Problemen met een object oplossen dat niet wordt gesynchroniseerd met Microsoft Entra-id

  • Artikel

Als een object niet wordt gesynchroniseerd zoals verwacht met Microsoft Entra ID, kan dit om verschillende redenen zijn. Als u een foutbericht van Microsoft Entra ID hebt ontvangen of als u de fout in Microsoft Entra Verbinding maken Health ziet, leest u in plaats daarvan fouten bij het oplossen van problemen tijdens de synchronisatie. Maar als u een probleem wilt oplossen waarbij het object zich niet in Microsoft Entra-id bevindt, is dit artikel voor u. Hierin wordt beschreven hoe u fouten kunt vinden in het on-premises onderdeel Microsoft Entra Verbinding maken synchronisatie.

Belangrijk

Voor Microsoft Entra Verbinding maken implementatie met versie 1.1.749.0 of hoger gebruikt u de probleemoplossingstaak in de wizard om problemen met objectsynchronisatie op te lossen.

Synchronisatieproces

Voordat we synchronisatieproblemen onderzoeken, begrijpen we het synchronisatieproces van Microsoft Entra Verbinding maken:

Diagram of Microsoft Entra Connect Sync process

Terminologie

  • CS: Verbinding maken orruimte, een tabel in een database
  • MV: Metaverse, een tabel in een database

Synchronisatiestappen

Het synchronisatieproces omvat de volgende stappen:

  1. Importeren vanuit AD: Active Directory-objecten worden overgebracht naar de Active Directory CS.

  2. Importeren uit Microsoft Entra-id: Microsoft Entra-objecten worden overgebracht naar Microsoft Entra CS.

  3. Synchronisatie: regels voor binnenkomende synchronisatie en regels voor uitgaande synchronisatie worden uitgevoerd in volgorde van prioriteit, van lager naar hoger. Als u de synchronisatieregels wilt weergeven, gaat u vanuit de bureaubladtoepassingen naar de editor voor synchronisatieregels. De regels voor binnenkomende synchronisatie brengen gegevens van CS naar MV. De regels voor uitgaande synchronisatie verplaatsen gegevens van MV naar CS.

  4. Exporteren naar AD: Na synchronisatie worden objecten geëxporteerd van Active Directory CS naar Active Directory.

  5. Exporteren naar Microsoft Entra-id: Na synchronisatie worden objecten geëxporteerd van Microsoft Entra CS naar Microsoft Entra-id.

Problemen oplossen

Als u de fouten wilt vinden, bekijkt u een aantal verschillende plaatsen, in de volgende volgorde:

  1. De bewerkingslogboeken voor het vinden van fouten die zijn geïdentificeerd door de synchronisatie-engine tijdens het importeren en synchroniseren.
  2. De verbindingsruimte om ontbrekende objecten en synchronisatiefouten te vinden.
  3. De metaverse om problemen met betrekking tot gegevens te vinden.

Start Synchronization Service Manager voordat u met deze stappen begint.

Operations

Op het tabblad Bewerkingen in Synchronization Service Manager moet u beginnen met het oplossen van problemen. Op dit tabblad worden de resultaten van de meest recente bewerkingen weergegeven.

Screenshot of Synchronization Service Manager, showing Operations tab selected

In de bovenste helft van het tabblad Bewerkingen ziet u alle uitvoeringen in chronologische volgorde. Standaard bewaart het bewerkingslogboek informatie over de afgelopen zeven dagen, maar deze instelling kan worden gewijzigd met de planner. Zoek naar een uitvoering die geen geslaagde status weergeeft. U kunt de sortering wijzigen door op de kopteksten te klikken.

De kolom Status bevat de belangrijkste informatie en toont het ernstigste probleem voor een uitvoering. Hier volgt een kort overzicht van de meest voorkomende statussen in volgorde van onderzoeksprioriteit (waarbij * verschillende mogelijke foutreeksen aangeeft).

