Solucionar problemas de un objeto que no se está sincronizando con Microsoft Entra ID

  • Artículo

Si un objeto no está sincronizando según lo previsto con Microsoft Entra ID, puede ser debido a varias razones. Si ha recibido un de correo electrónico de error de Microsoft Entra ID o si ve el error en Microsoft Entra Connect Health, lea Solución de errores durante la sincronización. Sin embargo, si va a solucionar un problema en el que el objeto no está en Microsoft Entra ID, este es el artículo que tiene que leer. Describe cómo encontrar errores en la sincronización de Microsoft Entra Connect de componentes locales.

Importante

Para la implementación de Microsoft Entra Connect con la versión 1.1.749.0 o superior, use la tarea de solución de problemas del asistente para solucionar problemas de sincronización de objetos.

Proceso de sincronización

Antes de investigar los problemas de sincronización de un atributo, revisemos el proceso de sincronización de Microsoft Entra Connect:

Diagram of Microsoft Entra Connect Sync process

Terminología

  • CS: espacio conector, una tabla de una base de datos.
  • MV: metaverso, una tabla de una base de datos.

Pasos de sincronización

el proceso de sincronización realiza los pasos siguientes:

  1. Importar desde AD: los objetos de Active Directory se incorporan al espacio conector de Active Directory.

  2. Importar desde Microsoft Entra ID: los objetos de Microsoft Entra se introducen en Microsoft Entra CS.

  3. Sincronización: las reglas de sincronización de entrada y las reglas de sincronización de salida se ejecutan según el orden de precedencia, de menor a mayor. Para ver las reglas de sincronización, vaya al Editor de reglas de sincronización desde las aplicaciones de escritorio. Las reglas de sincronización entrantes transfieren los datos del espacio conector al metaverso. Las reglas de sincronización salientes transfieren los datos del metaverso al espacio conector.

  4. Exportar a AD: después de la sincronización, los objetos se exportan desde el espacio conector de Active Directory a Active Directory.

  5. Exportar a Microsoft Entra ID: después de la sincronización, los objetos se exportan de Microsoft Entra CS a Microsoft Entra ID.

Solucionar problemas

Para encontrar los errores, examine varios sitios en el orden siguiente:

  1. Los registros de operaciones para buscar errores que ha identificado el motor de sincronización durante la importación y sincronización.
  2. El espacio conector para buscar objetos que faltan y errores de sincronización.
  3. El metaverso para buscar problemas relacionados con los datos.

Inicie Synchronization Service Manager antes de comenzar a realizar estos pasos.

Operations

La pestaña Operaciones de Synchronization Service Manager es donde debe comenzar la solucionar problemas. En esta pestaña se muestran los resultados de las operaciones más recientes.

Screenshot of Synchronization Service Manager, showing Operations tab selected

La mitad superior de la pestaña Operaciones muestra todas las ejecuciones en orden cronológico. De forma predeterminada, el registro de operaciones conservará información sobre los últimos 7 días, pero puede cambiar este parámetro con el programador. Busque las ejecuciones que no muestran un estado de operación correcta. Para cambiar la ordenación, haga clic en los encabezados.

La columna Estado contiene la información más importante, puesto que muestra el problema más grave de una ejecución. A continuación se muestra un resumen rápido de los estados más comunes en orden de prioridad de investigación (donde * indica varias cadenas de error posibles).

Status Comentario
stopped-* La ejecución no pudo finalizar. Esto podría ocurrir, por ejemplo, si el sistema remoto está inactivo y no se puede conectar a él.
stopped-error-limit Se han generado más de 5000 errores. La ejecución se ha detenido automáticamente debido al elevado número de errores.
completed-*-errors La ejecución finaliza, pero hay errores (menos de 5000) que deben investigarse.
completed-*-warnings La ejecución finalizó, pero algunos datos no tienen el estado esperado. Si se producen errores, este mensaje suele ser únicamente un síntoma. No investigue las advertencias hasta que haya resuelto los errores.
success No hay ningún problema.

Cuando seleccione una fila, la parte inferior de la pestaña Operaciones se actualizará para mostrar los detalles de la ejecución. En el lado izquierdo de esta área, es posible que tenga una lista denominada Paso nº. Esta lista solo aparecerá si tiene varios dominios en el bosque; cada dominio estará representado por un paso. El nombre de dominio puede encontrarse bajo el encabezado Partición. En el encabezado Synchronization Statistics(Estadísticas de sincronización) puede encontrar más información sobre el número de cambios que se han procesado. Seleccione los vínculos para obtener una lista de los objetos modificados. Si hay objetos con errores, estos se mostrarán en el encabezado Errores de sincronización.

Errores en la pestaña Operaciones

Cuando se producen errores, Synchronization Service Manager muestra tanto el objeto del error como el propio error como vínculos que proporcionan información adicional.

Screenshot of errors in Synchronization Service Manager
Empiece seleccionando la cadena de error. (En la figura anterior, la cadena de error es sync-rule-error-function-triggered). En primer lugar, aparecerá información general del objeto. Para ver el error real, seleccione Seguimiento de la pila. Este seguimiento proporciona información de depuración del error.

