchange-Attribute in den Transformationsregeln an Microsoft Entra ID fließen.

    Screenshot des Bildschirms

  4. Ausführen einer Vorschau für ein ADCS-Objekt

    Wenn Sie nicht ermitteln können, warum die Synchronisierungsregel in der Herkunft des ADCS-Objekts fehlt, führen Sie eine Vorschau aus, indem Sie Vorschau generieren und Vorschau committen , um eine vollständige Synchronisierung des Objekts zu erzielen. Wenn das Attribut im MV aktualisiert wird und über eine Vorschau verfügt, sollte ein vollständiger Synchronisierungszyklus das Problem für andere Objekte in derselben Situation beheben.

  5. Exportieren des Objekts in XML

    Für eine detailliertere Analyse oder Offlineanalyse können Sie alle Datenbankdaten sammeln, die sich auf das Objekt beziehen, indem Sie das Export-ADSyncObject-Skript verwenden. Anhand dieser exportierten Informationen können Sie ermitteln, welche Synchronisierungsregel oder Transformationsregel für das Objekt fehlt, das verhindert, dass das Attribut in den MV projiziert wird (siehe die Export-ADSyncObject-Beispiele weiter oben in diesem Artikel).

Zusammenfassung der Problembehandlung (für Attribute)

  • Identifizieren Sie die richtigen Synchronisierungsregeln und Transformationsregeln, die für das Fließen des Attributs an die MV verantwortlich sind.
  • Überprüfen Sie die Herkunft des Objekts.
  • Überprüfen Sie, ob Synchronisierungsregeln aktiviert wurden.
  • Überprüfen Sie die Bereichsfilter der Synchronisierungsregeln, die in der Herkunft des Objekts fehlen.

Erweiterte Problembehandlung für die Synchronisierungsregelpipeline

Wenn Sie die ADSync-Engine (auch miiServer genannt) in Bezug auf die Verarbeitung von Synchronisierungsregeln weiter debuggen müssen, können Sie die ETW-Ablaufverfolgung für die .config Datei (C:\Programme\Microsoft Azure AD Sync\Bin\miiserver.exe.config) aktivieren. Diese Methode generiert eine ausführliche Textdatei, die die gesamte Verarbeitung von Synchronisierungsregeln anzeigt. Es kann jedoch schwierig sein, alle Informationen zu interpretieren. Verwenden Sie diese Methode als letztes Mittel oder , wenn sie durch Microsoft-Support angegeben wird.

Ressourcen für Schritt 2

  • Benutzeroberfläche für Synchronisierung Service Manager
  • Editor für Synchronisierungsregeln
  • Export-ADsyncObject-Skript
  • Start-ADSyncSyncCycle -PolicyType Initial
  • ETW-Ablaufverfolgung SyncRulesPipeline (miiserver.exe.config)

Schritt 3: Synchronisierung zwischen MV und AADCS

Screenshot des Flussdiagramms

Ziel für Schritt 3

In diesem Schritt wird überprüft, ob das Objekt oder Attribut von MV zu AADCS fließt. Stellen Sie an diesem Punkt sicher, dass das Objekt vorhanden ist oder dass das Attribut in ADCS und MV korrekt ist (in Den Schritten 1 und 2 behandelt). Untersuchen Sie dann die Synchronisierungsregeln und die Herkunft des Objekts. Dieser Schritt ähnelt Schritt 2, in dem die eingehende Richtung von ADCS zu MV untersucht wurde. In dieser Phase konzentrieren wir uns jedoch auf die Regeln für die ausgehende Synchronisierung und das Attribut, die von MV zu AADCS fließen.

Beschreibung für Schritt 3

Die Synchronisierung zwischen MV und AADCS erfolgt im Schritt delta/full-Synchronisierung, wenn AADC die Daten in MV liest, alle Synchronisierungsregeln verarbeitet und das entsprechende AADCS-Objekt aktualisiert. Dieses MV-Objekt enthält CS-Links (auch als Connectors bezeichnet), die auf die CS-Objekte verweisen, die zu seinen Eigenschaften und zur Herkunft der Synchronisierungsregeln beitragen, die im Synchronisierungsschritt angewendet wurden. An diesem Punkt generiert AADC mehr Last für SQL Server (oder localDB) und die Netzwerkebene.

