Risolvere gli errori di sincronizzazione

  • 10 minuti

Gli errori possono verificarsi quando i dati di identità vengono sincronizzati da Windows Server Active Directory (AD DS) a Microsoft Entra ID. Questa sezione fornisce una panoramica dei diversi tipi di errore di sincronizzazione e illustra alcuni dei possibili scenari che generano tali errori e i possibili modi per correggerli. La sezione include i tipi di errore più comuni e potrebbe non coprire tutti i casi possibili.

Insieme all'ultima versione di Microsoft Entra Connect, nel portale di Azure è disponibile un report sugli errori di sincronizzazione come parte di Microsoft Entra Connect Health per la sincronizzazione.

Microsoft Entra Connect esegue tre tipi di operazioni dalle directory che mantiene sincronizzate: Importazione, sincronizzazione ed esportazione. Gli errori possono verificarsi durante tutte le operazioni. Questa sezione si concentra prevalentemente sugli errori che si verificano durante l'esportazione in Microsoft Entra ID.

Errori durante l'esportazione in Microsoft Entra ID

La sezione seguente descrive le differenti tipologie di errori di sincronizzazione che possono verificarsi durante l'esportazione in Microsoft Entra ID usando il connettore di Microsoft Entra. Questo connettore può essere identificato dal formato del nome, ovvero contoso.onmicrosoft.com. Gli errori durante l'esportazione in Microsoft Entra ID indicano che l'operazione (aggiunta, aggiornamento, eliminazione e così via) tentata da Microsoft Entra Connect (motore di sincronizzazione) nella directory Microsoft Entra non è stata completata.

Screenshot of the Export Errors Overview page in Microsoft Entra Connect.

Errori di mancata corrispondenza dei dati

InvalidSoftMatch

Descrizione

  • Quando il motore di sincronizzazione di Microsoft Entra Connect invia alla directory il comando di aggiungere o aggiornare gli oggetti, Microsoft Entra ID associa l'oggetto in ingresso usando l'attributo sourceAnchor all'attributo immutableId degli oggetti presenti in Microsoft Entra ID. Tale corrispondenza viene detta corrispondenza rigida.
  • Quando Microsoft Entra ID non trova alcun oggetto che corrisponde all'attributo immutableId con l'attributo sourceAnchor dell'oggetto in ingresso, prima di effettuare il provisioning di un nuovo oggetto, viene eseguito il fallback per usare gli attributi ProxyAddresses e UserPrincipalName per trovare una corrispondenza. Tale corrispondenza viene detta corrispondenza flessibile. Soft Match è progettato per associare gli oggetti già presenti in Microsoft Entra ID ai nuovi oggetti aggiunti/aggiornati durante la sincronizzazione, che rappresentano la stessa entità (utenti, gruppi) in locale.
  • L'errore InvalidSoftMatch si verifica quando la corrispondenza rigida non trova oggetti corrispondenti E la corrispondenza flessibile trova un oggetto corrispondente, che però ha un differente valore dell'attributo immutableId rispetto all'attributo SourceAnchor dell'oggetto in ingresso, indicando che l'oggetto corrispondente è stato sincronizzato con un altro oggetto dall'Active Directory locale.

In altre parole, affinché la corrispondenza flessibile funzioni, l'oggetto con cui stabilire una corrispondenza di questo tipo non deve avere alcun valore per l'attributo immutableId. Se la corrispondenza rigida di un qualsiasi oggetto con l'attributo immutableId impostato con un valore non riesce, ma tale oggetto soddisfa i criteri della corrispondenza flessibile, l'operazione restituirà come risultato un errore di sincronizzazione di tipo InvalidSoftMatch.

Lo schema della directory di Microsoft Entra non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti. l'elenco è incompleto.

