Risolvere i problemi di provisioning delle applicazioni locali

  • Articolo

Risolvere i problemi di connessione di test

Dopo aver configurato l'agente di provisioning e l'host Extensible Connessione ivity(ECMA), è possibile testare la connettività dal servizio di provisioning Microsoft Entra all'agente di provisioning, all'host ECMA e all'applicazione. Per eseguire questo test end-to-end, selezionare Test connessione nell'applicazione nel portale di Azure. Assicurarsi di attendere da 10 a 20 minuti dopo l'assegnazione di un agente iniziale o la modifica dell'agente prima di testare la connessione. Se dopo questa volta la connessione di test non riesce, provare i passaggi seguenti per la risoluzione dei problemi:

  1. Verificare che l'agente e l'host ECMA siano in esecuzione:

    1. Nel server con l'agente installato aprire Servizi passando a Avvia Run>>Services.msc.

    2. In Servizi verificare che siano presenti i servizi Microsoft Entra Connessione Provisioning Agent e i servizi Microsoft ECMA2Host e il relativo stato sia In esecuzione.

      Screenshot that shows that the ECMA service is running.

  2. Verificare che il servizio host ecma Connessione or risponda alle richieste.

    1. Nel server con l'agente installato avviare PowerShell.
    2. Passare alla cartella in cui è stato installato l'host ECMA, ad esempio C:\Program Files\Microsoft ECMA2Host.
    3. Passare alla sottodirectory Troubleshooting.
    4. Eseguire lo script TestECMA2HostConnection.ps1 in tale directory. Specificare come argomenti il nome del connettore e il token segreto quando richiesto. 
      PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1
Supply values for the following parameters:
ConnectorName: CORPDB1
SecretToken: ************
    5. Questo script invia una richiesta SCIM GET o POST per verificare che l'host Connessione or ECMA funzioni e risponda alle richieste. Se l'output non mostra che una connessione HTTP è riuscita, verificare che il servizio sia in esecuzione e che sia stato fornito il token segreto corretto.

  3. Assicurarsi che l'agente sia attivo passando all'applicazione nel portale di Azure, selezionando connettività amministratore, selezionando l'elenco a discesa dell'agente e assicurandosi che l'agente sia attivo.

  4. Controllare se il token segreto fornito è uguale al token segreto locale. Passare a locale, specificare di nuovo il token segreto e quindi copiarlo nel portale di Azure.

  5. Assicurarsi di aver assegnato uno o più agenti all'applicazione nel portale di Azure.

  6. Dopo aver assegnato un agente, è necessario attendere da 10 a 20 minuti per il completamento della registrazione. Il test di connettività non funzionerà fino al completamento della registrazione.

  7. Assicurarsi di usare un certificato valido che non è scaduto. Passare alla scheda Impostazioni dell'host ECMA per visualizzare la data di scadenza del certificato. Se il certificato è scaduto, fare clic per Generate certificate generare un nuovo certificato.

  8. Riavviare l'agente di provisioning passando alla barra delle applicazioni nella macchina virtuale cercando Microsoft Entra Connessione agente di provisioning. Fare clic con il pulsante destro del mouse su Arresta e quindi scegliere Avvia.

  9. Se si continua a vedere The ECMA host is currently importing data from the target application anche dopo il riavvio dell'host ecma Connessione or e dell'agente di provisioning e dopo il completamento dell'importazione iniziale, potrebbe essere necessario annullare e ricominciare a configurare il provisioning nell'applicazione nel portale di Azure.

  10. Quando si specifica l'URL del tenant nella portale di Azure, assicurarsi che segua il modello seguente. È possibile sostituire localhost con il nome host, ma non è obbligatorio. Sostituire connectorName con il nome del connettore specificato nell'host ECMA. Il messaggio di errore "risorsa non valida" indica in genere che l'URL non segue il formato previsto.

    https://localhost:8585/ecma2host_connectorName/scim

  11. Passare alla cartella seguente per esaminare i log dell'agente di provisoning: C:\ProgramData\Microsoft\Azure AD Connessione Provisioning Agent\Trace

