Diagnose and remediate duplicated attribute sync errors (Synchronisatiefouten door dubbel kenmerk analyseren en herstellen)

  • Artikel

Overzicht

Als u een stap verder gaat om synchronisatiefouten te markeren, introduceert Microsoft Entra Verbinding maken Health selfserviceherstel. Er worden dubbele synchronisatiefouten met kenmerken opgelost en objecten opgelost die zijn zwevend van Microsoft Entra-id. De diagnosefunctie heeft deze voordelen:

  • Het biedt een diagnostische procedure waarmee dubbele synchronisatiefouten van kenmerken worden beperkt. En het biedt specifieke oplossingen.
  • Er wordt een oplossing toegepast voor toegewezen scenario's van Microsoft Entra ID om de fout in één stap op te lossen.
  • Er is geen upgrade of configuratie vereist om deze functie in te schakelen. Zie Identiteitssynchronisatie en dubbele kenmerktolerantie voor meer informatie over Microsoft Entra-id.

Problemen

Een veelvoorkomend scenario

Wanneer quarantinedAttributeValueMustBeUnique - en AttributeValueMustBeUnique-synchronisatiefouten optreden, is het gebruikelijk om een conflict met userPrincipalName of proxyadressen in Microsoft Entra-id te zien. U kunt de synchronisatiefouten oplossen door het conflicterende bronobject van de on-premises zijde bij te werken. De synchronisatiefout wordt opgelost na de volgende synchronisatie. Deze afbeelding geeft bijvoorbeeld aan dat twee gebruikers een conflict hebben met hun UserPrincipalName. Beide zijn Joe.J@contoso.com. De conflicterende objecten worden in quarantaine geplaatst in Microsoft Entra-id.

Diagnose sync error common scenario

Zwevend objectscenario

Soms kan het zijn dat een bestaande gebruiker het bronanker verliest. Het verwijderen van het bronobject is in on-premises Active Directory gebeurd. Maar de wijziging van het verwijderingssignaal is nooit gesynchroniseerd met Microsoft Entra-id. Dit verlies treedt op om redenen zoals problemen met de synchronisatie-engine of domeinmigratie. Wanneer hetzelfde object wordt hersteld of opnieuw wordt gemaakt, moet een bestaande gebruiker de gebruiker zijn die moet synchroniseren vanuit het bronanker.

Wanneer een bestaande gebruiker een alleen-cloudobject is, kunt u ook de conflicterende gebruiker zien die is gesynchroniseerd met Microsoft Entra-id. De gebruiker kan niet worden gesynchroniseerd met het bestaande object. Er is geen directe manier om het bronanker opnieuw toe te kennen. Meer informatie over de bestaande knowledge base.

Als voorbeeld behoudt het bestaande object in Microsoft Entra ID de licentie van Joe. Een nieuw gesynchroniseerd object met een ander bronanker treedt op in een gedupliceerde kenmerkstatus in Microsoft Entra-id. Wijzigingen voor Joe in on-premises Active Directory worden niet toegepast op de oorspronkelijke gebruiker (bestaand object) van Joe in Microsoft Entra ID.

Diagnose sync error orphaned object scenario

Stappen voor diagnose en probleemoplossing in Verbinding maken Status

De diagnosefunctie ondersteunt gebruikersobjecten met de volgende dubbele kenmerken:

Naam van kenmerk Synchronisatiefouttypen
UserPrincipalName QuarantinedAttributeValueMustBeUnique of AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique of AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

Belangrijk

Voor toegang tot deze functie is de machtiging Global Beheer istrator of inzendermachtiging van Azure RBAC vereist.

