Helyszíni alkalmazás kiépítésének hibaelhárítása
A tesztelési kapcsolat hibáinak elhárítása
Miután konfigurálta a kiépítési ügynököt és az Extensible Csatlakozás ivity (ECMA) gazdagépet, ideje tesztelni a Microsoft Entra kiépítési szolgáltatásból a kiépítési ügynökhöz, az ECMA-gazdagéphez és az alkalmazáshoz való kapcsolódást. A teljes körű teszt végrehajtásához válassza a Kapcsolat tesztelése lehetőséget az alkalmazásban az Azure Portalon. A kapcsolat tesztelése előtt mindenképpen várjon 10–20 percet a kezdeti ügynök hozzárendelése vagy az ügynök módosítása után. Ha ez után a tesztkapcsolat meghiúsul, próbálkozzon a következő hibaelhárítási lépésekkel:
Ellenőrizze, hogy az ügynök és az ECMA-gazdagép fut-e:
A telepített ügynökkel rendelkező kiszolgálón nyissa meg a Szolgáltatásokat a Run Services.msc elindításával>>.
A Szolgáltatások területen győződjön meg arról, hogy a Microsoft Entra Csatlakozás Kiépítési ügynök és a Microsoft ECMA2Host szolgáltatások jelen vannak, és az állapotuk fut.
Ellenőrizze, hogy az ECMA Csatlakozás or Gazdagép szolgáltatás válaszol-e a kérésekre.
- A kiszolgálón, amelyen telepítve van az ügynök, indítsa el a PowerShellt.
- Váltson arra a mappára, amelyben az ECMA-gazdagép telepítve volt, például
C:\Program Files\Microsoft ECMA2Host
. - Váltson az alkönyvtárra
Troubleshooting
. - Futtassa a szkriptet
TestECMA2HostConnection.ps1
abban a könyvtárban. Adja meg argumentumként az összekötő nevét és a titkos jogkivonatot, amikor a rendszer kéri.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 Supply values for the following parameters: ConnectorName: CORPDB1 SecretToken: ************
- Ez a szkript SCIM GET vagy POST kérést küld annak ellenőrzésére, hogy az ECMA Csatlakozás or gazdagép működik-e, és válaszol-e a kérésekre. Ha a kimenet nem mutatja, hogy egy HTTP-kapcsolat sikeres volt, ellenőrizze, hogy a szolgáltatás fut-e, és hogy a megfelelő titkos jogkivonat lett-e megadva.
Győződjön meg arról, hogy az ügynök aktív. Ehhez lépjen az alkalmazásba az Azure Portalon, válassza ki a rendszergazdai kapcsolatot, válassza ki az ügynök legördülő listáját, és győződjön meg arról, hogy az ügynök aktív.
Ellenőrizze, hogy a megadott titkos jogkivonat megegyezik-e a helyszíni titkos jogkivonattal. Nyissa meg a helyszínt, adja meg újra a titkos jogkivonatot, majd másolja az Azure Portalra.
Győződjön meg arról, hogy hozzárendelt egy vagy több ügynököt az alkalmazáshoz az Azure Portalon.
Miután hozzárendelt egy ügynököt, 10–20 percet kell várnia, amíg a regisztráció befejeződik. A kapcsolati teszt csak a regisztráció befejezéséig működik.
Győződjön meg arról, hogy olyan érvényes tanúsítványt használ, amely még nem járt le. Nyissa meg az ECMA-gazdagép Gépház lapját a tanúsítvány lejárati dátumának megtekintéséhez. Ha a tanúsítvány lejárt, kattintson ide
Generate certificate
egy új tanúsítvány létrehozásához.Indítsa újra a kiépítési ügynököt a virtuális gép tálcáján a Microsoft Entra Csatlakozás kiépítési ügynök keresésével. Kattintson a jobb gombbal a Leállítás gombra, majd válassza a Start parancsot.
