Problemen met on-premises toepassingsinrichting oplossen

  • Artikel

Problemen met de testverbinding oplossen

Nadat u de inrichtingsagent en de ECMA-host (Extensible Verbinding maken ivity) hebt geconfigureerd, is het tijd om de connectiviteit van de Microsoft Entra-inrichtingsservice te testen op de inrichtingsagent, de ECMA-host en de toepassing. Als u deze end-to-end-test wilt uitvoeren, selecteert u De verbinding testen in de toepassing in Azure Portal. Wacht 10 tot 20 minuten nadat u een initiële agent hebt toegewezen of wijzig de agent voordat u de verbinding test. Als de testverbinding na deze tijd mislukt, voert u de volgende stappen voor probleemoplossing uit:

  1. Controleer of de agent en ECMA-host worden uitgevoerd:

    1. Open Services op de server waarop de agent is geïnstalleerd door naar Start>Run>Services.msc te gaan.

    2. Controleer onder Services of de Microsoft Entra Verbinding maken Provisioning Agent en Microsoft ECMA2Host-services aanwezig zijn en de status wordt uitgevoerd.

      Screenshot that shows that the ECMA service is running.

  2. Controleer of de ECMA-Verbinding maken or hostservice reageert op aanvragen.

    1. Start PowerShell op de server waarop de agent is geïnstalleerd.
    2. Ga naar de map waarin de ECMA-host is geïnstalleerd, zoals C:\Program Files\Microsoft ECMA2Host.
    3. Ga naar de submap Troubleshooting.
    4. Voer het script TestECMA2HostConnection.ps1 in die map uit. Geef de naam van de connector en het geheime token op als hierom wordt gevraagd. 
      PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1
Supply values for the following parameters:
ConnectorName: CORPDB1
SecretToken: ************
    5. Met dit script wordt een SCIM GET- of POST-aanvraag verzonden om te controleren of de ECMA-Verbinding maken or Host werkt en reageert op aanvragen. Als de uitvoer niet laat zien dat een HTTP-verbinding is geslaagd, controleert u of de service wordt uitgevoerd en of het juiste geheime token is opgegeven.

  3. Zorg ervoor dat de agent actief is door naar uw toepassing in Azure Portal te gaan, beheerdersconnectiviteit te selecteren, de vervolgkeuzelijst van de agent te selecteren en ervoor te zorgen dat uw agent actief is.

  4. Controleer of het opgegeven geheime token hetzelfde is als het on-premises geheime token. Ga naar on-premises, geef het geheime token opnieuw op en kopieer het vervolgens naar Azure Portal.

  5. Zorg ervoor dat u een of meer agents hebt toegewezen aan de toepassing in Azure Portal.

  6. Nadat u een agent hebt toegewezen, moet u 10 tot 20 minuten wachten totdat de registratie is voltooid. De connectiviteitstest werkt pas als de registratie is voltooid.

  7. Zorg ervoor dat u een geldig certificaat gebruikt dat niet is verlopen. Ga naar het tabblad Instellingen van de ECMA-host om de vervaldatum van het certificaat weer te geven. Als het certificaat is verlopen, klikt u Generate certificate om een nieuw certificaat te genereren.

  8. Start de inrichtingsagent opnieuw door naar de taakbalk op uw VIRTUELE machine te gaan door te zoeken naar de Microsoft Entra Verbinding maken inrichtingsagent. Klik met de rechtermuisknop op Stoppen en selecteer Vervolgens Start.

  9. Als u de ECMA-Verbinding maken or Host en de inrichtingsagent nog steeds opnieuw hebt The ECMA host is currently importing data from the target application opgestart en wacht tot de eerste import is voltooid, moet u mogelijk het inrichten voor de toepassing in Azure Portal annuleren en opnieuw starten.

  10. Wanneer u de tenant-URL in Azure Portal opgeeft, moet u ervoor zorgen dat deze het volgende patroon volgt. U kunt deze vervangen door localhost uw hostnaam, maar dit is niet vereist. Vervang door connectorName de naam van de connector die u hebt opgegeven in de ECMA-host. Het foutbericht 'ongeldige resource' geeft over het algemeen aan dat de URL niet voldoet aan de verwachte indeling.

    https://localhost:8585/ecma2host_connectorName/scim

  11. Navigeer naar de volgende map om de logboeken van de inrichtingsagent te controleren: C:\ProgramData\Microsoft\Azure AD Verbinding maken Inrichtingsagent\Trace

