Résolution des problèmes de bout en bout des objets et attributs Microsoft Entra Connect

Cet article est destiné à établir une pratique courante pour résoudre les problèmes de synchronisation dans Microsoft Entra ID. Cette méthode s’applique aux situations dans lesquelles un objet ou un attribut ne se synchronise pas avec Azure Active AD et n’affiche aucune erreur sur le moteur de synchronisation, dans les journaux de la visionneuse d’applications ou dans les journaux Microsoft Entra. Il est facile de se perdre dans les détails s’il n’y a pas d’erreur évidente. Toutefois, en utilisant les meilleures pratiques, vous pouvez isoler le problème et fournir des insights aux ingénieurs Support Microsoft.

Au fur et à mesure que vous appliquez cette méthode de résolution des problèmes à votre environnement, au fil du temps, vous serez en mesure d’effectuer les étapes suivantes :

• Résolvez les problèmes liés à la logique du moteur de synchronisation de bout en bout.
• Résolvez les problèmes de synchronisation plus efficacement.
• Identifiez les problèmes plus rapidement en prédisant l’étape dans laquelle ils se produisent.
• Identifiez le point de départ pour l’examen des données.
• Déterminez la résolution optimale.

Les étapes fournies ici commencent au niveau Local d’Active Directory et progressent vers Microsoft Entra ID. Ces étapes sont la direction la plus courante de la synchronisation. Toutefois, les mêmes principes s’appliquent à la direction inverse (par exemple, pour l’écriture différée des attributs).

Configuration requise

Pour une meilleure compréhension de cet article, lisez d’abord les articles prérequis suivants pour mieux comprendre comment rechercher un objet dans différentes sources (AD, AD CS, MV, etc.) et comprendre comment case activée les connecteurs et la traçabilité d’un objet.

• Microsoft Entra Connect : Comptes et autorisations
• Résoudre les problèmes d’un objet qui ne se synchronise pas avec Microsoft Entra ID
• Résoudre les problèmes de synchronisation d’objets avec Microsoft Entra Connect Sync

Mauvaises pratiques de résolution des problèmes

L’indicateur DirSyncEnabled dans Microsoft Entra ID détermine si le locataire est prêt à accepter la synchronisation des objets à partir d’AD local. Nous avons vu de nombreux clients prendre l’habitude de désactiver DirSync sur le locataire lors de la résolution des problèmes de synchronisation d’objets ou d’attributs. Il est facile de désactiver la synchronisation d’annuaires en exécutant l’applet de commande PowerShell suivante :

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Remarque

Les modules PowerShell Azure AD et MSOnline seront obsolètes à compter du 30 mars 2024. Pour en savoir plus, consultez la mise à jour sur l’obsolescence. Après cette date, la prise en charge de ces modules sera limitée à l’assistance à la migration vers le kit de développement logiciel Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules obsolètes continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour toutes questions liées à la migration, consultez la FAQ sur la migration. Remarque : les versions 1.0.x de MSOnline pourront subir des perturbations après le 30 juin 2024.

Toutefois, cela peut être catastrophique, car il déclenche une opération back-end complexe et longue pour transférer soA d’Active Directory local vers Microsoft Entra ID/Exchange Online pour tous les objets synchronisés sur le locataire. Cette opération est nécessaire pour convertir chaque objet de DirSyncEnabled en cloud uniquement et propre toutes les propriétés d’ombre synchronisées à partir d’AD local (par exemple, ShadowUserPrincipalName et ShadowProxyAddresses). Selon la taille du locataire, cette opération peut prendre plus de 72 heures. En outre, il n’est pas possible de prédire quand l’opération se terminera. N’utilisez jamais cette méthode pour résoudre un problème de synchronisation, car cela cause des dommages supplémentaires et ne résout pas le problème. Vous ne pourrez pas réactiver DirSync tant que cette opération de désactivation n’est pas terminée. En outre, après avoir réactivé DirSync, AADC doit à nouveau correspondre à tous les objets locaux avec des objets Microsoft Entra existants. Ce processus peut être perturbant.

Les seuls scénarios dans lesquels cette commande est prise en charge pour désactiver DirSync sont les suivants :

• Vous désaffectez votre serveur de synchronisation local et vous souhaitez continuer à gérer vos identités entièrement à partir du cloud plutôt qu’à partir d’identités hybrides.
• Vous avez des objets synchronisés dans le locataire que vous souhaitez conserver en tant que cloud uniquement dans Microsoft Entra ID et supprimer définitivement d’AD local.
• Vous utilisez actuellement un attribut personnalisé en tant que SourceAnchor dans AADC (par exemple, employeeId), et vous désinstallez AADC pour commencer à utiliser ms-Ds-Consistency-Guid/ObjectGuid comme nouvel attribut SourceAnchor (ou inversement).
• Certains scénarios impliquent des stratégies de migration de client et de boîte aux lettres à risque.