  • ProxyAddresses
  • UserPrincipalName
  • onPremisesSecurityIdentifier
  • ObjectId

La funzionalità di Resilienza dell'attributo duplicato di Microsoft Entra viene implementata anche come comportamento predefinito di Microsoft Entra ID. In questo modo si ridurrà il numero di errori di sincronizzazione rilevati da Microsoft Entra Connect (nonché da altri client di sincronizzazione) rendendo Microsoft Entra ID più resiliente nel modo in cui gestisce gli attributi duplicati ProxyAddresses e UserPrincipalName presenti negli ambienti AD locali. Questa funzionalità non risolve gli errori di duplicazione, pertanto c'è ancora bisogno di correggere i dati. Tuttavia ciò consente il provisioning di nuovi oggetti che altrimenti non vengono sottoposti a provisioning a causa di valori duplicati in Microsoft Entra ID. Ciò riduce anche il numero di errori di sincronizzazione restituito al client di sincronizzazione. Se questa funzionalità è abilitata per il tenant, non si verificheranno gli errori di sincronizzazione InvalidSoftMatch rilevati durante il provisioning di nuovi oggetti.

Scenari di esempio per InvalidSoftMatch

  • Nell'Active Directory locale sono presenti due o più oggetti con lo stesso valore dell'attributo ProxyAddresses. Ne viene effettuato il provisioning solo in Microsoft Entra ID.
  • Nell'istanza locale di Active Directory sono presenti due o più oggetti con lo stesso valore dell'attributo userPrincipalName. Ne viene effettuato il provisioning solo in Microsoft Entra ID.
  • È stato aggiunto un oggetto in Active Directory locale con lo stesso valore dell'attributo ProxyAddresses di quello di un oggetto esistente nella directory Microsoft Entra. Il provisioning dell'oggetto aggiunto in locale non viene eseguito nella directory di Microsoft Entra.
  • È stato aggiunto un oggetto in Active Directory locale con lo stesso valore dell'attributo userPrincipalName di quello di un account in Microsoft Entra ID. Il provisioning dell'oggetto non viene eseguito in Microsoft Entra ID.
  • Un account sincronizzato è stato spostato dalla foresta A alla foresta B. Microsoft Entra Connect (motore di sincronizzazione) usava l'attributo ObjectGUID per calcolare SourceAnchor. Dopo lo spostamento della foresta, il valore dell'attributo SourceAnchor è differente. Il nuovo oggetto (dalla foresta B) non riesce a eseguire la sincronizzazione con l'oggetto esistente in Microsoft Entra ID.
  • Un oggetto sincronizzato è stato eliminato accidentalmente da Active Directory locale e un nuovo oggetto è stato creato per la stessa entità (ad esempio l'utente) senza eliminare l'account in Microsoft Entra ID. Il nuovo account non viene sincronizzato con l'oggetto Microsoft Entra esistente.
  • Microsoft Entra Connect è stato disinstallato e reinstallato. Durante la reinstallazione, come attributo SourceAnchor è stato scelto un attributo differente. La sincronizzazione di tutti gli oggetti già sincronizzati in precedenza è stata interrotta restituendo l'errore InvalidSoftMatch.

Caso di esempio:

  1. Luca Udinesi è un utente sincronizzato in Microsoft Entra ID da Active Directory locale di contoso.com

  2. Il parametro UserPrincipalName di Bob Smith viene configurato come bobs@contoso.com.

  3. "abcdefghijklmnopqrstuv==" è il SourceAnchor calcolato da Microsoft Entra Connect usando objectGUID di Luca Udinesi da Active Directory locale, ovvero immutableId per Luca Udinesi in Microsoft Entra ID.

  4. Bob dispone anche dei seguenti valori per l'attributo proxyAddresses:

    • SMTP: bobs@contoso.com
    • SMTP: bob.smith@contoso.com
    • smtp: bob@contoso.com

  5. Un nuovo utente, Bob Taylor, viene aggiunto all'Active Directory locale.

  6. Il parametro UserPrincipalName di Bob Taylor viene configurato come bobt@contoso.com.

  7. "abcdefghijkl0123456789=="" è il sourceAnchor calcolato da Microsoft Entra Connect usando objectGUID di Diego Conticini da Active Directory locale. L'oggetto di Diego Conticini NON è ancora sincronizzato con Microsoft Entra ID.

  8. Bob Taylor dispone dei valori seguenti per l'attributo proxyAddresses

    • SMTP: bobt@contoso.com
    • SMTP: bob.taylor@contoso.com
    • smtp: bob@contoso.com

  9. Durante la sincronizzazione, Microsoft Entra Connect riconoscerà l'aggiunta di Diego Conticini in Active Directory locale e chiederà a Microsoft Entra ID di apportare la stessa modifica.