Problembehandlung bei MV zu AADCS für Objekte

  1. Überprüfen der Regeln für die ausgehende Synchronisierung für die Bereitstellung

    Ein Objekt, das in MV vorhanden ist, aber in AADCS fehlt, gibt an, dass es keine Bereichsfilter für die Bereitstellungssynchronisierungsregeln gab, die auf dieses Objekt angewendet wurden. Sehen Sie sich beispielsweise die Synchronisierungsregeln "Out to Microsoft Entra ID" (Out to Microsoft Entra ID) an, die in der nächsten Abbildung dargestellt sind. Daher wurde das Objekt nicht in AADCS bereitgestellt. Dieser Fehler kann auftreten, wenn deaktivierte oder angepasste Synchronisierungsregeln vorhanden sind.

    Führen Sie den folgenden Befehl aus, um eine Liste der Synchronisierungsregeln für die eingehende Bereitstellung abzurufen:

    Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Screenshot der Get-ADSyncRule, die zum Überprüfen von Regeln für die ausgehende Synchronisierung verwendet werden.

  2. Überprüfen der Herkunft des ADCS-Objekts

    Um das fehlerhafte Objekt aus dem MV abzurufen, verwenden Sie eine Metaverse-Search, und untersuchen Sie dann die Registerkarte Connectors. Auf dieser Registerkarte können Sie bestimmen, ob das MV-Objekt mit einem AADCS-Objekt verknüpft ist. Überprüfen Sie außerdem, ob das Objekt Fehler aufweist, falls eine Synchronisierungsfehlerregisterkarte vorhanden ist.

    Screenshot des Bildschirms

    Wenn kein AADCS-Connector vorhanden ist, wird das Objekt höchstwahrscheinlich auf cloudFiltered=True festgelegt. Sie können überprüfen, ob das Objekt cloudgefiltert ist, indem Sie die MV-Attribute untersuchen, für die die Synchronisierungsregel mit dem cloudFiltered-Wert beiträgt .

  3. Ausführen einer Vorschau auf einem AADCS-Objekt

    Wählen SieVorschauvorschau>> generierenVorschau committen aus, um zu bestimmen, ob das Objekt eine Verbindung mit AADCS herstellt. Wenn dies der Fall ist, sollte ein vollständiger Synchronisierungszyklus das Problem für andere Objekte in derselben Situation beheben.

  4. Exportieren des Objekts in XML

    Für eine detailliertere Analyse oder Offlineanalyse können Sie alle Datenbankdaten sammeln, die sich auf das Objekt beziehen, indem Sie das Export-ADSyncObject-Skript verwenden. Diese exportierten Informationen können zusammen mit der Konfiguration der (ausgehenden) Synchronisierungsregeln bestimmen, welche Regel das Objekt herausfiltert, und können bestimmen, welcher Bereichsfilter für ausgehenden Datenverkehr in den Bereitstellungssynchronisierungsregeln verhindert, dass das Objekt eine Verbindung mit dem AADCS herstellt.

    Hier sind einige Beispiele für die Export-ADsyncObject-Syntax :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
    • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Zusammenfassung der Problembehandlung für Objekte

  • Überprüfen Sie die Bereichsfilter für die Ausgehenden Bereitstellungsregeln "Out to Microsoft Entra ID".
  • Create eine Vorschau des Objekts.
  • Führen Sie einen vollständigen Synchronisierungszyklus aus.
  • Exportieren Sie die Objektdaten mithilfe des Skripts Export-ADSyncObject .

Problembehandlung bei MV zu AADCS für Attribute

  1. Identifizieren der Ausgangssynchronisierungsregeln und Transformationsregeln des Attributs

    Jedes Attribut verfügt über einen eigenen Satz von Transformationsregeln, die dafür verantwortlich sind, den Wert von MV an AADCS zu übertragen. Ermitteln Sie zunächst, welche Synchronisierungsregeln die Transformationsregel für das Attribut enthalten, das Sie behandeln möchten.

    Die beste Möglichkeit, um zu ermitteln, welche Synchronisierungsregeln über eine Transformationsregel für ein bestimmtes Attribut verfügen, besteht darin, die integrierten Filterfunktionen des Editor Synchronisierungsregeln zu verwenden.

    Screenshot der Editor

  2. Überprüfen der Herkunft des ADCS-Objekts

    Jeder Connector (oder jede Verbindung) zwischen dem CS und mv weist eine Herkunft auf, die Informationen zu den Synchronisierungsregeln enthält, die auf dieses CS-Objekt angewendet werden. Im vorherigen Schritt erfahren Sie, welche Synchronisierungsregeln für ausgehenden Datenverkehr (bereitstellungs- oder verknüpfungsregeln) in der Herkunft des Objekts vorhanden sein müssen, um den richtigen Wert von MV an AADCS zu übertragen. Indem Sie die Herkunft des AADCS-Objekts untersuchen, können Sie feststellen, ob diese Synchronisierungsregel auf das Objekt angewendet wurde.