Dans certains cas, vous devrez peut-être arrêter temporairement la synchronisation ou contrôler manuellement les cycles de synchronisation AADC. Par exemple, vous devrez peut-être arrêter la synchronisation pour pouvoir exécuter une étape de synchronisation à la fois. Toutefois, au lieu de désactiver DirSync, vous pouvez arrêter uniquement le planificateur de synchronisation en exécutant l’applet de commande suivante :

Set-ADSyncScheduler -SyncCycleEnabled $false

Lorsque vous êtes prêt, démarrez manuellement un cycle de synchronisation en exécutant l’applet de commande suivante :

Start-ADSyncSyncCycle

Glossaire

Acronyme/abréviation	Nom/description
AADC	Microsoft Entra Connect
AADCA	Compte de connecteur Microsoft Entra
AADCS	Espace connecteur Microsoft Entra
AADCS :AttributeA	Attribut « A » dans Microsoft Entra espace connecteur
Acl	Access Control Listes (également appelées autorisations ADDS)
ADCA	Compte de connecteur AD
ADCS	Espace du connecteur Active Directory
ADCS :AttributeA	Attribut « A » dans l’espace du connecteur Active Directory
ADDS ou AD	Services de domaine Active Directory
CS	Espace connecteur
MV	Metaverse
Compte MSOL	Compte de connecteur AD généré automatiquement (MSOL_########)
MV :AttributeA	Attribut 'A' dans l’objet Metaverse
Soa	Source d’autorité

Étape 1 : Synchronisation entre ADDS et ADCS

Objectif de l’étape 1

Déterminez si l’objet ou l’attribut est présent et cohérent dans ADCS. Si vous pouvez localiser l’objet dans ADCS et que tous les attributs ont les valeurs attendues, passez à l’étape 2.

Description de l’étape 1

La synchronisation entre ADDS et ADCS se produit à l’étape d’importation et est le moment où AADC lit à partir du répertoire source et stocke les données dans la base de données. Autrement dit, lorsque les données sont intermédiaires dans l’espace connecteur. Lors d’une importation delta à partir d’AD, AADC demande toutes les nouvelles modifications qui se sont produites après un filigrane de répertoire donné. Cet appel est lancé par AADC à l’aide du contrôle DirSync des services d’annuaire sur le service de réplication Active Directory. Cette étape fournit le dernier filigrane comme dernière importation AD réussie et donne à AD la référence à un point dans le temps à partir duquel toutes les modifications (delta) doivent être récupérées. Une importation complète est différente, car AADC importe à partir d’AD toutes les données (dans l’étendue de synchronisation), puis marque comme obsolètes (et supprime) tous les objets qui se trouvent toujours dans ADCS mais n’ont pas été importés à partir d’AD. Toutes les données entre AD et AADC sont transférées via LDAP et chiffrées par défaut.

Si la connexion avec AD réussit, mais que l’objet ou l’attribut n’est pas présent dans ADCS (en supposant que le domaine ou l’objet est dans l’étendue de synchronisation), le problème implique probablement des autorisations ADDS. AdCA nécessite un minimum d’autorisations de lecture sur l’objet dans AD afin d’importer des données dans ADCS. Par défaut, le compte MSOL dispose d’autorisations de lecture/écriture explicites pour toutes les propriétés d’utilisateur, de groupe et d’ordinateur. Toutefois, cette situation peut toujours être problématique si les conditions suivantes sont remplies :

• AADC utilise un ADCA personnalisé, mais il n’a pas reçu d’autorisations suffisantes dans AD.
• Une unité d’organisation parente a bloqué l’héritage, ce qui empêche la propagation des autorisations à partir de la racine du domaine.
• L’objet ou l’attribut lui-même a un héritage bloqué, ce qui empêche la propagation des autorisations.
• L’objet ou l’attribut a une autorisation Refuser explicite qui empêche ADCA de le lire.

Résolution des problèmes liés à Active Directory

Connectivité avec AD

Dans le Service Manager synchronisation, l’étape « Importer à partir d’AD » indique quel contrôleur de domaine est contacté sous État de la connexion. Vous verrez probablement une erreur ici en cas de problème de connectivité affectant AD.

Si vous devez résoudre les problèmes de connectivité pour AD, en particulier si aucune erreur n’a été détectée dans Microsoft Entra serveur Connect ou si vous êtes toujours en train d’installer le produit, commencez par utiliser ADConnectivityTool.

Les problèmes de connexion à ADDS ont les causes suivantes :

• Informations d’identification AD non valides. Par exemple, l’ADCA a expiré ou le mot de passe a changé.
• Erreur de « recherche en échec », qui se produit lorsque le contrôle DirSync ne communique pas avec le service de réplication AD, généralement en raison d’une fragmentation de paquets réseau élevée.
• Erreur « no-start-ma » qui se produit en cas de problèmes de résolution de noms (DNS) dans AD.
• Autres problèmes pouvant être causés par des problèmes de résolution de noms, des problèmes de routage réseau, des ports réseau bloqués, une fragmentation élevée des paquets réseau, aucun contrôleur de domaine accessible en écriture disponible, etc. Dans ce cas, vous devrez probablement impliquer les services d’annuaire ou les équipes de support réseau pour vous aider à résoudre les problèmes.

Résumé de la résolution des problèmes

• Identifiez le contrôleur de domaine utilisé.
• Utilisez des contrôleurs de domaine préférés pour cibler le même contrôleur de domaine.
• Identifiez correctement l’ADCA.
• Utilisez ADConnectivityTool pour identifier le problème.
• Utilisez l’outil LDP pour essayer d’établir une liaison avec le contrôleur de domaine avec l’ADCA.
• Contactez les services d’annuaire ou une équipe de support réseau pour vous aider à résoudre les problèmes.

Exécuter l’utilitaire de résolution des problèmes de synchronisation

Après avoir résolu la connectivité AD, exécutez l’outil Résoudre les problèmes de synchronisation d’objets, car cela seul peut détecter les raisons les plus évidentes pour lesquelles un objet ou un attribut ne se synchronise pas.