Puede hacer clic con el botón derecho en la casilla Call Stack Information (Información de la pila de llamadas), hacer clic en Seleccionar todo y luego en Copiar. Después, copie la pila y busque el error en el editor que prefiera, como puede ser el Bloc de notas.

Si el error procede de SyncRulesEngine, la información de la pila de llamadas enumerará en primer lugar todos los atributos del objeto. Desplácese hacia abajo hasta que vea el encabezado InnerException =>.

Screenshot of the Synchronization Service Manager, showing error information under the heading InnerException =>

La línea posterior al encabezado muestra el error. En la figura anterior, el error procede de una regla de sincronización personalizados que creó Fabrikam.

Si el error no proporciona suficiente información, puede fijarse en los datos. Seleccione el vínculo con el identificador de objeto y continúe solucionando el problema con el objeto importado del espacio conector.

Propiedades de objeto del espacio del conector

Si la pestaña Operaciones no muestra ningún error, siga el objeto del espacio conector desde Active Directory hasta el metaverso a Microsoft Entra ID. En esta ruta de acceso, debería encontrar dónde está el problema.

Búsqueda de un objeto en el espacio conector

En Synchronization Service Manager, seleccione Conectores, seleccione el Conector Active Directory y elija Search Connector Space (Buscar espacio conector).

En el cuadro Ámbito, seleccione RDN cuando quiera realizar una búsqueda en el atributo CN o DN or anchor (DN o delimitador cuando desee buscar en el atributo distinguishedName. Escriba un valor y seleccione Buscar.

Screenshot of a connector space search

Si no encuentra el objeto que está buscando, podría haberse filtrado con un filtrado basado en dominios o uno basado en la unidad organizativa. Para comprobar que el filtrado se ha configurado según lo previsto, lea Sincronización de Microsoft Entra Connect: Configuración del filtrado.

Puede realizar otra búsqueda útil seleccionando Conector Microsoft Entra. En el cuadro Ámbito, seleccione Pending Import (Importación pendiente) y luego seleccione la casilla Agregar. Esta búsqueda proporciona todos los objetos sincronizados con Microsoft Entra ID que no se pueden asociar con un objeto local.

Screenshot of orphans in a connector space search

Esos objetos los crearon otro motor de sincronización o un motor de sincronización con una configuración de filtrado diferente. Estos objetos huérfanos ya no se administran. Revise esta lista y considere la posibilidad de quitar estos objetos usando cmdlets de Microsoft Graph PowerShell.

Importación del espacio conector

Al abrir un objeto del espacio conector, aparecen varias pestañas en la parte superior. La pestaña Importación muestra los datos que se almacenan provisionalmente después de una importación.

Screenshot of the Connector Space Object Properties window, with the Import tab selected

En la columna Valor antiguo se muestran los datos almacenados en Connect; en la columna Nuevo valor se muestran los que se han recibido desde el sistema de origen y no se han aplicado todavía. Si se produce un error en el objeto, los cambios no se procesan.

La pestaña Synchronization Error (Error de sincronización) solo aparece en la ventana Connector Space Object Properties (Propiedades del objeto del espacio conector) solo si hay un problema con el objeto. Para más información, consulte cómo solucionar problemas de errores de sincronización en la pestaña Operaciones.

Screenshot of the Synchronization Error tab in the Connector Space Object Properties window

Linaje del espacio conector

La pestaña Linaje de la ventana Connector Space Object Properties (Propiedades del objeto del espacio conector) muestra cómo el objeto de espacio del conector está relacionado con el objeto de metaverso. Puede ver cuándo fue la última vez que el conector importó un cambio desde el sistema conectado y qué reglas que se han aplicado para rellenar los datos en el metaverso.

Screenshot showing the Lineage tab in the Connector Space Object Properties window

En la figura anterior, en la columna Acción se muestra una regla de sincronización entrante con la acción Aprovisionar. Esto indica que, siempre que este objeto de espacio del conector esté presente, el objeto de metaverso permanecerá. En cambio, si la lista de reglas de sincronización muestra una regla de sincronización saliente con una acción Aprovisionar, indica que este objeto se eliminará cuando se quite el objeto de metaverso.

Screenshot of a lineage window on the Lineage tab in the Connector Space Object Properties window

En la figura anterior, también puede ver en la columna PasswordSync que el espacio del conector entrante puede contribuir a los cambios realizados en la contraseña debido a que una regla de sincronización tiene el valor True. Esta contraseña se envía a Microsoft Entra ID a través de la regla de salida.

Desde la pestaña Lineage (Linaje), puede obtener el metaverso seleccionando Metaverse Object Properties (Propiedades del objeto de metaverso).

Vista previa

En la esquina inferior izquierda de la ventana Connector Space Object Properties (Propiedades del objeto del espacio conector) se encuentra el botón Vista previa. Seleccione este botón para abrir la página Vista previa, donde puede sincronizar un único objeto. Esta página es útil si está solucionando problemas de algunas reglas de sincronización personalizadas del cliente y desea ver el efecto de un cambio en un único objeto. Puede seleccionar Sincronización completa o Sincronización diferencial. También puede seleccionar Generate Preview (Generar vista previa), que únicamente mantendrá el cambio en la memoria. O bien seleccione Vista previa de confirmación, que actualiza el metaverso y llevará a cabo todos los cambios en los espacios conectores de destino.