Ha az ECMA Csatlakozás or gazdagép és a kiépítési ügynök újraindítása után is látható
The ECMA host is currently importing data from the target application
, és a kezdeti importálás befejezésére vár, előfordulhat, hogy le kell mondania, és újra kell kezdenie az alkalmazás üzembe helyezésének konfigurálását az Azure Portalon.Ha megadja a bérlő URL-címét az Azure Portalon, győződjön meg arról, hogy az a következő mintát követi. Lecserélheti
localhost
a gazdagép nevét, de nem szükséges. Cserélje leconnectorName
az ECMA-gazdagépen megadott összekötő nevére. Az "érvénytelen erőforrás" hibaüzenet általában azt jelzi, hogy az URL-cím nem a várt formátumot követi.https://localhost:8585/ecma2host_connectorName/scim
A figyelőügynök naplóinak áttekintéséhez lépjen a következő mappába: C:\ProgramData\Microsoft\Azure AD Csatlakozás Provisioning Agent\Trace
- Ha a következő hibaüzenet jelenik meg, adja hozzá az "NT Standard kiadás RVICE\AAD Csatlakozás ProvisioningAgent" szolgáltatásfiókot a "Teljesítménynapló-felhasználók" nevű helyi csoporthoz. Ez kiküszöböli a "Metrikák gyűjtőjének inicializálása" kivételhibát azáltal, hogy engedélyezi a fiók számára a kívánt beállításkulcs elérését: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
Unable to initialize metrics collector, exception: 'System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
- Az ECMA-gazdagép konfigurálásakor győződjön meg arról, hogy olyan tanúsítványt ad meg, amely megfelel a Windows Server gazdagépnevének. Az ECMA-gazdagép által létrehozott tanúsítvány automatikusan elvégzi ezt Az Ön számára, de csak tesztelési célokra használható.
Error code: SystemForCrossDomainIdentityManagementCredentialValidationUnavailable
Details: We received this unexpected response from your application: Received response from Web resource. Resource: https://localhost/Users?filter=PLACEHOLDER+eq+"8646d011-1693-4cd3-9ee6-0d7482ca2219" Operation: GET Response Status Code: InternalServerError Response Headers: Response Content: An error occurred while sending the request. Please check the service and try again.
Nem lehet konfigurálni az ECMA-gazdagépet, megtekinteni a naplókat a Eseménynapló, vagy elindítani az ECMA-gazdagép szolgáltatást
A következő problémák megoldásához futtassa rendszergazdaként az ECMA-gazdagép konfigurációs varázslóját:
Hibaüzenet jelenik meg az ECMA-gazdagép varázsló megnyitásakor.
Konfigurálhatom az ECMA-gazdagép varázslót, de nem látom az ECMA-gazdagépnaplókat. Ebben az esetben rendszergazdaként meg kell nyitnia az ECMA-gazdagép konfigurációs varázslóját, és be kell állítania egy összekötőt. Ez a lépés egy meglévő összekötő exportálásával és újbóli importálásával egyszerűsíthető.
Konfigurálhatom az ECMA-gazdagép varázslót, de nem tudom elindítani az ECMA-gazdagépszolgáltatást.
Részletes naplózás bekapcsolása
Az ECMA Csatlakozás or gazdagép alapértelmezés szerint switchValue
a következőre Verbose
van állítva: . Ez a beállítás részletes naplózást bocsát ki, amely segít a problémák elhárításában. Ha csak a hibákra szeretné korlátozni a kibocsátott naplók számát, módosíthatja a részletességet Error
. Ha az SQL-összekötőt Windows integrált hitelesítés nélkül használja, javasoljuk, hogy Error
állítsa be a switchValue
beállítást, mert így biztosítható, hogy a kapcsolati sztring ne legyen kibocsátva a naplókban. A részletesség hibaként való módosításához frissítse a switchValue
"Hiba" értékre mindkét helyen az alább látható módon.
