Diagnóstico y solución de errores de sincronización de atributos duplicados
Información general
Microsoft Entra Connect Health da un paso más en el resalte de errores de sincronización y presenta la corrección de autoservicio. Soluciona los errores de sincronización de atributos duplicados y repara los objetos huérfanos desde Microsoft Entra ID. La característica de diagnóstico ofrece estas ventajas:
- Proporciona un procedimiento de diagnóstico que reduce los errores de sincronización de atributos duplicados. Y aporta soluciones específicas.
- Aplica una corrección para los escenarios dedicados desde Microsoft Entra ID para resolver el error en un solo paso.
- No es necesaria ninguna actualización o configuración para habilitar la característica. Para más información acerca de Microsoft Entra ID, consulte Sincronización de identidades y resistencia de atributos duplicados.
Problemas
Escenario común
Cuando se producen los errores de sincronización QuarantinedAttributeValueMustBeUnique y AttributeValueMustBeUnique, es habitual ver un conflicto de UserPrincipalName o Proxy Addresses en Microsoft Entra ID. Para resolver los errores de sincronización, puede actualizar el objeto de origen en conflicto desde el lado local. El error de sincronización se resolverá después de la siguiente sincronización. Por ejemplo, esta imagen indica que dos usuarios tienen un conflicto en UserPrincipalName. Ambos son Joe.J@contoso.com. Los objetos en conflicto se ponen en cuarentena en Microsoft Entra ID.
Escenario del objeto huérfano
A veces puede darse el caso de que un usuario existente pierde el delimitador de origen. La eliminación del objeto de origen se ha producido en la instancia local de Active Directory. Pero el cambio de señal de eliminación nunca se sincronizó con Microsoft Entra ID. Esta pérdida se produce por motivos tales como problemas del motor de sincronización o la migración del dominio. Cuando se restaura o recrea el mismo objeto, lo lógico es que un usuario existente sea el que se sincronice desde el delimitador de origen.
Cuando un usuario existente es un objeto solo en la nube, también puede ver que el usuario en conflicto está sincronizado con Microsoft Entra ID. En la sincronización, el usuario no se puede hacer coincidir con el objeto existente. No hay ninguna forma directa de reasignar el delimitador de origen. Más información acerca de la base de conocimientos existente.
Por ejemplo, el objeto existente en Microsoft Entra ID conserva la licencia de Joe. Un objeto recién sincronizado con otro delimitador de origen se produce en un estado de atributo duplicado en Microsoft Entra ID. Los cambios de Joe en una instancia local de Active Directory no se aplicarán al usuario original de Joe (objeto existente) en Microsoft Entra ID.
Pasos de diagnóstico y de solución de problemas en Connect Health
La característica de diagnóstico admite objetos de usuario con los siguientes atributos duplicados:
Nombre del atributo | Tipos de error de sincronización |
---|---|
UserPrincipalName | QuarantinedAttributeValueMustBeUnique o AttributeValueMustBeUnique |
ProxyAddresses | QuarantinedAttributeValueMustBeUnique o AttributeValueMustBeUnique |
SipProxyAddress | AttributeValueMustBeUnique |
OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
Importante
Para acceder a esta característica, se requieren como mínimo los permisos de Colaborador de RBAC de Azure.
Siga los pasos del Centro de Administración de Microsoft Entra para reducir los detalles del error de sincronización y proporcionar soluciones más específicas:
Desde el Centro de administración de Microsoft Entra, siga unos cuantos pasos para identificar escenarios específicos que tengan soluciones:
- Consulte la columna Estado de diagnóstico. El estado muestra si hay una forma posible de corregir un error de sincronización directamente desde Microsoft Entra ID. En otras palabras, existe un flujo de solución de problemas que puede reducir el error y corregirlo potencialmente.
Estado | ¿Qué significa? |
---|---|
No iniciado | No ha visitado este proceso de diagnóstico. En función del resultado del diagnóstico, hay una posible forma de corregir el error de sincronización directamente desde el portal. |
Corrección manual necesaria | El error no se ajusta a los criterios de las soluciones disponibles en el portal. Los tipos de objeto en conflicto no son usuarios, o bien ya ha realizado los pasos de diagnóstico y no hay una solución disponible en el portal. En el último caso, una de las posibles soluciones es una revisión desde el lado local. Más información sobre las correcciones locales. |
Sincronización pendiente | Se aplicó la solución. El portal espera al siguiente ciclo de sincronización para borrar el error. |
Importante
La columna de estado de diagnóstico se restablecerá después de cada ciclo de sincronización.
Seleccione el botón Diagnosticar en los detalles del error. Responderá a varias preguntas e identificará los detalles del error de sincronización. Dichas respuestas ayudan a identificar un caso de objeto huérfano.
Si aparece el botón Cerrar al final del diagnóstico, se debe a que no hay ninguna solución rápida disponible en el portal en función de sus respuestas. Consulte la solución que se muestra en el último paso. Las correcciones del entorno local siguen siendo las soluciones. Seleccione el botón Cerrar. El estado del error de sincronización actual cambia a Corrección manual necesaria. El estado permanece durante el ciclo de sincronización actual.
Después de que se identifique el caso del objeto huérfano, puede solucionar los errores de sincronización de atributos duplicados directamente desde el portal. Para desencadenar el proceso, seleccione el botón Aplicar corrección. El estado del error de sincronización actual se actualiza a Sincronización pendiente.