Autorisations AD

Un manque d’autorisations AD peut affecter les deux directions de la synchronisation :

• Lorsque vous importez à partir d’ADDS vers ADCS, un manque d’autorisations peut amener AADC à ignorer les objets ou attributs afin qu’AADC ne puisse pas obtenir les mises à jour ADDS dans le flux d’importation. Cette erreur se produit parce que l’ADCA ne dispose pas des autorisations suffisantes pour lire l’objet.
• Lorsque vous exportez d’ADCS vers ADDS, un manque d’autorisations génère une erreur d’exportation « problème d’autorisation ».

Pour case activée autorisations, ouvrez la fenêtre Propriétés d’un objet AD, sélectionnez Sécurité>avancée, puis examinez les listes de contrôle d’accès autoriser/refuser de l’objet en sélectionnant le bouton Désactiver l’héritage (si l’héritage est activé). Vous pouvez trier le contenu de la colonne par type pour localiser toutes les autorisations « refuser ». Les autorisations AD peuvent varier considérablement. Toutefois, par défaut, il se peut que vous ne voyiez qu’une seule liste de contrôle d’accès pour « Sous-système approuvé Exchange ». La plupart des autorisations sont marquées comme Autoriser.

Les autorisations par défaut suivantes sont les plus pertinentes :

• Utilisateurs authentifiés

  

• Tout le monde

  

• Compte ADCA ou MSOL personnalisé

  

• Accès compatible pré-Windows 2000

  

• SELF

  

La meilleure façon de résoudre les problèmes d’autorisation consiste à utiliser la fonctionnalité « Accès effectif » dans la console Utilisateurs et ordinateurs AD . Cette fonctionnalité vérifie les autorisations effectives pour un compte donné (adca) sur l’objet ou l’attribut cible que vous souhaitez résoudre.

Importante

La résolution des problèmes d’autorisations AD peut être difficile, car une modification des listes de contrôle d’accès n’est pas immédiatement appliquée. Considérez toujours que ces modifications sont soumises à la réplication AD.

Par exemple :

• Vérifiez que vous apportez les modifications nécessaires directement au contrôleur de domaine le plus proche (consultez la section « Connectivité avec AD ») :
• Attendez que les réplications ADDS se produisent.
• Si possible, redémarrez le service ADSync pour effacer le cache.

Résumé de la résolution des problèmes

• Identifiez le contrôleur de domaine utilisé.
• Utilisez des contrôleurs de domaine préférés pour cibler le même contrôleur de domaine.
• Identifiez correctement l’ADCA.
• Utilisez l’outil Configurer les autorisations de compte de connecteur AD DS .
• Utilisez la fonctionnalité « Accès effectif » dans Utilisateurs et ordinateurs AD.
• Utilisez l’outil LDP pour établir une liaison avec le contrôleur de domaine qui a l’ADCA et essayez de lire l’objet ou l’attribut défaillant.
• Ajoutez temporairement adca aux administrateurs d’entreprise ou aux administrateurs de domaine, puis redémarrez le service ADSync.

Important: Ne l’utilisez pas comme solution.

• Après avoir vérifié le problème d’autorisations, supprimez l’ADCA de tous les groupes à privilèges élevés et fournissez les autorisations AD requises directement à ADCA.
• Engage services d’annuaire ou une équipe de support réseau pour vous aider à résoudre la situation.

Réplications AD

Ce problème est moins susceptible d’affecter Microsoft Entra Connect, car il provoque des problèmes plus importants. Toutefois, lorsque Microsoft Entra Connect importe des données à partir d’un contrôleur de domaine à l’aide d’une réplication différée, il n’importe pas les informations les plus récentes à partir d’AD, ce qui entraîne des problèmes de synchronisation dans lesquels un objet ou un attribut récemment créé ou modifié dans AD ne se synchronise pas avec Microsoft Entra ID car il n’a pas été répliqué sur le contrôleur de domaine qui Microsoft Entra Connect est en cours de contact. Pour vérifier qu’il s’agit du problème, case activée le contrôleur de domaine utilisé par AADC pour l’importation (consultez « Connectivité à AD ») et utilisez la console Utilisateurs et ordinateurs AD pour vous connecter directement à ce serveur (voir Modifier le contrôleur de domaine dans l’image suivante). Ensuite, vérifiez que les données de ce serveur correspondent aux données les plus récentes et si elles sont cohérentes avec les données ADCS respectives. À ce stade, AADC génère une charge plus importante sur le contrôleur de domaine et la couche réseau.

Une autre approche consiste à utiliser l’outil RepAdmin pour case activée les métadonnées de réplication de l’objet sur tous les contrôleurs de domaine, obtenir la valeur de tous les contrôleurs de domaine et case activée status de réplication entre les contrôleurs de domaine :

• Valeur d’attribut de tous les contrôleurs de domaine :

  repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

  

• Métadonnées d’objet de tous les contrôleurs de domaine :

  repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

  

• Résumé de la réplication AD

  repadmin /replsummary

  

Résumé de la résolution des problèmes

• Identifiez le contrôleur de domaine utilisé.
• Comparer les données entre les contrôleurs de domaine.
• Analysez les résultats RepAdmin.
• Contactez les services d’annuaire ou l’équipe de support réseau pour vous aider à résoudre le problème.