Screenshot of the Preview page, with Start Preview selected

En la vista previa puede inspeccionar el objeto y ver qué regla se aplicó para un flujo de atributo concreto.

Screenshot of the Preview page, showing Import Attribute Flow

Log

Junto al botón Vista previa, seleccione el botón Registro para abrir la página Registro. Aquí puede ver el estado y el historial de la sincronización de contraseñas. Para obtener más información, consulte Solucionar problemas de sincronización de hash de contraseñas con la sincronización de Microsoft Entra Connect.

Propiedades de objetos del metaverso

Se recomienda iniciar la búsqueda desde el espacio conector de Active Directory de origen. Pero también puede iniciar la búsqueda en el metaverso.

Búsqueda de un objeto en el metaverso

En Synchronization Service Manager, seleccione Metaverse Search (Búsqueda de metaverso), como en la siguiente figura. Cree una consulta que sabe que encuentra al usuario. Busque atributos comunes, como accountName (sAMAccountName) y userPrincipalName. Para más información, consulte Búsqueda de metaverso de Synchronization Service Manager.

Screenshot of Synchronization Service Manager, with the Metaverse Search tab selected

En la ventana Resultados de la búsqueda, haga clic en el objeto.

Si no se encuentra el objeto, este no ha alcanzado el metaverso. Continúe buscando el objeto en el espacio conector de Active Directory. Si encuentra el objeto en el espacio conector de Active Directory, podría haber un error de sincronización que impide que el objeto llegue al metaverso o podría estarse aplicando un filtro de ámbito de regla de sincronización.

Objeto no encontrado en el metaverso

Si el objeto está en el espacio conector de Active Directory pero no está presente en el metaverso, está aplicado un filtro de ámbito. Para ver el filtro de ámbito, vaya al menú de aplicación de escritorio y seleccione Synchronization Rules Editor (Editor de reglas de sincronización). Filtre las reglas que se aplican al objeto ajustando el siguiente filtro.

Screenshot of Synchronization Rules Editor, showing an inbound synchronization rules search

Observe todas las reglas de la lista anterior y compruebe el Filtro de ámbito. En el siguiente filtro de ámbito, si el valor de isCriticalSystemObject es null, FALSE o está vacío, está en el ámbito.

Screenshot of a scoping filter in an inbound synchronization rule search

Vaya a la lista de atributos de la sección Importación del espacio conector y compruebe cuál de los filtros está evitando que el objeto se mueva al metaverso. La lista de atributos del espacio conector mostrará solo los atributos que no sean null ni estén vacíos. Por ejemplo, si isCriticalSystemObject no aparece en la lista, el valor de este atributo es null o está vacío.

Objeto no encontrado en Microsoft Entra CS

Si el objeto no está presente en espacio conector de Microsoft Entra ID pero sí lo está en el metaverso, busque el filtro de ámbito de las reglas salientes del espacio conector correspondiente y averigüe si el objeto no aparece debido a que los atributos del metaverso no cumplen los criterios.

Para ver el filtro de ámbito saliente, seleccione las reglas que se aplican al objeto ajustando el siguiente filtro. Vea cada regla y examine el valor de atributos del metaverso correspondiente.

Screenshot of an outbound synchronization rules search in Synchronization Rules Editor

Atributos del metaverso

En la pestaña Atributos puede ver los valores y qué conectores los aportaron.

Screenshot of the Metaverse Object Properties window, with the Attributes tab selected

Si un objeto no se está sincronizando, formule la siguiente pregunta sobre los estados de atributo en el metaverso:

  • ¿Está presente el atributo cloudFiltered y está establecido en True? En caso afirmativo, se ha filtrado según los pasos descritos en el Filtrado basado en atributos.
  • ¿Está presente el atributo sourceAnchor? En caso negativo, ¿tiene una topología de bosque de cuenta-recurso? Si un objeto se identifica como un buzón vinculado (el atributo msExchRecipientTypeDetails tiene el valor 2), el valor de sourceAnchor lo proporcionará el bosque con una cuenta de Active Directory habilitada. Asegúrese de que la cuenta maestra se ha importado y sincronizado correctamente. La cuenta maestra debe aparecer entre los conectores del objeto.

Conectores del metaverso

La pestaña Conectores muestra todos los espacios del conector que tienen una representación del objeto.

Screenshot of the Metaverse Object Properties window, with the Connectors tab selected

Debe tener un conector para los siguientes elementos:

  • Todos los bosques de Active Directory donde esté representado el usuario. Esta representación puede incluir foreignSecurityPrincipals y objetos de contacto.
  • Un conector en Microsoft Entra ID.

Si falta el conector en Microsoft Entra ID, revise la sección de Atributos del metaverso para comprobar los criterios de aprovisionamiento en Microsoft Entra ID.

Desde la pestaña Conectores también puede ir al objeto del espacio conector. Seleccione una fila y haga clic en Propiedades.

Pasos siguientes