    Screenshot: Details der Registerkarte

  3. Überprüfen sie die Bereichsfilter für die Ausgangssynchronisierungsregel.

    Wenn eine Synchronisierungsregel aktiviert ist, aber nicht in der Herkunft des Objekts vorhanden ist, sollte sie durch den Bereichsfilter der Synchronisierungsregel herausgefiltert werden. Durch Überprüfen des Vorhandenseins der Bereichsfilter der Synchronisierungsregel und der Daten im MV-Objekt und ob die Synchronisierungsregel aktiviert oder deaktiviert ist, sollten Sie ermitteln können, warum diese Synchronisierungsregel nicht auf das AADCS-Objekt angewendet wurde.

  4. Ausführen einer Vorschau für ein AADCS-Objekt

    Wenn Sie feststellen, warum die Synchronisierungsregel in der Herkunft des ADCS-Objekts fehlt, führen Sie eine Vorschau aus, die Vorschauversion generieren und Commitvorschau für eine vollständige Synchronisierung des Objekts verwendet. Wenn das Attribut im MV durch eine Vorschau aktualisiert wird, sollte ein vollständiger Synchronisierungszyklus das Problem für andere Objekte in derselben Situation beheben.

  5. Exportieren des Objekts in XML

    Für eine detailliertere Analyse oder Offlineanalyse können Sie mithilfe des Skripts "Export-ADSyncObject" alle Datenbankdaten sammeln, die sich auf das Objekt beziehen. Diese exportierten Informationen können Ihnen zusammen mit der Konfiguration der (ausgehenden) Synchronisierungsregeln helfen, zu bestimmen, welche Synchronisierungsregel oder Transformationsregel in dem Objekt fehlt, das verhindert, dass das Attribut an AADCS fließt (siehe "Export-ADSyncObject"-Beispiele weiter oben).

Zusammenfassung der Problembehandlung für Attribute

  • Identifizieren Sie die richtigen Synchronisierungsregeln und Transformationsregeln, die dafür verantwortlich sind, das Attribut an AADCS zu übertragen.
  • Überprüfen Sie die Herkunft des Objekts.
  • Überprüfen Sie, ob die Synchronisierungsregeln aktiviert sind.
  • Überprüfen Sie die Bereichsfilter der Synchronisierungsregeln, die in der Herkunft des Objekts fehlen.

Problembehandlung bei der Synchronisierungsregelpipeline

Wenn Sie die ADSync-Engine (auch miiServer genannt) in Bezug auf die Verarbeitung von Synchronisierungsregeln weiter debuggen müssen, können Sie die ETW-Ablaufverfolgung für die .config Datei (C:\Programme\Microsoft Azure AD Sync\Bin\miiserver.exe.config) aktivieren. Diese Methode generiert eine ausführliche Textdatei, die die gesamte Verarbeitung von Synchronisierungsregeln anzeigt. Es kann jedoch schwierig sein, alle Informationen zu interpretieren. Verwenden Sie diese Methode nur als letztes Mittel oder , wenn sie durch Microsoft-Support angegeben wird.

Ressourcen

  • Benutzeroberfläche für Synchronisierung Service Manager
  • Editor für Synchronisierungsregeln
  • Export-ADsyncObject-Skript
  • Start-ADSyncSyncCycle -PolicyType Initial
  • ETW-Ablaufverfolgung SyncRulesPipeline (miiserver.exe.config)

Schritt 4: Synchronisierung zwischen AADCS und AzureAD

Screenshot des Flussdiagramms

Ziel für Schritt 4

In dieser Phase wird das AADCS-Objekt mit dem entsprechenden Objekt verglichen, das in Microsoft Entra ID bereitgestellt wird.