Modifications de domaine et d’unité d’organisation, et types d’objets ou attributs filtrés ou exclus dans ADDS Connector

• La modification du filtrage de domaine ou d’unité d’organisation nécessite une importation complète

  N’oubliez pas que même si le filtrage du domaine ou de l’unité d’organisation est confirmé, les modifications apportées au filtrage du domaine ou de l’unité d’organisation ne prennent effet qu’après l’exécution d’une étape d’importation complète.

• Filtrage d’attributs avec Microsoft Entra application et filtrage d’attributs

  Un scénario facile à manquer pour les attributs qui ne se synchronisent pas est quand Microsoft Entra Connect est configuré avec l’application Microsoft Entra et la fonctionnalité de filtrage d’attributs. Pour case activée si la fonctionnalité est activée et pour quels attributs, prenez un rapport de diagnostic général.

• Type d’objet exclu dans la configuration du connecteur ADDS

  Cette situation ne se produit pas aussi souvent pour les utilisateurs et les groupes. Toutefois, si tous les objets d’un type d’objet spécifique sont manquants dans ADCS, il peut être utile d’examiner les types d’objets activés dans la configuration du connecteur ADDS.

  Vous pouvez utiliser l’applet de commande Get-ADSyncConnector pour récupérer les types d’objets activés sur le connecteur, comme illustré dans l’image suivante. Voici les types d’objets qui doivent être activés par défaut :

  (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

  Voici les types d’objets qui doivent être activés par défaut :

  

  Remarque

  Le type d’objet publicFolder est présent uniquement lorsque la fonctionnalité Dossier public à extension messagerie est activée.

• Attribut exclu dans ADCS

  De la même façon, si l’attribut est manquant pour tous les objets, case activée si l’attribut est sélectionné sur le connecteur AD.

  Pour case activée des attributs activés dans ADDS Connector, utilisez le Gestionnaire de synchronisation, comme illustré dans l’image suivante, ou exécutez l’applet de commande PowerShell suivante :

  (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

  

  Remarque

  L’inclusion ou l’exclusion de types d’objets ou d’attributs dans le Service Manager de synchronisation n’est pas prise en charge.

Résumé de la résolution des problèmes

• Vérifier la fonctionnalité de filtrage d’attributs et d’application Microsoft Entra
• Vérifiez que le type d’objet est inclus dans ADCS.
• Vérifiez que l’attribut est inclus dans ADCS.
• Exécutez une importation complète.

Ressources pour l’étape 1

Ressources principales :

• Get-ADSyncConnectorAccount : identifier le compte de connecteur approprié utilisé par AADC

• ADConnectivityTool

• Identifier les problèmes de connectivité avec ADDS

• Trace-ADSyncToolsADImport (ADSyncTools) - Données de trace importées à partir d’ADDS

• LDIFDE - Objet de vidage d’ADDS pour comparer des données entre ADDS et ADCS

• LDP - Tester la connectivité et les autorisations de liaison AD pour lire l’objet dans le contexte de sécurité d’ADCA

• DSACLS - Comparer et évaluer les autorisations ADDS

• Définir les autorisations de fonctionnalité >ADSync< : appliquer les autorisations AADC par défaut dans ADDS

• RepAdmin - Vérifier les métadonnées d’objet AD et les status de réplication AD

Étape 2 : Synchronisation entre ADCS et MV

Objectif de l’étape 2

Cette étape vérifie si l’objet ou l’attribut passe de CS à MV (en d’autres termes, si l’objet ou l’attribut est projeté sur la MV). À ce stade, vérifiez que l’objet est présent ou que l’attribut est correct dans ADCS (abordé à l’étape 1), puis commencez à examiner les règles de synchronisation et la traçabilité de l’objet.

Description de l’étape 2

La synchronisation entre ADCS et MV se produit à l’étape de synchronisation delta/complète. À ce stade, AADC lit les données intermédiaires dans ADCS, traite toutes les règles de synchronisation et met à jour l’objet MV respectif. Cet objet MV contient des liens CS (ou connecteurs) pointant vers les objets CS qui contribuent à ses propriétés et à la traçabilité des règles de synchronisation appliquées à l’étape de synchronisation. Au cours de cette étape, AADC génère davantage de charge sur les couches SQL Server (ou LocalDB) et réseau.

Résolution des problèmes de MV ADCS > pour les objets

• Vérifier les règles de synchronisation de trafic entrant pour l’approvisionnement

  Un objet présent dans ADCS mais manquant dans MV indique qu’il n’y avait aucun filtre d’étendue sur les règles de synchronisation d’approvisionnement qui s’appliquaient à cet objet. Par conséquent, l’objet n’a pas été projeté sur MV. Ce problème peut se produire s’il existe des règles de synchronisation désactivées ou personnalisées.

  Pour obtenir la liste des règles de synchronisation d’approvisionnement entrant, exécutez la commande suivante :

  Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

  

• Vérifier la traçabilité de l’objet ADCS

  Vous pouvez récupérer l’objet défaillant à partir d’ADCS en effectuant une recherche sur « DN ou Anchor » dans « espace connecteur Recherche ». Sous l’onglet Traçabilité, vous verrez probablement que l’objet est un Disconnector (aucun lien vers MV) et que la traçabilité est vide. En outre, case activée si l’objet contient des erreurs, en cas d’onglet d’erreur de synchronisation.

  

• Exécuter un aperçu sur l’objet ADCS

  Sélectionnez Aperçu>Générer l’aperçudevalidation de l’aperçu> pour voir si l’objet est projeté sur MV. Si tel est le cas, un cycle de synchronisation complet doit résoudre le problème pour d’autres objets dans la même situation.