  10. Microsoft Entra ID eseguirà prima la corrispondenza diretta. ossia eseguirà la ricerca per vedere se esiste un qualsiasi oggetto con l'attributo immutableId uguale a "abcdefghijkl0123456789==". La corrispondenza diretta avrà esito negativo poiché nessun altro oggetto in Microsoft Entra ID avrà quell'attributo immutableId.

  11. Microsoft Entra ID tenterà quindi di trovare una corrispondenza flessibile con Diego Conticini. ossia, eseguirà la ricerca per vedere se esiste un qualsiasi oggetto con l'attributo proxyAddresses uguale ai tre valori, compreso l'SMTP: bob@contoso.com

  12. Microsoft Entra ID troverà l'oggetto di Luca Udinesi in modo che corrisponda ai criteri di corrispondenza flessibile. Tuttavia, il valore dell'attributo immutableId per questo oggetto è "abcdefghijklmnopqrstuv==", il quale indica che l'oggetto è stato sincronizzato da un altro oggetto presente nell'Active Directory locale. Pertanto, Microsoft Entra ID non può corrispondere in modo flessibile a questi oggetti e genera un errore di sincronizzazione InvalidSoftMatch.

Come correggere l'errore InvalidSoftMatch

La causa più comune dell'errore InvalidSoftMatch è che due oggetti con attributi SourceAnchor (immutableId) differenti hanno lo stesso valore per gli attributi ProxyAddresses e/o UserPrincipalName, i quali vengono usati durante il processo di corrispondenza flessibile in Microsoft Entra ID. Per risolvere l'errore di corrispondenza flessibile non valida

  1. Identificare il valore duplicato degli attributi proxyAddresses, userPrincipalName o un altro valore di attributo che ha causato l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
  2. Identificare l'oggetto che deve continuare ad avere il valore duplicato e quello che deve essere modificato.
  3. Rimuovere il valore duplicato dall'oggetto che NON deve avere tale valore. È necessario apportare la modifica nella directory in cui l'oggetto è originato. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.
  4. Se è stata apportata la modifica in AD locale, consentire a Microsoft Entra Connect di sincronizzare la modifica.

Le segnalazioni degli errori di sincronizzazione all'interno di Microsoft Entra Connect Health per la sincronizzazione vengono aggiornate ogni 30 minuti e includono gli errori del tentativo di sincronizzazione più recente.

Nota

L'attributo immutableId, per definizione, non deve cambiare nel corso della durata dell'oggetto. Se Microsoft Entra Connect non è stato configurato con alcuni degli scenari descritti nell'elenco precedente, è possibile che si verifichi una situazione in cui Microsoft Entra Connect calcola un valore diverso di SourceAnchor per l'oggetto AD che rappresenta la stessa entità (stesso utente/gruppo/contatto e così via) con un oggetto Microsoft Entra esistente che si desidera continuare a usare.

ObjectTypeMismatch

Descrizione

Quando Microsoft Entra ID cerca di creare una corrispondenza flessibile tra due oggetti, è possibile che due oggetti di tipo diverso (ad esempio, utente, gruppo, contatto e così via) abbiano gli stessi valori per gli attributi usati per la corrispondenza flessibile. Poiché la duplicazione di questi attributi non è consentita in Microsoft Entra, l'operazione può causare un errore di sincronizzazione "ObjectTypeMismatch".

Scenari di esempio per l'errore ObjectTypeMismatch

  • In Microsoft 365 viene creato un gruppo di sicurezza abilitato alla posta elettronica. L'amministratore aggiunge un nuovo utente o contatto in Active Directory locale (non ancora sincronizzato con Microsoft Entra ID) con lo stesso valore per l'attributo ProxyAddresses del gruppo di Microsoft 365.

Caso di esempio

  1. L'amministratore crea un nuovo gruppo di sicurezza abilitato alla posta elettronica in Microsoft 365 per il reparto addetto alle imposte e mette a disposizione un indirizzo di posta elettronica come tax@contoso.com. A questo gruppo è assegnato il valore dell'attributo ProxyAddresses di smtp: tax@contoso.com
  2. Un nuovo utente entra in Contoso.com, per il quale viene creato un account locale con l'attributo proxyAddress come SMTP: tax@contoso.com
  3. Quando Microsoft Entra Connect sincronizza il nuovo account utente, viene visualizzato l'errore "ObjectTypeMismatch".