-Status Opmerking
stopped-* De uitvoering kan niet worden voltooid. Dit kan bijvoorbeeld gebeuren als het externe systeem niet beschikbaar is en er geen contact kan worden gemaakt met het externe systeem.
stopped-error-limit Er zijn meer dan 5000 fouten. De uitvoering is automatisch gestopt vanwege het grote aantal fouten.
completed-*-errors De uitvoering is voltooid, maar er zijn fouten (minder dan 5.000) die moeten worden onderzocht.
completed-*-warnings De uitvoering is voltooid, maar sommige gegevens hebben niet de verwachte status. Als u fouten hebt, is dit bericht meestal slechts een symptoom. Onderzoek geen waarschuwingen totdat u fouten hebt opgelost.
voltooid Geen problemen.

Wanneer u een rij selecteert, wordt de onderkant van het tabblad Bewerkingen bijgewerkt om de details van die uitvoering weer te geven. Aan de linkerkant van dit gebied hebt u mogelijk een lijst met de titel Stap #. Deze lijst wordt alleen weergegeven als u meerdere domeinen in uw forest hebt en elk domein wordt vertegenwoordigd door een stap. De domeinnaam vindt u onder de koptekst Partitie. Onder de kop Synchronisatiestatistieken vindt u meer informatie over het aantal wijzigingen dat is verwerkt. Selecteer de koppelingen om een lijst met de gewijzigde objecten op te halen. Als u objecten met fouten hebt, worden deze fouten weergegeven onder de kop Synchronisatiefouten .

Fouten op het tabblad Bewerkingen

Wanneer u fouten hebt, toont Synchronization Service Manager zowel het object als de fout zelf als koppelingen die meer informatie bieden.

Screenshot of errors in Synchronization Service Manager
Selecteer eerst de fouttekenreeks. (In de vorige afbeelding is de fouttekenreeks sync-rule-error-function-triggered.) U krijgt eerst een overzicht van het object te zien. Als u de werkelijke fout wilt zien, selecteert u Stack Trace. Deze trace biedt informatie op foutopsporingsniveau voor de fout.

Klik met de rechtermuisknop op het vak Gespreksstackinformatie , klik op Alles selecteren en selecteer Kopiëren. Kopieer vervolgens de stack en bekijk de fout in uw favoriete editor, zoals Kladblok.

Als de fout afkomstig is van SyncRulesEngine, worden in de aanroepstackgegevens eerst alle kenmerken van het object weergegeven. Schuif omlaag totdat u de kop InnerException =>ziet.

Screenshot of the Synchronization Service Manager, showing error information under the heading InnerException =>

De regel na de kop geeft de fout weer. In de voorgaande afbeelding is de fout afkomstig van een aangepaste synchronisatieregel die Fabrikam heeft gemaakt.

Als de fout onvoldoende informatie geeft, is het tijd om de gegevens zelf te bekijken. Selecteer de koppeling met de object-id en ga verder met het oplossen van problemen met het geïmporteerde object van de connectorruimte.

eigenschappen van Verbinding maken orruimteobject

Als op het tabblad Bewerkingen geen fouten worden weergegeven, volgt u het connectorruimteobject van Active Directory naar de metaverse naar De Microsoft Entra-id. In dit pad moet u vinden waar het probleem zich bevindt.

Zoeken naar een object in cs

Selecteer in Synchronization Service Manager Verbinding maken ors, selecteer de Active Directory-Verbinding maken or en selecteer Verbinding maken or-ruimte zoeken.

Selecteer RDN in het vak Bereik wanneer u wilt zoeken op het CN-kenmerk of selecteer DN of anker wanneer u wilt zoeken op het kenmerk DistinguishedName. Voer een waarde in en selecteer Zoeken.