  

  

• Exporter l’objet au format XML

  Pour une analyse plus détaillée (ou pour une analyse hors connexion), vous pouvez collecter toutes les données de base de données associées à l’objet à l’aide de l’applet de commande Export-ADSyncObject . Ces informations exportées vous aideront à déterminer la règle qui filtre l’objet. En d’autres termes, quel filtre d’étendue entrant dans les règles de synchronisation d’approvisionnement empêche la projection de l’objet sur la MV.

  Voici quelques exemples de syntaxe Export-ADsyncObject :

  • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
  • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
  • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Résumé de la résolution des problèmes (objets)

• Vérifiez les filtres d’étendue sur les règles d’approvisionnement entrant « À partir d’AD ».
• Create un aperçu de l’objet.
• Exécutez un cycle de synchronisation complet.
• Exportez les données de l’objet à l’aide du script Export-ADSyncObject .

Résolution des problèmes liés aux MV ADCS > pour les attributs

1. Identifier les règles de synchronisation entrante et les règles de transformation de l’attribut

   Chaque attribut a son propre ensemble de règles de transformations qui sont responsables de diriger la valeur d’ADCS vers MV. La première étape consiste à identifier les règles de synchronisation qui contiennent la règle de transformation pour l’attribut que vous résolvez.

   La meilleure façon d’identifier les règles de synchronisation qui ont une règle de transformation pour un attribut donné consiste à utiliser les fonctionnalités de filtrage intégrées de l’Rédacteur règles de synchronisation.

   

2. Vérifier la traçabilité de l’objet ADCS

   Chaque connecteur (ou lien) entre le CS et la MV aura une traçabilité qui contient des informations sur les règles de synchronisation appliquées à cet objet CS. L’étape précédente vous indique quel ensemble de règles de synchronisation de trafic entrant (qu’il s’agisse de règles de synchronisation d’approvisionnement ou de jointure) doit être présent dans la traçabilité de l’objet pour transmettre la valeur correcte d’ADCS à MV. En examinant la traçabilité sur l’objet ADCS, vous serez en mesure de déterminer si cette règle de synchronisation a été appliquée à l’objet.

   

   S’il existe plusieurs connecteurs (plusieurs forêts AD) liés à l’objet MV, vous devrez peut-être examiner les propriétés de l’objet métaverse pour déterminer quel connecteur contribue à la valeur d’attribut à l’attribut que vous essayez de résoudre. Une fois que vous avez identifié le connecteur, examinez la traçabilité de cet objet ADCS.

   

3. Vérifier les filtres d’étendue sur la règle de synchronisation entrante

   Si une règle de synchronisation est activée mais qu’elle n’est pas présente dans la traçabilité de l’objet, l’objet doit être filtré par le filtre d’étendue de la règle de synchronisation. En vérifiant les filtres d’étendue de la règle de synchronisation, les données sur l’objet ADCS et si la règle de synchronisation est activée ou désactivée, vous devez être en mesure de déterminer pourquoi cette règle de synchronisation n’a pas été appliquée à l’objet ADCS.

   Voici un exemple de filtre d’étendue problématique courant à partir d’une règle de synchronisation responsable de la synchronisation des propriétés Exchange. Si l’objet a une valeur null pour mailNickName, aucun des attributs Exchange dans les règles de transformation n’est transmis à Microsoft Entra ID.

   

4. Exécuter une préversion sur un objet ADCS

   Si vous ne pouvez pas déterminer pourquoi la règle de synchronisation est manquante dans la traçabilité de l’objet ADCS, exécutez un aperçu à l’aide de Générer l’aperçu et Valider l’aperçu pour une synchronisation complète de l’objet. Si l’attribut est mis à jour dans la MV et a un aperçu, un cycle de synchronisation complet doit résoudre le problème pour d’autres objets dans la même situation.

5. Exporter l’objet au format XML

   Pour une analyse plus détaillée ou hors connexion, vous pouvez collecter toutes les données de base de données associées à l’objet à l’aide du script Export-ADSyncObject . Ces informations exportées peuvent vous aider à déterminer la règle de synchronisation ou la règle de transformation manquante sur l’objet qui empêche la projection de l’attribut sur la MV (voir les exemples Export-ADSyncObject plus haut dans cet article).

Résumé de la résolution des problèmes (pour les attributs)

• Identifiez les règles de synchronisation et les règles de transformation appropriées chargées de transmettre l’attribut à la MV.
• Vérifiez la traçabilité de l’objet.
• Vérifiez si les règles de synchronisation ont été activées.
• Vérifiez les filtres d’étendue des règles de synchronisation manquantes dans la traçabilité de l’objet.

Résolution avancée des problèmes du pipeline de règles de synchronisation

Si vous devez déboguer davantage le moteur ADSync (également appelé MiiServer) en termes de traitement des règles de synchronisation, vous pouvez activer le suivi ETW sur le fichier .config (C :\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Cette méthode génère un fichier texte détaillé complet qui montre tout le traitement des règles de synchronisation. Toutefois, il peut être difficile d’interpréter toutes les informations. Utilisez cette méthode en dernier recours ou si elle est indiquée par Support Microsoft.