    1. Als u de volgende fout ziet, voegt u het serviceaccount 'NT SERVICE\AAD Verbinding maken ProvisioningAgent' toe aan de lokale groep met de naam 'Performance Log Users'. Dit elimineert de uitzondering 'Kan metrische gegevensverzamelaar niet initialiseren' door het account toegang te geven tot de gewenste registersleutel: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
Unable to initialize metrics collector, exception: 'System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
  1. Zorg er bij het configureren van de ECMA-host voor dat u een certificaat met een onderwerp opgeeft dat overeenkomt met de hostnaam van uw Windows-server. Het certificaat dat door de ECMA-host wordt gegenereerd, doet dit automatisch voor u, maar mag alleen worden gebruikt voor testdoeleinden.
Error code: SystemForCrossDomainIdentityManagementCredentialValidationUnavailable

Details: We received this unexpected response from your application: Received response from Web resource. Resource: https://localhost/Users?filter=PLACEHOLDER+eq+"8646d011-1693-4cd3-9ee6-0d7482ca2219" Operation: GET Response Status Code: InternalServerError Response Headers: Response Content: An error occurred while sending the request. Please check the service and try again.

Kan de ECMA-host niet configureren, logboeken weergeven in Logboeken of de ECMA-hostservice starten

Voer de wizard ECMA-hostconfiguratie uit als beheerder om de volgende problemen op te lossen:

  • Ik krijg een foutmelding wanneer ik de ECMA-hostwizard open.

    Screenshot that shows an ECMA wizard error.

  • Ik kan de ECMA-hostwizard configureren, maar ik zie de ECMA-hostlogboeken niet. In dit geval moet u de wizard ECMA-hostconfiguratie openen als beheerder en een connector end-to-end instellen. Deze stap kan worden vereenvoudigd door een bestaande connector te exporteren en opnieuw te importeren.

    Screenshot that shows host logs.

  • Ik kan de wizard ECMA-host configureren, maar ik kan de ECMA-hostservice niet starten.

    Screenshot that shows the host service.

Uitgebreide logboekregistratie inschakelen

Voor de ECMA-Verbinding maken or Host is standaard switchValue ingesteld op Verbose. Met deze instelling wordt gedetailleerde logboekregistratie verzonden waarmee u problemen kunt oplossen. U kunt de uitgebreidheid Error wijzigen in als u het aantal logboeken dat wordt verzonden, wilt beperken tot alleen fouten. We gebruiken de SQL-connector zonder geïntegreerde Windows-verificatie. We raden u aan de switchValue instelling in te Error stellen, omdat deze ervoor zorgt dat de verbindingsreeks niet wordt verzonden in de logboeken. Als u de uitgebreidheid wilt wijzigen in fout, werkt u de switchValue fout in beide plaatsen bij naar 'Fout', zoals hieronder wordt weergegeven.

De bestandslocatie voor uitgebreide servicelogboekregistratie is C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.

<?xml version="1.0" encoding="utf-8"?> 
<configuration> 
    <startup>  
        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> 
    </startup> 
    <appSettings> 
      <add key="Debug" value="true" /> 
    </appSettings> 
    <system.diagnostics> 
      <sources> 
    <source name="ConnectorsLog" switchValue="Error"> 
          <listeners> 
            <add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack"> 
              <filter type=""/> 
            </add> 
          </listeners> 
        </source> 
        <!-- Choose one of the following switchTrace:  Off, Error, Warning, Information, Verbose --> 
        <source name="ECMA2Host" switchValue="Error"> 
          <listeners>  
            <add initializeData="ECMA2Host" type="System.Diagnos

De bestandslocatie voor wizardlogboekregistratie is C:\Program Files\Microsoft ECMA2Host\Wizard\Microsoft.ECMA2Host.ConfigWizard.exe.config.

      <source name="ConnectorsLog" switchValue="Error"> 
        <listeners> 
          <add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack"> 
            <filter type=""/> 
          </add> 
        </listeners> 
      </source> 
      <!-- Choose one of the following switchTrace:  Off, Error, Warning, Information, Verbose --> 
      <source name="ECMA2Host" switchValue="Error"> 
        <listeners> 
          <add initializeData="ECMA2Host" type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ECMA2HostListener" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack" />

Query's uitvoeren op de ECMA-hostcache

De ECMA-host heeft een cache met gebruikers in uw toepassing die wordt bijgewerkt volgens de planning die u opgeeft op de eigenschappenpagina van de wizard ECMA-host. Voer de onderstaande stappen uit om een query uit te voeren op de cache:

  1. Stel de vlag Voor foutopsporing in op true.

    Houd er rekening mee dat het instellen van de vlag voor foutopsporing om verificatie op de ECMA-host uit te true schakelen. U moet deze opnieuw false instellen op de ECMA Host-service en deze opnieuw starten zodra u klaar bent met het uitvoeren van query's op de cache.