A részletes szolgáltatásnaplózás fájlhelye a C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<startup>
<supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />
</startup>
<appSettings>
<add key="Debug" value="true" />
</appSettings>
<system.diagnostics>
<sources>
<source name="ConnectorsLog" switchValue="Error">
<listeners>
<add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack">
<filter type=""/>
</add>
</listeners>
</source>
<!-- Choose one of the following switchTrace: Off, Error, Warning, Information, Verbose -->
<source name="ECMA2Host" switchValue="Error">
<listeners>
<add initializeData="ECMA2Host" type="System.Diagnos
A varázslónaplózás fájlhelye a C:\Program Files\Microsoft ECMA2Host\Wizard\Microsoft.ECMA2Host.ConfigWizard.exe.config.
<source name="ConnectorsLog" switchValue="Error">
<listeners>
<add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack">
<filter type=""/>
</add>
</listeners>
</source>
<!-- Choose one of the following switchTrace: Off, Error, Warning, Information, Verbose -->
<source name="ECMA2Host" switchValue="Error">
<listeners>
<add initializeData="ECMA2Host" type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ECMA2HostListener" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack" />
Az ECMA-gazdagép gyorsítótárának lekérdezése
Az ECMA-gazdagép gyorsítótára tartalmazza az alkalmazás felhasználóinak gyorsítótárát, amely az ECMA-gazdagép varázsló tulajdonságok lapján megadott ütemezésnek megfelelően frissül. A gyorsítótár lekérdezéséhez hajtsa végre az alábbi lépéseket:
A Hibakeresés jelző beállítása a következőre
true
: .Vegye figyelembe, hogy a hibakeresési jelző
true
beállítása letiltja a hitelesítést az ECMA-gazdagépen. A gyorsítótár lekérdezése után visszafalse
kell állítania és újra kell indítania az ECMA-gazdagép szolgáltatást.A részletes szolgáltatásnaplózás fájlhelye a következő
C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config
: .<?xml version="1.0" encoding="utf-8"?> <configuration> <startup> <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> </startup> <appSettings> <add key="Debug" value="true" /> </appSettings>
Indítsa újra a
Microsoft ECMA2Host
szolgáltatást.Várja meg, amíg az ECMA-gazdagép csatlakozik a célrendszerekhez, és újraolvassa a gyorsítótárat az egyes csatlakoztatott rendszerekről. Ha sok felhasználó van ezekben a csatlakoztatott rendszerekben, ez az importálási folyamat több percet is igénybe vehet.
Kérdezze le ezt a végpontot attól a kiszolgálótól, amelyre az ECMA-gazdagép telepítve van, és cserélje le
{connector name}
az összekötő nevét az ECMA-gazdagép tulajdonságok lapján megadott névre:https://localhost:8585/ecma2host_{connectorName}/scim/cache
.- A kiszolgálón, amelyen telepítve van az ügynök, indítsa el a PowerShellt.
- Váltson arra a mappára, amelyben az ECMA-gazdagép telepítve volt, például
C:\Program Files\Microsoft ECMA2Host
. - Váltson az alkönyvtárra
Troubleshooting
. - Futtassa a szkriptet
TestECMA2HostConnection.ps1
a könyvtárban, és adja meg argumentumként az összekötő nevét és értékétObjectTypePath
cache
. Amikor a rendszer kéri, írja be az összekötőhöz konfigurált titkos jogkivonatot.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 -ConnectorName CORPDB1 -ObjectTypePath cache Supply values for the following parameters: SecretToken: ************
- Ez a szkript SCIM GET kérést küld annak ellenőrzésére, hogy az ECMA Csatlakozás or gazdagép működik-e, és válaszol-e a kérésekre. Ha a kimenet nem mutatja, hogy egy HTTP-kapcsolat sikeres volt, ellenőrizze, hogy a szolgáltatás fut-e, és hogy a megfelelő titkos jogkivonat lett-e megadva.
Ha végzett a gyorsítótár lekérdezésével, állítsa vissza
false
vagy távolítsa el a hibakeresési jelzőt.Indítsa újra a
Microsoft ECMA2Host
szolgáltatást.