Ressources pour l’étape 2

• Synchronisation Service Manager interface utilisateur
• Règles de synchronisation Rédacteur
• Export-ADsyncObject script
• Start-ADSyncSyncCycle -PolicyType Initial
• Suivi ETW SyncRulesPipeline (miiserver.exe.config)

Étape 3 : Synchronisation entre MV et AADCS

Objectif de l’étape 3

Cette étape vérifie si l’objet ou l’attribut passe de MV à AADCS. À ce stade, assurez-vous que l’objet est présent ou que l’attribut est correct dans ADCS et MV (abordés dans les étapes 1 et 2). Ensuite, examinez les règles de synchronisation et la traçabilité de l’objet. Cette étape est similaire à l’étape 2, dans laquelle la direction entrante entre ADCS et MV a été examinée. Toutefois, à ce stade, nous allons nous concentrer sur les règles de synchronisation sortante et l’attribut qui circulent de MV vers AADCS.

Description de l’étape 3

La synchronisation entre MV et AADCS se produit à l’étape de synchronisation delta/complète, quand AADC lit les données dans MV, traite toutes les règles de synchronisation et met à jour l’objet AADCS respectif. Cet objet MV contient des liens CS (également appelés connecteurs) qui pointent vers les objets CS qui contribuent à ses propriétés et à la traçabilité des règles de synchronisation appliquées à l’étape de synchronisation. À ce stade, AADC génère davantage de charge sur SQL Server (ou localDB) et la couche réseau.

Résolution des problèmes de MV vers AADCS pour les objets

1. Vérifier les règles de synchronisation de trafic sortant pour l’approvisionnement

   Un objet présent dans MV mais manquant dans AADCS indique qu’il n’y avait aucun filtre d’étendue sur les règles de synchronisation d’approvisionnement qui s’appliquaient à cet objet. Par exemple, consultez les règles de synchronisation « Out to Microsoft Entra ID » affichées dans l’image suivante. Par conséquent, l’objet n’a pas été provisionné dans AADCS. Cette erreur peut se produire s’il existe des règles de synchronisation désactivées ou personnalisées.

   Pour obtenir la liste des règles de synchronisation d’approvisionnement entrant, exécutez la commande suivante :

   Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

   

2. Vérifier la traçabilité de l’objet ADCS

   Pour récupérer l’objet défaillant à partir de la MV, utilisez un Recherche métaverse, puis examinez l’onglet Connecteurs. Sous cet onglet, vous pouvez déterminer si l’objet MV est lié à un objet AADCS. En outre, case activée si l’objet comporte des erreurs, en cas de présence d’un onglet d’erreur de synchronisation.

   

   Si aucun connecteur AADCS n’est présent, l’objet est probablement défini sur cloudFiltered=True. Vous pouvez vérifier si l’objet est filtré dans le cloud en examinant les attributs MV pour lesquels la règle de synchronisation contribue avec la valeur cloudFiltered .

3. Exécuter un aperçu sur un objet AADCS

   Sélectionnez Aperçu>Générer un aperçu>Valider une préversion pour déterminer si l’objet se connecte à AADCS. Si c’est le cas, un cycle de synchronisation complet doit résoudre le problème pour d’autres objets dans la même situation.

4. Exporter l’objet au format XML

   Pour une analyse plus détaillée ou hors connexion, vous pouvez collecter toutes les données de base de données associées à l’objet à l’aide du script Export-ADSyncObject . Ces informations exportées, ainsi que la configuration des règles de synchronisation (sortante), peuvent aider à déterminer quelle règle filtre l’objet et quel filtre d’étendue sortant dans les règles de synchronisation d’approvisionnement empêche l’objet de se connecter à AADCS).

   Voici quelques exemples de syntaxe Export-ADsyncObject :

   • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
   • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
   • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Résumé de la résolution des problèmes pour les objets

• Consultez les filtres d’étendue sur les règles d’approvisionnement de trafic sortant « Out to Microsoft Entra ID ».
• Create un aperçu de l’objet.
• Exécutez un cycle de synchronisation complet.
• Exportez les données de l’objet à l’aide du script Export-ADSyncObject .

Résolution des problèmes de MV vers AADCS pour les attributs

1. Identifier les règles de synchronisation de trafic sortant et les règles de transformation de l’attribut

   Chaque attribut a son propre ensemble de règles de transformation qui sont responsables du flux de la valeur de MV vers AADCS. Commencez par identifier les règles de synchronisation qui contiennent la règle de transformation pour l’attribut que vous résolvez.

   La meilleure façon d’identifier les règles de synchronisation qui ont une règle de transformation pour un attribut donné consiste à utiliser les fonctionnalités de filtrage intégrées de l’Rédacteur règles de synchronisation.

   

2. Vérifier la traçabilité de l’objet ADCS

   Chaque connecteur (ou lien) entre le CS et la MV aura une traçabilité qui contient des informations sur les règles de synchronisation appliquées à cet objet CS. L’étape précédente vous indique quel ensemble de règles de synchronisation de trafic sortant (qu’il s’agisse de règles de synchronisation d’approvisionnement ou de jointure) doit être présent dans la traçabilité de l’objet pour transmettre la valeur correcte de MV à AADCS. En examinant la traçabilité sur l’objet AADCS, vous pouvez déterminer si cette règle de synchronisation a été appliquée à l’objet.

   

3. Vérifier les filtres d’étendue sur la règle de synchronisation sortante

   Si une règle de synchronisation est activée mais qu’elle n’est pas présente dans la traçabilité de l’objet, elle doit être filtrée par le filtre d’étendue de la règle de synchronisation. En vérifiant la présence des filtres d’étendue de la règle de synchronisation et les données sur l’objet MV, et en vérifiant si la règle de synchronisation est activée ou désactivée, vous devez être en mesure de déterminer pourquoi cette règle de synchronisation n’a pas été appliquée à l’objet AADCS.