    De bestandslocatie voor uitgebreide servicelogboekregistratie is C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.

    <?xml version="1.0" encoding="utf-8"?>
<configuration>
   <startup>  
       <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> 
   </startup> 
   <appSettings> 
     <add key="Debug" value="true" /> 
   </appSettings>

  2. Start de Microsoft ECMA2Host service opnieuw op.

  3. Wacht totdat de ECMA-host verbinding maakt met de doelsystemen en de cache opnieuw leest vanuit elk van de verbonden systemen. Als er veel gebruikers in deze verbonden systemen zijn, kan dit importproces enkele minuten duren.

  4. Voer een query uit op dit eindpunt vanaf de server waarop de ECMA-host is geïnstalleerd en vervang deze door {connector name} de naam van uw connector, die is opgegeven op de eigenschappenpagina van de ECMA-host: https://localhost:8585/ecma2host_{connectorName}/scim/cache.

    1. Start PowerShell op de server waarop de agent is geïnstalleerd.
    2. Ga naar de map waarin de ECMA-host is geïnstalleerd, zoals C:\Program Files\Microsoft ECMA2Host.
    3. Ga naar de submap Troubleshooting.
    4. Voer het script TestECMA2HostConnection.ps1 in die map uit en geef de naam van de connector en de ObjectTypePath waarde cacheop als argumenten. Wanneer u hierom wordt gevraagd, typt u het geheime token dat is geconfigureerd voor die connector. 
      PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 -ConnectorName CORPDB1 -ObjectTypePath cache
Supply values for the following parameters:
SecretToken: ************
    5. Met dit script wordt een SCIM GET-aanvraag verzonden om te controleren of de ECMA Verbinding maken or Host werkt en reageert op aanvragen. Als de uitvoer niet laat zien dat een HTTP-verbinding is geslaagd, controleert u of de service wordt uitgevoerd en of het juiste geheime token is opgegeven.

  5. Stel de vlag Foutopsporing weer in false of verwijder de instelling zodra u klaar bent met het uitvoeren van query's op de cache.

  6. Start de Microsoft ECMA2Host service opnieuw op.

Doelkenmerk ontbreekt

De inrichtingsservice detecteert automatisch kenmerken in uw doeltoepassing. Als u ziet dat een doelkenmerk ontbreekt in de lijst met doelkenmerken in Azure Portal, voert u de volgende probleemoplossingsstap uit:

  1. Controleer de pagina Kenmerken selecteren van uw ECMA-hostconfiguratie om te controleren of het kenmerk is geselecteerd, zodat het wordt weergegeven in Azure Portal.
  2. Zorg ervoor dat de ECMA-hostservice wordt uitgevoerd.
  3. Nadat u de agent(s) hebt toegewezen aan de bedrijfstoepassing, voltooit u de stap voor de testverbinding en slaat u de beheerdersreferenties op, vernieuwt u de browser. Hiermee dwingt u de inrichtingsservice af om een /schema-aanvraag te maken en de doelkenmerken te detecteren.
  4. Controleer de ECMA-hostlogboeken om te controleren of er een /schemas-aanvraag is ingediend en controleer de kenmerken in het antwoord. Deze informatie is waardevol voor ondersteuning bij het oplossen van het probleem.

Logboeken van Logboeken verzamelen als zip-bestand

U kunt een opgenomen script gebruiken om de gebeurtenislogboeken vast te leggen in een zip-bestand en deze te exporteren.

  1. Klik op de server waarop de agent is geïnstalleerd, met de rechtermuisknop op PowerShell in de Startmenu en selecteer dit.Run as administrator
  2. Ga naar de map waarin de ECMA-host is geïnstalleerd, zoals C:\Program Files\Microsoft ECMA2Host.
  3. Ga naar de submap Troubleshooting.
  4. Voer het script CollectTroubleshootingInfo.ps1 in die map uit.
  5. Het script maakt een ZIP-bestand in die map met de gebeurtenislogboeken.

Gebeurtenissen in Logboeken bekijken

Nadat de ECMA-Verbinding maken or hostschematoewijzing is geconfigureerd, start u de service zodat deze luistert naar binnenkomende verbindingen. Controleer vervolgens op binnenkomende aanvragen.