Volg de stappen in het Microsoft Entra-beheercentrum om de details van de synchronisatiefout te beperken en specifiekere oplossingen te bieden:

Sync error diagnosis steps

Voer vanuit het Microsoft Entra-beheercentrum enkele stappen uit om specifieke herstelbare scenario's te identificeren:

  1. Controleer de kolom Diagnosestatus . De status geeft aan of er een mogelijke manier is om een synchronisatiefout rechtstreeks vanuit Microsoft Entra-id op te lossen. Met andere woorden, er bestaat een stroom voor probleemoplossing die de foutcase kan beperken en deze mogelijk kan oplossen.
-Status Wat betekent dit?
Niet gestart U hebt dit diagnoseproces niet bezocht. Afhankelijk van het diagnostische resultaat is er een mogelijke manier om de synchronisatiefout rechtstreeks vanuit de portal op te lossen.
Handmatige oplossing vereist De fout voldoet niet aan de criteria van beschikbare fixes vanuit de portal. Conflicterende objecttypen zijn geen gebruikers of u hebt de diagnostische stappen al doorlopen en er is geen oplossing beschikbaar via de portal. In het laatste geval is een oplossing aan de on-premises kant nog steeds een van de oplossingen. Lees meer over on-premises oplossingen.
Synchronisatie in behandeling Er is een fix toegepast. De portal wacht op de volgende synchronisatiecyclus om de fout te wissen.

Belangrijk

De kolom diagnostische status wordt na elke synchronisatiecyclus opnieuw ingesteld.

  1. Selecteer de knop Diagnose onder de foutdetails. U beantwoordt een paar vragen en identificeert de details van de synchronisatiefout. Antwoorden op de vragen helpen bij het identificeren van een zwevende objectcase.

  2. Als aan het einde van de diagnostische gegevens een knop Sluiten wordt weergegeven, is er geen snelle oplossing beschikbaar vanuit de portal op basis van uw antwoorden. Raadpleeg de oplossing die in de laatste stap wordt weergegeven. Oplossingen van on-premises zijn nog steeds de oplossingen. Selecteer de knop Sluiten . De status van de huidige synchronisatiefout schakelt over naar Handmatige oplossing vereist. De status blijft tijdens de huidige synchronisatiecyclus.

  3. Nadat een zwevende objectcase is geïdentificeerd, kunt u de synchronisatiefouten met dubbele kenmerken rechtstreeks vanuit de portal oplossen. Als u het proces wilt activeren, selecteert u de knop Fix toepassen. De status van de huidige synchronisatiefoutupdates voor synchronisatie in behandeling.

  4. Na de volgende synchronisatiecyclus moet de fout uit de lijst worden verwijderd.

De diagnosevragen beantwoorden

Bestaat de gebruiker in uw on-premises Active Directory?

Met deze vraag wordt geprobeerd het bronobject van de bestaande gebruiker te identificeren vanuit on-premises Active Directory.

  1. Controleer of Microsoft Entra ID een object heeft met de opgegeven UserPrincipalName. Zo niet, antwoord nee.
  2. Als dit het geval is, controleert u of het object nog steeds binnen het bereik voor synchronisatie valt.
    • Zoek in de Microsoft Entra-connectorruimte met behulp van de DN.
    • Als het object in behandeling is gevonden in de status Toevoegen in behandeling, antwoordt u Nee. Microsoft Entra Verbinding maken kan het object niet verbinden met het juiste Microsoft Entra-object.
    • Als het object niet wordt gevonden, antwoordt u ja.

In deze voorbeelden wordt geprobeerd te bepalen of Joe Jackson nog steeds bestaat in on-premises Active Directory. Voor het algemene scenario zijn zowel gebruikers Joe Johnson als Joe Jackson aanwezig in on-premises Active Directory. De in quarantaine geplaatste objecten zijn twee verschillende gebruikers.

Diagnose sync error common scenario

Voor het zwevende objectscenario is alleen de enkele gebruiker Joe Johnson aanwezig in on-premises Active Directory:

Diagnose sync error orphaned object does user exist scenario

Behoren beide accounts tot dezelfde gebruiker?

Deze vraag controleert een binnenkomende conflicterende gebruiker en het bestaande gebruikersobject in Microsoft Entra ID om te zien of ze bij dezelfde gebruiker horen.

  1. Het conflicterende object wordt onlangs gesynchroniseerd met Microsoft Entra-id. Vergelijk de kenmerken van de objecten:
    • Weergavenaam
    • UserPrincipalName of SignInName
    • ObjectID
  2. Als de Microsoft Entra-id deze niet kan vergelijken, controleert u of Active Directory objecten bevat met de opgegeven UserPrincipalNames. Antwoord Nee als u beide vindt.