4. Exécuter une préversion sur un objet AADCS

   Si vous déterminez pourquoi la règle de synchronisation est manquante dans la traçabilité de l’objet ADCS, exécutez une préversion qui utilise Générer l’aperçu et valider l’aperçu pour une synchronisation complète de l’objet. Si l’attribut est mis à jour dans la MV avec un aperçu, un cycle de synchronisation complet doit résoudre le problème pour d’autres objets dans la même situation.

5. Exporter l’objet au format XML

   Pour une analyse plus détaillée ou hors connexion, vous pouvez collecter toutes les données de base de données associées à l’objet à l’aide du script « Export-ADSyncObject ». Ces informations exportées, ainsi que la configuration des règles de synchronisation (sortante), peuvent vous aider à déterminer quelle règle de synchronisation ou règle de transformation est manquante dans l’objet qui empêche l’attribut de circuler vers AADCS (voir les exemples « Export-ADSyncObject » plus haut).

Résumé de la résolution des problèmes pour les attributs

• Identifiez les règles de synchronisation et les règles de transformation appropriées qui sont responsables du flux de l’attribut vers AADCS.
• Vérifiez la traçabilité de l’objet.
• Vérifiez que les règles de synchronisation sont activées.
• Vérifiez les filtres d’étendue des règles de synchronisation manquantes dans la traçabilité de l’objet.

Résoudre les problèmes liés au pipeline de règle de synchronisation

Si vous devez déboguer davantage le moteur ADSync (également appelé MiiServer) en termes de traitement des règles de synchronisation, vous pouvez activer le suivi ETW sur le fichier .config (C :\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Cette méthode génère un fichier texte détaillé complet qui montre tout le traitement des règles de synchronisation. Toutefois, il peut être difficile d’interpréter toutes les informations. Utilisez cette méthode uniquement en dernier recours ou si elle est indiquée par Support Microsoft.

Ressources

• Synchronisation Service Manager interface utilisateur
• Règles de synchronisation Rédacteur
• Export-ADsyncObject script
• Start-ADSyncSyncCycle -PolicyType Initial
• Suivi ETW SyncRulesPipeline (miiserver.exe.config)

Étape 4 : Synchronisation entre AADCS et AzureAD

Objectif de l’étape 4

Cette étape compare l’objet AADCS à l’objet respectif approvisionné dans Microsoft Entra ID.

Description de l’étape 4

Plusieurs composants et processus impliqués dans l’importation et l’exportation de données vers et depuis Microsoft Entra ID peuvent entraîner les problèmes suivants :

• Connectivité à Internet
• Pare-feu internes et connectivité du fournisseur de services Internet (par exemple, le trafic réseau bloqué)
• Passerelle Microsoft Entra devant le service web DirSync (également appelé point de terminaison AdminWebService)
• API de service web DirSync
• Service d’annuaire Microsoft Entra Core

Heureusement, les problèmes qui affectent ces composants génèrent généralement une erreur dans les journaux des événements qui peut être suivie par Support Microsoft. Par conséquent, ces problèmes sont hors de portée pour cet article. Néanmoins, il y a encore quelques questions « silencieuses » qui peuvent être examinées.

Résolution des problèmes liés à AADCS

• Exportation de plusieurs serveurs AADC actifs vers Microsoft Entra ID

  Dans un scénario courant dans lequel les objets dans Microsoft Entra ID retourner les valeurs d’attribut d’avant en arrière, il existe plusieurs serveurs Microsoft Entra Connect actifs, et l’un de ces serveurs perd le contact avec l’AD local, mais est toujours connecté à Internet et peut exporter des données vers Microsoft Entra ID. Par conséquent, chaque fois que ce serveur « obsolète » importe une modification de Microsoft Entra ID sur un objet synchronisé effectué par l’autre serveur actif, le moteur de synchronisation rétablit cette modification en fonction des données AD obsolètes qui se trouve dans le service ADCS. Un symptôme classique dans ce scénario est que vous apportez une modification dans AD synchronisée avec Microsoft Entra ID, mais que la modification revient à la valeur d’origine quelques minutes plus tard (jusqu’à 30 minutes). Pour atténuer rapidement ce problème, revenez à tous les anciens serveurs ou machines virtuelles qui ont été désactivés et case activée si le service ADSync est toujours en cours d’exécution.

• Attribut mobile avec DirSyncOverrides

  Lorsque l’Administration utilise le module PowerShell MSOnline ou AzureAD, ou si l’utilisateur accède au portail Office et met à jour l’attribut Mobile, le numéro de téléphone mis à jour est remplacé dans AzureAD malgré la synchronisation de l’objet à partir d’AD local (également appelé DirSyncEnabled).

  Avec cette mise à jour, Microsoft Entra ID définit également un DirSyncOverrides sur l’objet pour signaler que le numéro de téléphone mobile de cet utilisateur est « remplacé » dans Microsoft Entra ID. À partir de ce stade, toute mise à jour de l’attribut mobile provenant de l’environnement local sera ignorée, car cet attribut ne sera plus géré par AD local.

  Pour plus d’informations sur la fonctionnalité BypassDirSyncOverrides et sur la façon de restaurer la synchronisation des attributs Mobile et autresMobile de Microsoft Entra ID à Active Directory local, consultez Comment utiliser la fonctionnalité BypassDirSyncOverrides d’un locataire Microsoft Entra.