    1. Se viene visualizzato l'errore seguente, aggiungere l'account del servizio "NT edizione Standard RVICE\AAD Connessione ProvisioningAgent" al gruppo locale denominato "Performance Log Users". In questo modo viene eliminato l'errore di eccezione "Impossibile inizializzare l'agente di raccolta metriche" consentendo all'account di accedere alla chiave del Registro di sistema desiderata: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
Unable to initialize metrics collector, exception: 'System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
  1. Quando si configura l'host ECMA, assicurarsi di fornire un certificato con un oggetto corrispondente al nome host del server Windows. Il certificato generato dall'host ECMA eseguirà automaticamente questa operazione, ma deve essere usato solo a scopo di test.
Error code: SystemForCrossDomainIdentityManagementCredentialValidationUnavailable

Details: We received this unexpected response from your application: Received response from Web resource. Resource: https://localhost/Users?filter=PLACEHOLDER+eq+"8646d011-1693-4cd3-9ee6-0d7482ca2219" Operation: GET Response Status Code: InternalServerError Response Headers: Response Content: An error occurred while sending the request. Please check the service and try again.

Impossibile configurare l'host ECMA, visualizzare i log in Visualizzatore eventi o avviare il servizio host ECMA

Per risolvere i problemi seguenti, eseguire la configurazione guidata dell'host ECMA come amministratore:

  • Viene visualizzato un errore quando si apre la procedura guidata host ECMA.

    Screenshot that shows an ECMA wizard error.

  • È possibile configurare la procedura guidata host ECMA, ma non è possibile visualizzare i log dell'host ECMA. In questo caso, è necessario aprire la configurazione guidata dell'host ECMA come amministratore e configurare un connettore end-to-end. Questo passaggio può essere semplificato esportando un connettore esistente e importandolo di nuovo.

    Screenshot that shows host logs.

  • È possibile configurare la procedura guidata host ECMA, ma non è possibile avviare il servizio host ECMA.

    Screenshot that shows the host service.

Attivare la registrazione dettagliata

Per impostazione predefinita, switchValue per ECMA Connessione or Host è impostato su Verbose. Questa impostazione genera una registrazione dettagliata che consente di risolvere i problemi. È possibile modificare il livello di dettaglio in Error se si vuole limitare il numero di log generati solo agli errori. Si usa il connettore SQL senza autenticazione integrata di Windows, è consigliabile impostare su switchValueError perché garantisce che il stringa di connessione non venga generato nei log. Per modificare il livello di dettaglio in caso di errore, aggiornare in entrambe le posizioni l'oggetto switchValue in entrambe le posizioni, come illustrato di seguito.

Il percorso del file per la registrazione dettagliata del servizio è C:\Programmi\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.

<?xml version="1.0" encoding="utf-8"?> 
<configuration> 
    <startup>  
        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> 
    </startup> 
    <appSettings> 
      <add key="Debug" value="true" /> 
    </appSettings> 
    <system.diagnostics> 
      <sources> 
    <source name="ConnectorsLog" switchValue="Error"> 
          <listeners> 
            <add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack"> 
              <filter type=""/> 
            </add> 
          </listeners> 
        </source> 
        <!-- Choose one of the following switchTrace:  Off, Error, Warning, Information, Verbose --> 
        <source name="ECMA2Host" switchValue="Error"> 
          <listeners>  
            <add initializeData="ECMA2Host" type="System.Diagnos

Il percorso del file per la registrazione guidata è C:\Programmi\Microsoft ECMA2Host\Wizard\Microsoft.ECMA2Host.ConfigWizard.exe.config.

      <source name="ConnectorsLog" switchValue="Error"> 
        <listeners> 
          <add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack"> 
            <filter type=""/> 
          </add> 
        </listeners> 
      </source> 
      <!-- Choose one of the following switchTrace:  Off, Error, Warning, Information, Verbose --> 
      <source name="ECMA2Host" switchValue="Error"> 
        <listeners> 
          <add initializeData="ECMA2Host" type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ECMA2HostListener" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack" />

Eseguire una query sulla cache host ECMA

L'host ECMA ha una cache di utenti nell'applicazione che viene aggiornata in base alla pianificazione specificata nella pagina delle proprietà della procedura guidata host ECMA. Per eseguire query sulla cache, seguire questa procedura:

  1. Impostare il flag Debug su true.

    Tenere presente che l'impostazione del flag di debug per true disabilitare l'autenticazione nell'host ECMA. Sarà necessario impostarlo di nuovo false su e riavviare il servizio host ECMA al termine dell'esecuzione di query sulla cache.