In het volgende voorbeeld behoren de twee objecten tot dezelfde gebruiker Joe Johnson.

Diagnose sync error orphaned object same user scenario

Wat gebeurt er nadat de fix is toegepast in het zwevende objectscenario

Op basis van de antwoorden op de voorgaande vragen ziet u de knop Fix toepassen wanneer er een oplossing beschikbaar is via Microsoft Entra-id. In dit geval wordt het on-premises object gesynchroniseerd met een onverwacht Microsoft Entra-object. De twee objecten worden toegewezen met behulp van het bronanker. De wijziging Fix toepassen voert deze of vergelijkbare stappen uit:

  1. Hiermee wordt het bronanker bijgewerkt naar het juiste object in Microsoft Entra-id.
  2. Hiermee verwijdert u het conflicterende object in Microsoft Entra ID als het aanwezig is.

Diagnose sync error after the fix

Belangrijk

De wijziging Fix toepassen is alleen van toepassing op zwevende objectcases.

Na de voorgaande stappen heeft de gebruiker toegang tot de oorspronkelijke resource. Dit is een koppeling naar een bestaand object. De statuswaarde Diagnose in de lijstweergave wordt bijgewerkt naar In behandeling zijnde synchronisatie. De synchronisatiefout wordt opgelost na de volgende synchronisatie. Verbinding maken Status geeft de opgeloste synchronisatiefout niet meer weer in de lijstweergave.

Fouten en foutberichten

Gebruiker met conflicterend kenmerk wordt voorlopig verwijderd in de Microsoft Entra-id. Zorg ervoor dat de gebruiker hard is verwijderd voordat u het opnieuw probeert.
De gebruiker met een conflicterend kenmerk in Microsoft Entra ID moet worden opgeschoond voordat u een oplossing kunt toepassen. Lees hoe u de gebruiker permanent verwijdert in Microsoft Entra ID voordat u de oplossing opnieuw probeert uit te voeren. De gebruiker wordt ook na 30 dagen automatisch definitief verwijderd met de status Voorlopig verwijderd.

Het bijwerken van bronanker naar een cloudgebruiker in uw tenant wordt niet ondersteund.
Cloudgebruiker in Microsoft Entra ID mag geen bronanker hebben. Het bronanker bijwerken wordt in dit geval niet ondersteund. Handmatige oplossing is vereist van on-premises.

Het fixproces kan de waarden niet bijwerken. De specifieke instellingen zoals UserWriteback in Microsoft Entra Verbinding maken worden niet ondersteund. Schakel de instellingen uit.

Veelgestelde vragen

Vraag: Wat gebeurt er als de uitvoering van de fix toepassen mislukt?
A. Als de uitvoering mislukt, is het mogelijk dat Microsoft Entra Verbinding maken een exportfout uitvoert. Vernieuw de portalpagina en probeer het opnieuw na de volgende synchronisatie. De standaardsynchronisatiecyclus is 30 minuten.

Vraag: Wat gebeurt er als het bestaande object het object moet zijn dat moet worden verwijderd?
A. Als het bestaande object moet worden verwijderd, omvat het proces geen wijziging van Bronanker. Normaal gesproken kunt u dit oplossen vanuit on-premises Active Directory.

Vraag: Welke machtiging heeft een gebruiker nodig om de fix toe te passen?
A.Globale Beheer istrator of Inzender van Azure RBAC heeft machtigingen voor toegang tot het diagnostische en probleemoplossingsproces.

Vraag: Moet ik Microsoft Entra Verbinding maken configureren of de Microsoft Entra Verbinding maken Health-agent voor deze functie bijwerken?
A. Nee, het diagnoseproces is een volledige cloudfunctie.

Vraag: Als het bestaande object voorlopig wordt verwijderd, maakt het diagnoseproces het object weer actief?
A. Nee, de fix werkt geen objectkenmerken bij, behalve Bronanker.