Beschreibung für Schritt 4

Mehrere Komponenten und Prozesse, die am Importieren und Exportieren von Daten in und aus Microsoft Entra ID beteiligt sind, können die folgenden Probleme verursachen:

  • Konnektivität mit dem Internet
  • Interne Firewalls und ISP-Konnektivität (z. B. blockierter Netzwerkdatenverkehr)
  • Das Microsoft Entra-Gateway vor dem DirSync-Webdienst (auch als AdminWebService-Endpunkt bezeichnet)
  • Die DirSync-Webdienst-API
  • Der Microsoft Entra Core-Verzeichnisdienst

Glücklicherweise generieren die Probleme, die diese Komponenten betreffen, in der Regel einen Fehler in Ereignisprotokollen, der von Microsoft-Support nachverfolgt werden kann. Daher liegen diese Probleme außerhalb des Rahmens für diesen Artikel. Dennoch gibt es noch einige "stille" Probleme, die untersucht werden können.

Problembehandlung bei AADCS

  • Mehrere aktive AADC-Server, die in Microsoft Entra ID exportiert werden

    In einem gängigen Szenario, in dem Objekte in Microsoft Entra ID Attributwerte hin und her kippen, gibt es mehr als einen aktiven Microsoft Entra Connect-Server, und einer dieser Server verliert den Kontakt mit dem lokalen AD, ist aber weiterhin mit dem Internet verbunden und kann Daten in Microsoft Entra ID exportieren. Jedes Mal, wenn dieser "veraltete" Server eine Änderung von Microsoft Entra ID für ein synchronisiertes Objekt importiert, das vom anderen aktiven Server erstellt wurde, setzt die Synchronisierungs-Engine diese Änderung daher basierend auf den veralteten AD-Daten im ADCS zurück. Ein typisches Symptom in diesem Szenario ist, dass Sie eine Änderung in AD vornehmen, die mit Microsoft Entra ID synchronisiert wird, die Änderung jedoch einige Minuten später (bis zu 30 Minuten) auf den ursprünglichen Wert zurückgesetzt wird. Um dieses Problem schnell zu beheben, kehren Sie zu allen alten Servern oder virtuellen Computern zurück, die außer Betrieb genommen wurden, und überprüfen Sie, ob der ADSync-Dienst noch ausgeführt wird.

  • Mobiles Attribut mit DirSyncOverrides

    Wenn die Admin msOnline oder das AzureAD PowerShell-Modul verwendet oder wenn der Benutzer zum Office-Portal wechselt und das Mobile-Attribut aktualisiert, wird die aktualisierte Telefonnummer in AzureAD überschrieben, obwohl das Objekt aus dem lokalen AD synchronisiert wird (auch als DirSyncEnabled bezeichnet).

    Zusammen mit diesem Update legt Microsoft Entra ID auch einen DirSyncOverrides für das -Objekt fest, um zu kennzeichnen, dass dieser Benutzer die Mobiltelefonnummer in Microsoft Entra ID "überschrieben" hat. Ab diesem Zeitpunkt werden alle Aktualisierungen des mobilen Attributs, die aus der lokalen Umgebung stammen, ignoriert, da dieses Attribut nicht mehr vom lokalen AD verwaltet wird.

    Weitere Informationen zum BypassDirSyncOverrides-Feature und zum Wiederherstellen der Synchronisierung von Mobile- und anderen Mobile-Attributen von Microsoft Entra ID zu lokales Active Directory finden Sie unter Verwenden des BypassDirSyncOverrides-Features eines Microsoft Entra Mandanten.

  • UserPrincipalName-Änderungen werden in Microsoft Entra ID nicht aktualisiert

    Wenn das UserPrincipalName-Attribut in Microsoft Entra ID nicht aktualisiert wird, während andere Attribute wie erwartet synchronisiert werden, ist es möglich, dass ein Feature namens SynchronizeUpnForManagedUsers auf dem Mandanten nicht aktiviert ist. Dieses Szenario tritt häufig auf.

    Bevor dieses Feature hinzugefügt wurde, wurden alle Updates am UPN, die von der lokalen Umgebung stammen, nachdem der Benutzer in Microsoft Entra ID bereitgestellt und eine Lizenz zugewiesen wurde, "im Hintergrund" ignoriert. Ein Administrator muss MSOnline oder Azure AD PowerShell verwenden, um den UPN direkt in Microsoft Entra ID zu aktualisieren. Nachdem dieses Feature aktualisiert wurde, werden alle Aktualisierungen des UPN an Microsoft Entra unabhängig davon, ob der Benutzer lizenziert (verwaltet) ist.

    Hinweis

    Nach der Aktivierung kann dieses Feature nicht mehr deaktiviert werden.