    Il percorso del file per la registrazione dettagliata del servizio è C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.

    <?xml version="1.0" encoding="utf-8"?>
<configuration>
   <startup>  
       <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> 
   </startup> 
   <appSettings> 
     <add key="Debug" value="true" /> 
   </appSettings>

  2. Riavviare il servizio Microsoft ECMA2Host .

  3. Attendere che l'host ECMA si connetta ai sistemi di destinazione e rilette la cache da ognuno dei sistemi connessi. Se sono presenti molti utenti in tali sistemi connessi, questo processo di importazione potrebbe richiedere alcuni minuti.

  4. Eseguire una query su questo endpoint dal server in cui è installato l'host ECMA, sostituendo {connector name} con il nome del connettore, specificato nella pagina delle proprietà dell'host ECMA: https://localhost:8585/ecma2host_{connectorName}/scim/cache.

    1. Nel server con l'agente installato avviare PowerShell.
    2. Passare alla cartella in cui è stato installato l'host ECMA, ad esempio C:\Program Files\Microsoft ECMA2Host.
    3. Passare alla sottodirectory Troubleshooting.
    4. Eseguire lo script TestECMA2HostConnection.ps1 in tale directory e specificare come argomenti il nome del connettore e il ObjectTypePath valore cache. Quando richiesto, digitare il token segreto configurato per tale connettore. 
      PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 -ConnectorName CORPDB1 -ObjectTypePath cache
Supply values for the following parameters:
SecretToken: ************
    5. Questo script invia una richiesta SCIM GET per verificare che l'host Connessione or ECMA funzioni e risponda alle richieste. Se l'output non mostra che una connessione HTTP è riuscita, verificare che il servizio sia in esecuzione e che sia stato fornito il token segreto corretto.

  5. Impostare nuovamente il flag debug su false o rimuovere l'impostazione dopo aver eseguito una query sulla cache.

  6. Riavviare il servizio Microsoft ECMA2Host .

Attributo di destinazione mancante

Il servizio di provisioning individua automaticamente gli attributi nell'applicazione di destinazione. Se viene visualizzato che un attributo di destinazione non è presente nell'elenco di attributi di destinazione nel portale di Azure, eseguire il passaggio di risoluzione dei problemi seguente:

  1. Esaminare la pagina Selezione attributi della configurazione host ECMA per verificare che l'attributo sia stato selezionato, in modo che venga esposto al portale di Azure.
  2. Verificare che il servizio host ECMA sia in esecuzione.
  3. Dopo aver assegnato gli agenti all'applicazione aziendale, completare il passaggio di connessione di test e salvare le credenziali di amministratore, aggiornare il browser. In questo modo il servizio di provisioning dovrà effettuare una richiesta /schemas e individuare gli attributi di destinazione.
  4. Esaminare i log dell'host ECMA per verificare che sia stata effettuata una richiesta /schemas ed esaminare gli attributi nella risposta. Queste informazioni saranno utili per il supporto per la risoluzione del problema.

Raccogliere i log da Visualizzatore eventi come file ZIP

È possibile usare uno script incluso per acquisire i log eventi in un file ZIP ed esportarli.

  1. Nel server con l'agente installato fare clic con il pulsante destro del mouse su PowerShell nel menu Start e scegliere .Run as administrator
  2. Passare alla cartella in cui è stato installato l'host ECMA, ad esempio C:\Program Files\Microsoft ECMA2Host.
  3. Passare alla sottodirectory Troubleshooting.
  4. Eseguire lo script CollectTroubleshootingInfo.ps1 in tale directory.
  5. Lo script creerà un file ZIP in tale directory contenente i log eventi.

Esaminare gli eventi in Visualizzatore eventi

Dopo aver configurato il mapping dello schema host Connessione or ECMA, avviare il servizio in modo che sia in ascolto delle connessioni in ingresso. Monitorare quindi le richieste in ingresso.