A célattribútum hiányzik
A kiépítési szolgáltatás automatikusan felderíti a célalkalmazás attribútumait. Ha azt látja, hogy hiányzik egy célattribútum az Azure Portal célattribútumlistájából, hajtsa végre a következő hibaelhárítási lépést:
- Az ECMA-gazdagép konfigurációjának Attribútumok kiválasztása lapján ellenőrizheti, hogy az attribútum ki van-e jelölve, hogy az elérhető legyen az Azure Portalon.
- Győződjön meg arról, hogy az ECMA-gazdagép szolgáltatás fut.
- Miután hozzárendelte az ügynök(ek)et a vállalati alkalmazáshoz, elvégezte a tesztelési kapcsolati lépést, és mentette a rendszergazdai hitelesítő adatokat, frissítse a böngészőt. Ez arra kényszeríti a kiépítési szolgáltatást, hogy /schemas kérelmet küldjön, és felderítse a célattribútumokat.
- Tekintse át az ECMA gazdagépnaplóit, és ellenőrizze, hogy történt-e /sémakérés, és tekintse át a válaszban szereplő attribútumokat. Ezek az információk hasznosak lesznek a probléma megoldásához.
Naplók gyűjtése Eseménynapló zip-fájlként
Egy beépített szkripttel rögzítheti az eseménynaplókat egy zip-fájlban, és exportálhatja őket.
- A telepített ügynökkel rendelkező kiszolgálón kattintson a jobb gombbal a PowerShellre a Start menüben, és válassza a kívánt lehetőséget
Run as administrator
. - Váltson arra a mappára, amelyben az ECMA-gazdagép telepítve volt, például
C:\Program Files\Microsoft ECMA2Host
. - Váltson az alkönyvtárra
Troubleshooting
. - Futtassa a szkriptet
CollectTroubleshootingInfo.ps1
abban a könyvtárban. - A szkript létrehoz egy ZIP-fájlt abban a könyvtárban, amely tartalmazza az eseménynaplókat.
Események áttekintése a Eseménynapló
Miután konfigurálta az ECMA Csatlakozás or gazdagépséma-leképezést, indítsa el a szolgáltatást, hogy figyelje a bejövő kapcsolatokat. Ezután figyelje a bejövő kéréseket.
- Válassza a Start menüt, írja be az eseménynaplót, és válassza a Eseménynapló lehetőséget.
- A Eseménynapló bontsa ki az Alkalmazások és szolgáltatások naplóit, és válassza a Microsoft ECMA2Host-naplók lehetőséget.
- Ahogy az összekötő-gazdagép fogadja a módosításokat, az események az alkalmazásnaplóba lesznek írva.
Gyakori hibák
Hiba | Resolution (Osztás) |
---|---|
Nem sikerült betölteni a következő fájlt vagy szerelvényt: "file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\Cache\8b514472-c18a-4641-9a44-732c296534e8\Microsoft.IAM. Csatlakozás or. GenericSql.dll" vagy annak egyik függősége. Hozzáférés megtagadva. | Győződjön meg arról, hogy a hálózati szolgáltatásfiók "teljes hozzáférésű" engedélyekkel rendelkezik a gyorsítótár mappája felett. |
Érvénytelen LDAP-stílus az objektum DN-jének. DN: username@domain.com" vagy Target Site: ValidByLdapStyle |
Győződjön meg arról, hogy a "DN is Anchor" jelölőnégyzet nincs bejelölve az ECMA-gazdagép "kapcsolat" lapján. Győződjön meg arról, hogy az "automatikusan létrehozott" jelölőnégyzet be van jelölve az ECMA-gazdagép "objektumtípusok" lapján. További információ: A horgonyattribútumok és a megkülönböztető nevek. |
ExportErrorCustomContinueRun. objectClass: az érték szám szintaxisonként érvénytelen | Győződjön meg arról, hogy az attribútumhoz objectClass tartozó kiépítési attribútum csak a címtárkiszolgáló által felismert objektumosztályok nevét tartalmazza. |
Bejövő SCIM-kérelmek ismertetése
A Microsoft Entra ID által a kiépítési ügynökhöz és az összekötő gazdagéphez küldött kérések az SCIM protokollt használják. A gazdagéptől az alkalmazásokhoz küldött kérések az alkalmazás által támogatott protokollt használják. A gazdagéptől az ügynöknek a Microsoft Entra-azonosítóhoz küldött kérések az SCIM-en alapulnak. Az SCIM implementációjáról a Következő oktatóanyagban tudhat meg többet: SCIM-végpont kiépítése és megtervezése a Microsoft Entra ID-ban.