  1. Selecteer het startmenu, voer logboeken in en selecteer Logboeken.
  2. Vouw in Logboeken logboeken toepassingen en services uit en selecteer Microsoft ECMA2Host-logboeken.
  3. Wanneer wijzigingen worden ontvangen door de connectorhost, worden gebeurtenissen naar het toepassingslogboek geschreven.

Algemene fouten

Error Oplossing
Kan bestand of assembly 'file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\Cache\8b514472-c18a-4641-9a44-732c296534e8\Microsoft.IAM niet laden. Verbinding maken or. GenericSql.dll of een van de bijbehorende afhankelijkheden. Toegang wordt geweigerd. Zorg ervoor dat het netwerkserviceaccount machtigingen voor volledig beheer heeft via de cachemap.
Ongeldige LDAP-stijl van de DN van het object. DN: username@domain.com" of Target Site: ValidByLdapStyle Zorg ervoor dat het selectievakje 'DN is Anker' niet is ingeschakeld op de pagina Connectiviteit van de ECMA-host. Zorg ervoor dat het selectievakje Automatisch gegenereerd is ingeschakeld op de pagina Objecttypen van de ECMA-host. Zie Over ankerkenmerken en DN-namen voor meer informatie.
ExportErrorCustomContinueRun. objectClass: waardenummer ongeldig per syntaxis Zorg ervoor dat de toewijzing van het inrichtingskenmerk aan het objectClass kenmerk alleen namen van objectklassen bevat die worden herkend door de directoryserver.

Inzicht in binnenkomende SCIM-aanvragen

Aanvragen van Microsoft Entra-id voor de inrichtingsagent en connectorhost maken gebruik van het SCIM-protocol. Aanvragen van de host naar apps maken gebruik van het protocol dat de app ondersteunt. De aanvragen van de host naar de agent naar Microsoft Entra-id zijn afhankelijk van SCIM. Meer informatie over de SCIM-implementatie vindt u in de zelfstudie: Inrichting voor een SCIM-eindpunt ontwikkelen en plannen in Microsoft Entra ID.

De Microsoft Entra-inrichtingsservice maakt over het algemeen een get-user-aanroep om in drie situaties te controleren op een dummygebruiker : aan het begin van elke inrichtingscyclus, voordat de inrichting op aanvraag wordt uitgevoerd en wanneer de testverbinding is geselecteerd. Deze controle zorgt ervoor dat het doeleindpunt beschikbaar is en scim-compatibele antwoorden retourneert naar de Microsoft Entra-inrichtingsservice.

Hoe kan ik problemen met de inrichtingsagent oplossen?

Mogelijk ondervindt u de volgende foutscenario's.

Agent kan niet worden gestart

Mogelijk ontvangt u een foutbericht dat aangeeft:

'Service 'Microsoft Entra Verbinding maken Provisioning Agent' kan niet worden gestart. Controleer of u voldoende bevoegdheden hebt om de systeemservices te starten.

Dit probleem wordt meestal veroorzaakt door een groepsbeleid dat verhinderde dat machtigingen worden toegepast op het lokale NT Service-aanmeldingsaccount dat is gemaakt door het installatieprogramma (NT SERVICE\AAD Verbinding maken ProvisioningAgent). Deze machtigingen zijn vereist voor het starten van de service.

U kunt dit probleem als volgt oplossen:

  1. Meld u aan bij de server met een beheerdersaccount.
  2. Open Services door ernaar te navigeren of door naar Run>>Services.msc te starten.
  3. Dubbelklik onder Services op Microsoft Entra Verbinding maken Inrichtingsagent.
  4. Wijzig op het tabblad Aanmeldendit account in een domeinbeheerder en start de service opnieuw.

Met deze test wordt gecontroleerd of uw agents via poort 443 met Azure kunnen communiceren. Open een browser en ga naar de vorige URL vanaf de server waarop de agent is geïnstalleerd.

Time-out van agent of certificaat is ongeldig

Mogelijk wordt het volgende foutbericht weergegeven wanneer u probeert de agent te registreren.

Screenshot that shows that the agent timed out.

Dit probleem wordt meestal veroorzaakt door de agent waardoor geen verbinding kan worden gemaakt met de Hybrid Identity-service, hiervoor moet u een HTTP-proxy configureren. U kunt dit probleem oplossen door een uitgaande proxy te configureren.