Después del siguiente ciclo de sincronización, el error debería quitarse de la lista.
Cómo responder a las preguntas de diagnóstico
¿Existe el usuario en la instancia local de Active Directory?
La pregunta intenta identificar el objeto de origen del usuario existente en la instancia local de Active Directory.
- Compruebe si Microsoft Entra ID tiene un objeto con el valor UserPrincipalName especificado. Si no lo tiene, la respuesta es No.
- Si lo tiene, compruebe si el objeto sigue en el ámbito de sincronización.
- Busque en el espacio conector de Microsoft Entra mediante el DN.
- Si el objeto se encuentra en estado Pendiente de agregación, responda No. Microsoft Entra Connect no puede conectar el objeto a la derecha del objeto de Microsoft Entra.
- Si no se encuentra el objeto, responda Sí.
En estos ejemplos, la pregunta intenta identificar si Joe Jackson sigue existiendo en la instancia local de Active Directory. En el escenario común, ambos usuarios, Joe Johnson y Joe Jackson, están presentes en la instancia local de Active Directory. Los objetos en cuarentena son dos usuarios distintos.
Para el escenario de objeto huérfano, el usuario individual Joe Johnson es el único que está presente en la instancia local de Active Directory:
¿Pertenecen ambas cuentas al mismo usuario?
Esta pregunta comprueba el usuario entrante en conflicto y el objeto de usuario existente en Microsoft Entra ID para ver si pertenecen al mismo usuario.
- El objeto en conflicto se ha sincronizado recientemente con Microsoft Entra ID. Comparar los atributos de los objetos:
- Nombre
- UserPrincipalName o SignInName
- ObjectID
- Si Microsoft Entra ID no puede compararlos, compruebe si Active Directory contiene objetos con los valores de UserPrincipalNames proporcionados. Respuesta No si encuentra ambos.
En el ejemplo siguiente, los dos objetos pertenecen al mismo usuario, Joe Johnson.
Qué ocurre después de aplicar la corrección en el escenario de objeto huérfano
En función de las respuestas a las preguntas anteriores, podrá ver el botón Aplicar corrección cuando haya una corrección disponible en Microsoft Entra ID. En este caso, el objeto local se sincroniza con un objeto de Microsoft Entra inesperado. Ambos objetos se asignan mediante el delimitador de origen. El cambio de Aplicar corrección realiza estos cambios, u otros similares:
- Actualiza el delimitador de origen al objeto correcto en Microsoft Entra ID.
- Elimina el objeto en conflicto de Microsoft Entra ID, en caso de que esté presente.
Importante
El cambio de Aplicar corrección solo se aplica a los casos de objetos huérfanos.
Después de los pasos anteriores, el usuario puede acceder al recurso original, que es un vínculo a un objeto existente. El valor Diagnose status (Estado de diagnóstico) de la vista de lista se actualizará a Sincronización pendiente. El error de sincronización se resolverá después de la siguiente sincronización. Connect Health dejará de mostrar el error de sincronización resuelto en la vista de lista.
Errores y mensajes de error
El usuario con el atributo en conflicto es eliminado temporalmente en Microsoft Entra ID. Asegúrese de que el usuario se elimina de forma definitiva antes de volver a intentarlo.
El usuario con el atributo en conflicto en Microsoft Entra ID debe limpiarse para poder aplicar la corrección. Revise el procedimiento para eliminar de forma permanente el usuario en Microsoft Entra ID antes de volver a intentar la corrección. El usuario también se eliminará automáticamente de forma permanente después de 30 días en el estado de eliminación temporal.
No se admite la actualización del delimitador de origen al usuario basado en la nube en el inquilino.
El usuario basado en la nube de Microsoft Entra ID no debe tener el delimitador de origen. En este caso no se admite la actualización del delimitador de origen. Se requiere una corrección manual en el entorno local.
El proceso de corrección no pudo actualizar los valores. No se admite la configuración específica, como UserWriteback en Microsoft Entra Connect. Deshabilítela en la configuración.
Preguntas más frecuentes
P. ¿Qué ocurre si se produce un error al ejecutarse Aplicar corrección?
A Si se produce un error en la ejecución, es posible que Microsoft Entra Connect muestre un error de exportación. Actualice la página del portal y vuelva a intentar la operación después de la siguiente sincronización. El ciclo de sincronización predeterminado dura 30 minutos.
P. ¿Qué ocurre si el objeto existente debe ser el objeto que se debe eliminar?
A. Si el objeto existente debe eliminarse, el proceso no supone un cambio en el delimitador de origen. Por lo general, se puede corregir desde la instancia local de Active Directory.
P. ¿Qué permiso necesita un usuario para aplicar la revisión?
R. El Colaborador de RBAC de Azure, tiene permisos para acceder al proceso de diagnóstico y solución de problemas. Este es el permiso mínimo que necesitas.
Q. ¿Tengo que configurar Microsoft Entra Connect o actualizar el agente de Microsoft Entra Connect Health para esta característica?
A No, el proceso de diagnóstico es una característica completa basada en la nube.
Q. Si el objeto existente se elimina temporalmente, ¿volverá a activarlo el proceso de diagnóstico?
A. No, la corrección no actualizará los atributos del objeto, a excepción del delimitador de origen.