A Microsoft Entra kiépítési szolgáltatás általában egy get-user hívással ellenőrzi a próbafelhasználókat három esetben: az egyes kiépítési ciklusok elején, az igény szerinti kiépítés végrehajtása előtt és a tesztkapcsolat kiválasztásakor. Ez az ellenőrzés biztosítja, hogy a célvégpont elérhető legyen, és SCIM-kompatibilis válaszokat ad vissza a Microsoft Entra kiépítési szolgáltatásnak.
Hogyan elhárítja a kiépítési ügynököt?
A következő hibaforgatókönyvek jelenhetnek meg.
Az ügynök indítása nem sikerült
A következő hibaüzenet jelenhet meg:
"A "Microsoft Entra Csatlakozás Kiépítési ügynök" szolgáltatás nem indult el. Ellenőrizze, hogy rendelkezik-e a rendszerszolgáltatások indításához szükséges jogosultságokkal."
Ezt a problémát általában egy olyan csoportházirend okozza, amely megakadályozta az engedélyek alkalmazását a telepítő által létrehozott helyi NT Service bejelentkezési fiókra (NT Standard kiadás RVICE\AAD Csatlakozás ProvisioningAgent). Ezek az engedélyek szükségesek a szolgáltatás elindításához.
A probléma megoldása:
- Jelentkezzen be a kiszolgálóra rendszergazdai fiókkal.
- Nyissa meg a szolgáltatásokat az arra való navigálással vagy a Run Services.msc elindításával>>.
- A Szolgáltatások területen kattintson duplán a Microsoft Entra Csatlakozás kiépítési ügynökre.
- A Bejelentkezés lapon módosítsa ezt a fiókot tartományadminisztrátorra. Ezután indítsa újra a szolgáltatást.
Ez a teszt ellenőrzi, hogy az ügynökök képesek-e kommunikálni az Azure-ral a 443-as porton keresztül. Nyisson meg egy böngészőt, és lépjen az ügynököt futtató kiszolgáló előző URL-címére.
Az ügynök időtúllépése vagy a tanúsítvány érvénytelen
Az ügynök regisztrálásakor a következő hibaüzenet jelenhet meg.
Ezt a problémát általában az okozza, hogy az ügynök nem tud csatlakozni a hibrid identitásszolgáltatáshoz, és konfigurálnia kell egy HTTP-proxyt. A probléma megoldásához konfiguráljon egy kimenő proxyt.
A kiépítési ügynök támogatja a kimenő proxy használatát. Konfigurálhatja a C:\Program Files\Microsoft Azure AD Csatlakozás Provisioning Agent\AAD CsatlakozásProvisioningAgent.exe.config ügynökkonfigurációs fájl szerkesztésével. Adja hozzá a következő sorokat a fájl vége felé, a záró </configuration>
címke előtt.
Cserélje le a változókat [proxy-server]
és [proxy-port]
a proxykiszolgáló nevét és portértékeit.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Az ügynökregisztráció biztonsági hibával meghiúsul
A felhőkiépítési ügynök telepítésekor hibaüzenet jelenhet meg.