Come correggere l'errore ObjectTypeMismatch

La causa più comune dell'errore ObjectTypeMismatch è che due oggetti di tipo differente (utente, gruppo, contatto e così via) hanno lo stesso valore per l'attributo ProxyAddresses. Per correggere l'errore ObjectTypeMismatch:

  1. Identificare il valore duplicato dell'attributo proxyAddresses (o su un altro attributo) che ha causato l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
  2. Identificare l'oggetto che deve continuare ad avere il valore duplicato e quello che deve essere modificato.
  3. Rimuovere il valore duplicato dall'oggetto che NON deve avere tale valore. È necessario apportare la modifica nella directory in cui l'oggetto è originato. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.
  4. Se è stata apportata la modifica in AD locale, consentire a Microsoft Entra Connect di sincronizzare la modifica. La segnalazione degli errori di sincronizzazione all'interno di Microsoft Entra Connect Health per la sincronizzazione vengono aggiornate ogni 30 minuti e includono gli errori del tentativo di sincronizzazione più recente.

Attributi duplicati

AttributeValueMustBeUnique

Descrizione

Lo schema di Microsoft Entra non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti. Ovvero, ogni oggetto in Microsoft Entra ID è forzato ad avere un valore univoco di questi attributi in una determinata istanza.

  • ProxyAddresses
  • UserPrincipalName

Se Microsoft Entra Connect tenta di aggiungere un nuovo oggetto o di aggiornare un oggetto esistente con un valore per gli attributi precedenti già assegnati a un altro oggetto in Microsoft Entra ID, l'operazione genera l'errore di sincronizzazione "AttributeValueMustBeUnique".

Scenari possibili:

Il valore duplicato viene assegnato a un oggetto già sincronizzato, che entra in conflitto con un altro oggetto sincronizzato.

Caso di esempio:

  1. Luca Udinesi è un utente sincronizzato in Microsoft Entra ID da Active Directory locale di contoso.com

  2. Il parametro UserPrincipalName di Bob Smith in locale è configurato come bobs@contoso.com.

  3. Bob dispone anche dei seguenti valori per l'attributo proxyAddresses:

    • SMTP: bobs@contoso.com
    • SMTP: bob.smith@contoso.com
    • smtp: bob@contoso.com

  4. Un nuovo utente, Bob Taylor, viene aggiunto all'Active Directory locale.

  5. Il parametro UserPrincipalName di Bob Taylor viene configurato come bobt@contoso.com.

  6. Bob Taylor dispone dei valori seguenti per l'attributo ProxyAddresses i. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com

  7. L'oggetto di Diego Conticini viene sincronizzato correttamente con Microsoft Entra ID.

  8. L'amministratore ha deciso di aggiornare l'attributo ProxyAddresses di Bob Taylor con il seguente valore: i. smtp: bob@contoso.com

  9. Microsoft Entra ID tenterà di aggiornare l'oggetto di Diego Conticini in Microsoft Entra ID con il valore precedente, ma tale operazione avrà esito negativo perché il valore ProxyAddresses è già assegnato a Luca Udinesi, causando l'errore "AttributeValueMustBeUnique".

Come correggere l'errore AttributeValueMustBeUnique

La causa più comune dell'errore AttributeValueMustBeUnique è che due oggetti con attributi SourceAnchor (immutableId) differenti hanno lo stesso valore per gli attributi ProxyAddresses e/o UserPrincipalName. Per correggere l'errore AttributeValueMustBeUnique

  1. Identificare il valore duplicato degli attributi proxyAddresses, userPrincipalName o un altro valore di attributo che ha causato l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
  2. Identificare l'oggetto che deve continuare ad avere il valore duplicato e quello che deve essere modificato.
  3. Rimuovere il valore duplicato dall'oggetto che NON deve avere tale valore. È necessario apportare la modifica nella directory in cui l'oggetto è originato. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.
  4. Se è stata apportata la modifica in AD locale, consentire a Microsoft Entra Connect di sincronizzare la modifica per correggere l'errore.