  1. Selezionare il menu Start, immettere il visualizzatore eventi e selezionare Visualizzatore eventi.
  2. In Visualizzatore eventi espandere Registri applicazioni e servizi e selezionare Microsoft ECMA2Host Logs (Log ECMA2Host Microsoft).
  3. Man mano che le modifiche vengono ricevute dall'host del connettore, gli eventi verranno scritti nel log applicazioni.

Errori comuni

Error Risoluzione
Impossibile caricare il file o l'assembly 'file:///C:\Programmi\Microsoft ECMA2Host\Service\ECMA\Cache\8b514472-c18a-4641-9a44-732c296534e8\Microsoft.IAM. Connessione or. GenericSql.dll o una delle relative dipendenze. Accesso negato. Assicurarsi che l'account del servizio di rete disponga delle autorizzazioni "controllo completo" sulla cartella della cache.
Stile LDAP non valido del DN dell'oggetto. DN: username@domain.com" o Target Site: ValidByLdapStyle Verificare che la casella di controllo "DN is Anchor" non sia selezionata nella pagina "connectivity" dell'host ECMA. Verificare che la casella di controllo "autogenerated" sia selezionata nella pagina "object types" dell'host ECMA. Per altre informazioni, vedere Informazioni sugli attributi di ancoraggio e sui nomi distinti.
ExportErrorCustomContinueRun. objectClass: valore numero non valido per sintassi Assicurarsi che il mapping dell'attributo di provisioning all'attributo objectClass includa solo i nomi delle classi oggetto riconosciute dal server di directory.

Informazioni sulle richieste SCIM in ingresso

Le richieste effettuate da Microsoft Entra ID all'agente di provisioning e all'host connettore usano il protocollo SCIM. Le richieste effettuate dall'host alle app usano il protocollo supportato dall'app. Le richieste dall'host all'agente a Microsoft Entra ID si basano su SCIM. Per altre informazioni sull'implementazione SCIM, vedere Esercitazione: Sviluppare e pianificare il provisioning per un endpoint SCIM in Microsoft Entra ID.

Il servizio di provisioning Di Microsoft Entra esegue in genere una chiamata get-user per verificare la presenza di un utente fittizio in tre situazioni: all'inizio di ogni ciclo di provisioning, prima di eseguire il provisioning su richiesta e quando viene selezionata la connessione di test. Questo controllo garantisce che l'endpoint di destinazione sia disponibile e restituisca risposte conformi a SCIM al servizio di provisioning Microsoft Entra.

Ricerca per categorie risolvere i problemi dell'agente di provisioning?

È possibile che si verifichino gli scenari di errore seguenti.

Impossibile avviare l'agente

È possibile che venga visualizzato un messaggio di errore che indica:

"L'avvio del servizio 'Microsoft Entra Connessione Provisioning Agent' non è riuscito. Verificare di disporre di privilegi sufficienti per avviare i servizi di sistema".

Questo problema è in genere causato da criteri di gruppo che hanno impedito l'applicazione delle autorizzazioni all'account di accesso del servizio NT locale creato dal programma di installazione (NT edizione Standard RVICE\AAD Connessione ProvisioningAgent). Queste autorizzazioni sono necessarie per avviare il servizio.

Per risolvere questo problema:

  1. Accedere al server con un account amministratore.
  2. Aprire Servizi passando all'opzione relativa oppure selezionando Start>Esegui>Services.msc.
  3. In Servizi fare doppio clic su Microsoft Entra Connessione Provisioning Agent.
  4. Nella scheda Accesso modificare Questo account in un amministratore di dominio. Riavviare quindi il servizio.

Questo test verifica che gli agenti possano comunicare con Azure sulla porta 443. Aprire un browser e passare all'URL precedente dal server in cui è installato l'agente.

Timeout dell'agente o certificato non valido

È possibile che venga visualizzato il messaggio di errore seguente quando si tenta di registrare l'agente.

Screenshot that shows that the agent timed out.

Questo problema in genere è dovuto al fatto che l'agente non riesce a connettersi al servizio di gestione delle identità ibride e richiede la configurazione di un proxy HTTP. Per risolvere il problema, configurare un proxy in uscita.