De inrichtingsagent ondersteunt het gebruik van een uitgaande proxy. U kunt dit configureren door het configuratiebestand C:\Program Files\Microsoft Azure AD te bewerken Verbinding maken Inrichtingsagent\AAD Verbinding makenProvisioningAgent.exe.config. Voeg de volgende regels toe aan het einde van het bestand vlak voor de afsluitende </configuration> tag. Vervang de variabelen [proxy-server] en [proxy-port] door de naam- en poortwaarden van de proxyserver.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Registratie van agent mislukt met beveiligingsfout

Er wordt mogelijk een foutbericht weergegeven wanneer u de cloudinrichtingsagent installeert.

Dit probleem wordt meestal veroorzaakt doordat de agent de PowerShell-registratiescripts niet kan uitvoeren vanwege lokaal PowerShell-uitvoeringsbeleid.

Om dit probleem op te lossen, wijzig het PowerShell-uitvoeringsbeleid op de server. U moet computer- en gebruikersbeleid instellen als Niet-gedefinieerd of RemoteSigned. Als ze zijn ingesteld als Onbeperkt, wordt deze fout weergegeven. Raadpleeg het PowerShell-uitvoeringsbeleid voor meer informatie.

Logboekbestanden

De agent verzendt standaard minimale foutberichten en stack-traceringsgegevens. U vindt traceringslogboeken in de map C:\ProgramData\Microsoft\Azure AD Verbinding maken Provisioning Agent\Trace.

Voor meer informatie over het oplossen van problemen met agents:

  1. Installeer de AADCloudSyncTools PowerShell-module zoals beschreven in AADCloudSyncTools de PowerShell-module voor Microsoft Entra Verbinding maken cloudsynchronisatie.

  2. Gebruik de Export-AADCloudSyncToolsLogs PowerShell-cmdlet om de informatie vast te leggen. Gebruik de volgende schakelopties om uw gegevensverzameling af te stemmen. Gebruik:

    • SkipVerboseTrace om alleen huidige logboeken te exporteren zonder uitgebreide logboeken vast te leggen (standaard = onwaar).
    • TracingDurationMins om een andere opnameduur op te geven (standaard = 3 minuten).
    • OutputPath om een ander uitvoerpad op te geven (standaard = gebruikersdocumenten).

Met behulp van Microsoft Entra ID kunt u de inrichtingsservice in de cloud bewaken en logboeken on-premises verzamelen. De inrichtingsservice verzendt logboeken voor elke gebruiker die is geëvalueerd als onderdeel van het synchronisatieproces. Deze logboeken kunnen worden gebruikt via de gebruikersinterface, API's en log analytics van Azure Portal. De ECMA-host genereert ook logboeken on-premises. Hier ziet u elke inrichtingsaanvraag die is ontvangen en het antwoord dat naar Microsoft Entra-id is verzonden.

Installatie van agent mislukt

  • De fout System.ComponentModel.Win32Exception: The specified service already exists geeft aan dat de vorige ECMA-host niet is verwijderd. Verwijder de hosttoepassing. Ga naar programmabestanden en verwijder de ECMA-hostmap. Mogelijk wilt u het configuratiebestand opslaan voor back-up.

  • De volgende fout geeft aan dat aan een vereiste niet is voldaan. Zorg ervoor dat .NET 4.7.1 is geïnstalleerd.

      Method Name : <>c__DisplayClass0_1 : 
  RegisterNotLoadedAssemblies Error during load assembly: System.Management.Automation.resources.dll
  --------- Outer Exception Data ---------
  Message: Could not load file or assembly 'file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\System.Management.Automation.resources.dll' or one of its dependencies. The system cannot find the file specified.

Ik krijg een DN-fout met een ongeldige LDAP-stijl bij het configureren van de ECMA-Verbinding maken or Host met SQL

Standaard verwacht de algemene SQL-connector dat de DN wordt ingevuld met behulp van de LDAP-stijl (wanneer het kenmerk 'DN is anker' niet is ingeschakeld op de eerste connectiviteitspagina). In het foutbericht Invalid LDAP style DN of Target Site: ValidByLdapStyleziet u mogelijk dat het DN-veld een UPN (User Principal Name) bevat in plaats van een LDAP-stijl-DN die door de connector wordt verwacht.

U kunt dit foutbericht oplossen door ervoor te zorgen dat Automatisch gegenereerd is geselecteerd op de pagina objecttypen wanneer u de connector configureert.

Zie Over ankerkenmerken en DN-namen voor meer informatie.

Volgende stappen