Ezt a problémát általában az okozza, hogy az ügynök helyi PowerShell-végrehajtási szabályzatok miatt nem tudja végrehajtani a PowerShell-regisztrációs szkripteket.
A probléma megoldásához módosítsa a PowerShell végrehajtási szabályzatát a kiszolgálón. A gépi és felhasználói házirendeket nem definiált vagy RemoteSigned értékre kell állítania. Ha korlátlanként vannak beállítva, ez a hiba jelenik meg. További információ: PowerShell végrehajtási szabályzatok.
Naplófájlok
Alapértelmezés szerint az ügynök minimális hibaüzeneteket és hívásláncadatokat bocsát ki. A nyomkövetési naplókat a C:\ProgramData\Microsoft\Azure AD Csatlakozás Provisioning Agent\Trace mappában találja.
További információ az ügynökkel kapcsolatos problémák elhárításáról:
Telepítse a PowerShell-modult a
AADCloudSyncTools
Microsoft Entra Csatlakozás felhőszinkronizáláshoz készült PowerShell-modulbanAADCloudSyncTools
leírtak szerint.Az információk rögzítéséhez használja a
Export-AADCloudSyncToolsLogs
PowerShell-parancsmagot. Az alábbi kapcsolókkal finomhangolhatja az adatgyűjtést. Használat:- SkipVerboseTrace : csak az aktuális naplók exportálása részletes naplók rögzítése nélkül (alapértelmezett = hamis).
- A TracingDurationMins egy másik rögzítési időtartam megadásához (alapértelmezett = 3 perc).
- Az OutputPath egy másik kimeneti elérési út megadásához (alapértelmezett = felhasználó dokumentumai).
A Microsoft Entra ID használatával monitorozhatja a kiépítési szolgáltatást a felhőben, és helyszíni naplókat gyűjthet. A kiépítési szolgáltatás naplókat bocsát ki a szinkronizálási folyamat részeként kiértékelt összes felhasználóhoz. Ezek a naplók az Azure Portal felhasználói felületén, API-ján és naplóelemzésén keresztül használhatók. Az ECMA-gazdagép helyszíni naplókat is létrehoz. Megjeleníti az egyes fogadott kiépítési kéréseket és a Microsoft Entra ID-nak küldött választ.
Az ügynök telepítése sikertelen
A hiba
System.ComponentModel.Win32Exception: The specified service already exists
azt jelzi, hogy az előző ECMA-gazdagépet nem sikerült eltávolítani. Távolítsa el a gazdaalkalmazást. Nyissa meg a programfájlokat, és távolítsa el az ECMA-gazdagépmappát. Érdemes lehet a konfigurációs fájlt biztonsági mentésre tárolni.Az alábbi hiba azt jelzi, hogy az előfeltétel nem teljesült. Győződjön meg arról, hogy telepítve van a .NET 4.7.1.
Method Name : <>c__DisplayClass0_1 : RegisterNotLoadedAssemblies Error during load assembly: System.Management.Automation.resources.dll --------- Outer Exception Data --------- Message: Could not load file or assembly 'file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\System.Management.Automation.resources.dll' or one of its dependencies. The system cannot find the file specified.
Érvénytelen LDAP-stílusú DN-hiba jelenik meg az ECMA Csatlakozás or-gazdagép SQL-sel való konfigurálásakor
Alapértelmezés szerint az általános SQL-összekötő elvárja, hogy a DN az LDAP-stílussal legyen feltöltve (ha a "DN horgony" attribútum nincs bejelölve az első kapcsolati lapon). A hibaüzenetben Invalid LDAP style DN
vagy Target Site: ValidByLdapStyle
az összekötő által várt LDAP-stílusú DN helyett láthatja, hogy a DN-mező egy egyszerű felhasználónevet (UPN) tartalmaz.
A hibaüzenet megoldásához győződjön meg arról, hogy az összekötő konfigurálásakor az automatikusan generált elem ki van jelölve az objektumtípusok lapon.
További információ: A horgonyattribútumok és a megkülönböztető nevek.