L'agente di provisioning supporta l'uso di un proxy in uscita. È possibile configurarlo modificando il file di configurazione dell'agente C:\Programmi\Microsoft Azure AD Connessione Provisioning Agent\AAD ConnessioneProvisioningAgent.exe.config. Aggiungere le righe seguenti, verso la fine del file subito prima del tag di chiusura</configuration>. Sostituire le variabili [proxy-server] e [proxy-port] con i valori di porta e nome del server proxy.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

La registrazione dell'agente non riesce e viene visualizzato un errore di sicurezza

È possibile che venga visualizzato un messaggio di errore quando si installa l'agente di provisioning cloud.

Questo problema è in genere causato dall'impossibilità dell'agente di eseguire gli script di registrazione di PowerShell a causa dei criteri di esecuzione di PowerShell locali.

Per risolvere questo problema, modificare i criteri di esecuzione di PowerShell nel server. È necessario che i criteri computer e utente siano impostati su Undefined o RemoteSigned. Se sono impostati come Senza restrizioni, verrà visualizzato questo errore. Per altre informazioni, vedere Criteri di esecuzione di PowerShell.

File di registro

Per impostazione predefinita, l'agente genera un numero ridotto di messaggi di errore e informazioni minime di analisi dello stack. È possibile trovare i log di traccia nella cartella C:\ProgramData\Microsoft\Azure AD Connessione Provisioning Agent\Trace.

Per raccogliere altre informazioni per la risoluzione dei problemi correlati all'agente:

  1. Installare il AADCloudSyncTools modulo PowerShell come descritto nel AADCloudSyncTools modulo PowerShell per microsoft Entra Connessione sincronizzazione cloud.

  2. Usare il Export-AADCloudSyncToolsLogs cmdlet di PowerShell per acquisire le informazioni. Usare le opzioni seguenti per ottimizzare la raccolta dati. Usa:

    • SkipVerboseTrace per esportare solo i log correnti senza acquisire log dettagliati (impostazione predefinita = false).
    • TracingDurationMins per specificare una durata di acquisizione diversa (impostazione predefinita = 3 minuti).
    • OutputPath per specificare un percorso di output diverso (impostazione predefinita = documenti dell'utente).

Usando Microsoft Entra ID, è possibile monitorare il servizio di provisioning nel cloud e raccogliere i log in locale. Il servizio di provisioning genera i log per ogni utente valutato come parte del processo di sincronizzazione. Questi log possono essere usati tramite l'interfaccia utente, le API e l'analisi dei log di portale di Azure. L'host ECMA genera anche i log in locale. Mostra ogni richiesta di provisioning ricevuta e la risposta inviata all'ID Microsoft Entra.

L'installazione dell'agente non riesce

  • L'errore System.ComponentModel.Win32Exception: The specified service already exists indica che l'host ECMA precedente non è stato disinstallato correttamente. Disinstallare l'applicazione host. Passare ai file di programma e rimuovere la cartella host ECMA. È possibile archiviare il file di configurazione per il backup.

  • L'errore seguente indica che non è stato soddisfatto un prerequisito. Assicurarsi di avere installato .NET 4.7.1.

      Method Name : <>c__DisplayClass0_1 : 
  RegisterNotLoadedAssemblies Error during load assembly: System.Management.Automation.resources.dll
  --------- Outer Exception Data ---------
  Message: Could not load file or assembly 'file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\System.Management.Automation.resources.dll' or one of its dependencies. The system cannot find the file specified.

Viene visualizzato un errore DN di stile LDAP non valido quando si tenta di configurare l'host Connessione or ECMA con SQL

Per impostazione predefinita, il connettore SQL generico prevede che il DN venga popolato usando lo stile LDAP (quando l'attributo "DN è ancoraggio" viene lasciato deselezionato nella prima pagina di connettività). Nel messaggio Invalid LDAP style DN di errore o Target Site: ValidByLdapStylesi noterà che il campo DN contiene un nome dell'entità utente (UPN) anziché un DN di stile LDAP previsto dal connettore.

Per risolvere questo messaggio di errore, assicurarsi che la generazione automatica sia selezionata nella pagina tipi di oggetto quando si configura il connettore.

Per altre informazioni, vedere Informazioni sugli attributi di ancoraggio e sui nomi distinti.

Passaggi successivi