• Les modifications apportées à UserPrincipalName ne sont pas mises à jour dans Microsoft Entra ID

  Si l’attribut UserPrincipalName n’est pas mis à jour dans Microsoft Entra ID, tandis que les autres attributs sont synchronisés comme prévu, il est possible qu’une fonctionnalité nommée SynchronizeUpnForManagedUsers ne soit pas activée sur le locataire. Ce scénario se produit fréquemment.

  Avant l’ajout de cette fonctionnalité, toutes les mises à jour de l’UPN provenant de l’environnement local après l’approvisionnement de l’utilisateur dans Microsoft Entra ID et l’attribution d’une licence étaient ignorées « en mode silencieux ». Un administrateur doit utiliser MSOnline ou Azure AD PowerShell pour mettre à jour l’UPN directement dans Microsoft Entra ID. Une fois cette fonctionnalité mise à jour, toutes les mises à jour apportées à l’UPN sont transmises à Microsoft Entra que l’utilisateur dispose ou non d’une licence (gérée).

  Remarque

  Une fois activée, cette fonctionnalité ne peut pas être désactivée.

  Les mises à jour userPrincipalName fonctionnent si l’utilisateur n’a PAS de licence. Toutefois, sans la fonctionnalité SynchronizeUpnForManagedUsers, UserPrincipalName change une fois que l’utilisateur a été approvisionné et qu’une licence n’est PAS mise à jour dans Microsoft Entra ID. Notez que Microsoft ne désactive pas cette fonctionnalité pour le compte du client.

• Caractères et éléments internes ProxyCalc non valides

  Les problèmes impliquant des caractères non valides qui ne produisent aucune erreur de synchronisation sont plus problématiques dans les attributs UserPrincipalName et ProxyAddresses en raison de l’effet en cascade dans le traitement ProxyCalc qui ignore silencieusement la valeur synchronisée à partir d’AD local. Cette situation se produit comme suit :

  1. Le UserPrincipalName obtenu dans Microsoft Entra ID sera le domaine initial MailNickName ou CommonName @ (at). Par exemple, au lieu de John.Smith@Contoso.com, le UserPrincipalName dans Microsoft Entra ID peut devenir smithj@Contoso.onmicrosoft.com parce qu’il existe un caractère invisible dans la valeur UPN d’AD local.

  2. Si un ProxyAddress contient un caractère d’espace, ProxyCalc l’ignore et génère automatiquement une adresse e-mail basée sur MailNickName au niveau du domaine initial. Par exemple, « SMTP : John.Smith@Contoso.com» n’apparaît pas dans Microsoft Entra ID car il contient un espace après les deux-points.

  3. Un UserPrincipalName qui inclut un caractère d’espace ou un ProxyAddress qui inclut un caractère invisible entraîne le même problème.

     Pour résoudre les problèmes d’un caractère non valide dans UserPrincipalName ou ProxyAddress, examinez la valeur stockée dans l’ad local à partir d’un LDIFDE ou d’un PowerShell exporté vers un fichier. Une astuce simple pour détecter un caractère invisible consiste à copier le contenu du fichier exporté, puis à le coller dans une fenêtre PowerShell. Le caractère invisible est remplacé par un point d’interrogation ( ?), comme illustré dans l’exemple suivant.

     

• Attribut ThumbnailPhoto (KB4518417)

  Il existe une idée fausse générale selon laquelle après avoir synchronisé ThumbnailPhoto à partir d’AD pour la première fois, vous ne pouvez plus la mettre à jour, ce qui n’est que partiellement vrai.

  En règle générale, le ThumbnailPhoto dans Microsoft Entra ID est continuellement mis à jour. Toutefois, un problème se produit si l’image mise à jour n’est plus récupérée à partir de Microsoft Entra ID par la charge de travail ou le partenaire respectif (par exemple, EXO ou SfBO). Ce problème donne l’impression fausse que l’image n’a pas été synchronisée entre ad local et Microsoft Entra ID.

  Étapes de base pour résoudre les problèmes de ThumbnailPhoto

  1. Assurez-vous que l’image est correctement stockée dans AD et qu’elle ne dépasse pas la limite de taille de 100 Ko.

  2. Vérifiez l’image dans le portail des comptes ou utilisez Get-AzureADUserThumbnailPhoto, car ces méthodes lisent le ThumbnailPhoto directement à partir de Microsoft Entra ID.

  3. Si ad (ou AzureAD) thumbnailPhoto a l’image correcte mais n’est pas correcte sur d’autres services en ligne, les conditions suivantes peuvent s’appliquer :

  • La boîte aux lettres de l’utilisateur contient une image HD et n’accepte pas les images basse résolution de Microsoft Entra thumbnailPhoto. La solution consiste à mettre à jour directement l’image de boîte aux lettres de l’utilisateur.
  • L’image de boîte aux lettres de l’utilisateur a été correctement mise à jour, mais vous voyez toujours l’image d’origine. La solution consiste à attendre au moins six heures pour voir l’image mise à jour dans le portail utilisateur Office 365 ou le Portail Azure.

Ressources supplémentaires

• Résolution des erreurs lors de la synchronisation
• Résoudre les problèmes de synchronisation d’objets avec Microsoft Entra Connect Sync
• Résoudre les problèmes d’un objet qui ne se synchronise pas avec Microsoft Entra ID
• Microsoft Entra Connect Single Object Sync

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.