Errori di convalida dei dati

IdentityDataValidationFailed

Descrizione

Microsoft Entra ID applica varie restrizioni sui dati prima di consentire la scrittura dei dati nella directory. al fine di garantire agli utenti finali di beneficiare delle migliori esperienze mentre usano le applicazioni che dipendono da questi dati.

Scenari

Il valore dell'attributo UserPrincipalName contiene caratteri non validi o non supportati. b. L'attributo UserPrincipalName non è conforme al formato richiesto.

Come correggere l'errore IdentityDataValidationFailed

Assicurarsi che l'attributo userPrincipalName contenga caratteri supportati e rispetti il formato richiesto.

FederatedDomainChangeError

Descrizione

Questo è un caso che restituisce un errore di sincronizzazione "FederatedDomainChangeError" quando il suffisso dell'attributo UserPrincipalName di un utente viene modificato da un dominio federato a un altro dominio federato.

Scenari

Per un utente sincronizzato, il suffisso dell'attributo UserPrincipalName è stato modificato da un dominio federato a un altro dominio federato locale. Ad esempio, UserPrincipalName = bob@contoso.com è stato modificato in UserPrincipalName = bob@fabrikam.com.

Esempio

  1. Bob Smith, un account di Contoso.com, viene aggiunto come nuovo utente in Active Directory con l'attributo UserPrincipalName bob@contoso.com
  2. Bob passa a una divisione diversa di Contoso.com denominata Fabrikam.com e i relativi UserPrincipalName vengono modificati in bob@fabrikam.com
  3. Entrambi i domini contoso.com e fabrikam.com sono domini federati con Microsoft Entra ID.
  4. L'attributo userPrincipalName di Bob non viene aggiornato e si verifica l'errore di sincronizzazione "FederatedDomainChangeError".

LargeObject

Descrizione

Quando un attributo supera il limite di dimensioni, il limite di lunghezza o il limite di conteggio consentito impostato dallo schema di Microsoft Entra, l'operazione di sincronizzazione genera l'errore di sincronizzazione LargeObject o ExceededAllowedLength. In genere questo errore si verifica per gli attributi seguenti:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Scenari possibili

  1. L'attributo userCertificate di Bob contiene troppi certificati assegnati a Bob, tra i quali possono esserci certificati scaduti o meno recenti. Il limite rigido consente 15 certificati.
  2. L'attributo userSMIMECertificate di Bob contiene troppi certificati assegnati a Bob, tra i quali possono esserci certificati scaduti o meno recenti. Il limite rigido consente 15 certificati.
  3. Il set thumbnailPhoto di Luca in Active Directory è troppo grande da sincronizzare in Microsoft Entra ID.
  4. Durante il popolamento automatico dell'attributo ProxyAddresses in Active Directory a un oggetto sono stati assegnati troppi elementi ProxyAddresses.

Procedura di correzione

Verificare che l'attributo che ha causato l'errore non superi il limite consentito.

Conflitto tra ruoli di amministratore

Descrizione

Un conflitto tra ruoli di amministratore esistenti si verifica per un oggetto utente durante la sincronizzazione quando tale oggetto ha:

  • autorizzazioni amministrative e
  • lo stesso UserPrincipalName di un oggetto Microsoft Entra esistente

Microsoft Entra Connect non può stabilire una corrispondenza flessibile di un oggetto utente da un'istanza locale di AD con un oggetto utente in Microsoft Entra ID a cui è assegnato un ruolo amministrativo.

Screenshot of the Microsoft Entra Connect screen with the Existing Admin field selected.

Procedura di correzione

Per risolvere il problema, eseguire questi passaggi:

  1. Rimuovere l'account Microsoft Entra (proprietario) da tutti i ruoli di amministratore.
  2. Eliminare definitivamente l'oggetto in quarantena nel cloud.
  3. Il ciclo di sincronizzazione successivo si occuperà della corrispondenza flessibile dell'utente locale con l'account cloud, poiché l'utente cloud non è più un amministratore globale.
  4. Ripristinare le appartenenze ai ruoli per il proprietario.

Nota

È possibile assegnare nuovamente il ruolo amministrativo all'oggetto utente esistente dopo aver stabilito la corrispondenza flessibile tra l'oggetto utente locale e quello di Microsoft Entra.