    UserPrincipalName-Updates funktionieren, wenn der Benutzer NICHT lizenziert ist. Ohne die SynchronizeUpnForManagedUsers-Funktion ändert sich UserPrincipalName jedoch, nachdem dem Benutzer eine Lizenz zugewiesen wurde, die NICHT in Microsoft Entra ID aktualisiert wird. Beachten Sie, dass Microsoft dieses Feature nicht im Namen des Kunden deaktiviert.

  • Ungültige Zeichen und ProxyCalc-Inters.

    Probleme mit ungültigen Zeichen, die keinen Synchronisierungsfehler verursachen, sind in den Attributen UserPrincipalName und ProxyAddresses aufgrund des kaskadierenden Effekts in der ProxyCalc-Verarbeitung, die den wert, der aus dem lokalen AD synchronisiert wird, im Hintergrund verwirft. Diese Situation tritt wie folgt auf:

    1. Der resultierende UserPrincipalName in Microsoft Entra ID ist die Anfangsdomäne MailNickName oder CommonName @ (at). Anstelle von John.Smith@Contoso.comkann beispielsweise der UserPrincipalName in Microsoft Entra ID werdensmithj@Contoso.onmicrosoft.com, weil im UPN-Wert aus dem lokalen AD ein unsichtbares Zeichen vorhanden ist.

    2. Wenn eine ProxyAddress ein Leerzeichen enthält, verwirft ProxyCalc es und generiert automatisch eine E-Mail-Adresse basierend auf MailNickName in der anfänglichen Domäne. Beispielsweise wird "SMTP: John.Smith@Contoso.com" nicht in Microsoft Entra ID angezeigt, da es ein Leerzeichen nach dem Doppelpunkt enthält.

    3. Entweder ein UserPrincipalName , der ein Leerzeichen enthält, oder eine ProxyAddress , die ein unsichtbares Zeichen enthält, verursacht das gleiche Problem.

      Um probleme mit einem ungültigen Zeichen in UserPrincipalName oder ProxyAddress zu beheben, untersuchen Sie den Wert, der im lokalen AD aus einer LDIFDE oder PowerShell gespeichert ist, die in eine Datei exportiert wurde. Ein einfacher Trick zum Erkennen eines unsichtbaren Zeichens besteht darin, den Inhalt der exportierten Datei zu kopieren und dann in ein PowerShell-Fenster einzufügen. Das unsichtbare Zeichen wird durch ein Fragezeichen (?) ersetzt, wie im folgenden Beispiel gezeigt.

      Screenshot: Beispiel für die Problembehandlung bei UserPrincipalName oder ProxyAddress

  • ThumbnailPhoto-Attribut (KB4518417)

    Es gibt ein allgemeines Missverständnis, dass Sie ThumbnailPhoto nach der ersten Synchronisierung von AD nicht mehr aktualisieren können, was nur teilweise zutrifft.

    In der Regel wird ThumbnailPhoto in Microsoft Entra ID ständig aktualisiert. Ein Problem tritt jedoch auf, wenn das aktualisierte Bild nicht mehr von Microsoft Entra ID von der jeweiligen Workload oder dem jeweiligen Partner (z. B. EXO oder SfBO) abgerufen wird. Dieses Problem verursacht den falschen Eindruck, dass das Bild nicht aus dem lokalen AD mit Microsoft Entra ID synchronisiert wurde.

    Grundlegende Schritte zur Problembehandlung bei ThumbnailPhoto

    1. Stellen Sie sicher, dass das Bild ordnungsgemäß in AD gespeichert ist und das Größenlimit von 100 KB nicht überschreitet.

    2. Überprüfen Sie das Bild im Kontenportal, oder verwenden Sie Get-AzureADUserThumbnailPhoto, da diese Methoden ThumbnailPhoto direkt aus Microsoft Entra ID lesen.

    3. Wenn das AD (oder AzureAD) thumbnailPhoto über das richtige Bild verfügt, aber auf anderen Onlinedienste nicht richtig ist, gelten möglicherweise die folgenden Bedingungen:

    • Das Postfach des Benutzers enthält ein HD-Bild und akzeptiert keine Bilder mit niedriger Auflösung aus Microsoft Entra thumbnailPhoto. Die Lösung besteht darin, das Postfachimage des Benutzers direkt zu aktualisieren.
    • Das Postfachimage des Benutzers wurde ordnungsgemäß aktualisiert, das ursprüngliche Bild wird jedoch weiterhin angezeigt. Die Lösung besteht darin, mindestens sechs Stunden zu warten, bis das aktualisierte Image im Office 365-Benutzerportal oder im Azure-Portal angezeigt wird.

Zusätzliche Ressourcen

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.