Screenshot of a connector space search

Als u het object dat u zoekt niet vindt, is het mogelijk gefilterd met filteren op basis van domeinen of OE-filters. Lees Microsoft Entra Verbinding maken Sync: Filtering configureren om te controleren of de filtering is geconfigureerd zoals verwacht.

U kunt nog een nuttige zoekopdracht uitvoeren door de Microsoft Entra-Verbinding maken or te selecteren. Selecteer in het vak Bereik de optie Importeren in behandeling en schakel vervolgens het selectievakje Toevoegen in. Met deze zoekopdracht krijgt u alle gesynchroniseerde objecten in Microsoft Entra-id die niet kunnen worden gekoppeld aan een on-premises object.

Screenshot of orphans in a connector space search

Deze objecten zijn gemaakt door een andere synchronisatie-engine of een synchronisatie-engine met een andere filterconfiguratie. Deze zwevende objecten worden niet meer beheerd. Bekijk deze lijst en overweeg deze objecten te verwijderen met behulp van de Microsoft Graph PowerShell-cmdlets .

CS importeren

Wanneer u een CS-object opent, bevinden zich bovenaan verschillende tabbladen. Op het tabblad Importeren worden de gegevens weergegeven die na een import zijn gefaseerd.

Screenshot of the Connector Space Object Properties window, with the Import tab selected

In de kolom Oude waarde ziet u wat momenteel is opgeslagen in Verbinding maken en in de kolom Nieuwe waarde ziet u wat er is ontvangen van het bronsysteem en nog niet is toegepast. Als er een fout optreedt in het object, worden wijzigingen niet verwerkt.

Het tabblad Synchronisatiefout is alleen zichtbaar in het venster Verbinding maken of Eigenschappen van ruimteobject als er een probleem is met het object. Raadpleeg voor meer informatie hoe u synchronisatiefouten kunt oplossen op het tabblad Bewerkingen.

Screenshot of the Synchronization Error tab in the Connector Space Object Properties window

CS-herkomst

Het tabblad Herkomst in het venster Verbinding maken of Eigenschappen van ruimteobject laat zien hoe het verbindingslijnruimteobject is gerelateerd aan het metaverse-object. U kunt zien wanneer de connector voor het laatst een wijziging heeft geïmporteerd van het verbonden systeem en welke regels zijn toegepast om gegevens in de metaverse in te vullen.

Screenshot showing the Lineage tab in the Connector Space Object Properties window

In de vorige afbeelding toont de kolom Actie een regel voor binnenkomende synchronisatie met de actie Inrichten. Dit geeft aan dat zolang dit verbindingslijnruimteobject aanwezig is, het metaverse-object blijft bestaan. Als in de lijst met synchronisatieregels een uitgaande synchronisatieregel met een inrichtingsactie wordt weergegeven, wordt dit object verwijderd wanneer het metaverse-object wordt verwijderd.

Screenshot of a lineage window on the Lineage tab in the Connector Space Object Properties window

In de vorige afbeelding ziet u ook in de kolom PasswordSync dat de ruimte voor de binnenkomende connector kan bijdragen aan wijzigingen in het wachtwoord, omdat één synchronisatieregel de waarde Waar heeft. Dit wachtwoord wordt via de uitgaande regel naar Microsoft Entra-id verzonden.

Op het tabblad Herkomst kunt u naar de metaverse gaan door Metaverse-objecteigenschappen te selecteren.

Preview

In de linkerbenedenhoek van het venster Verbinding maken of Eigenschappen van ruimteobject is de knop Voorbeeld. Selecteer deze knop om de preview-pagina te openen, waar u één object kunt synchroniseren. Deze pagina is handig als u problemen met aangepaste synchronisatieregels wilt oplossen en het effect van een wijziging op één object wilt zien. U kunt een volledige synchronisatie of een Delta-synchronisatie selecteren. U kunt ook Preview genereren selecteren, waardoor alleen de wijziging in het geheugen wordt behouden. Of selecteer Doorvoervoorbeeld, waarmee de metaverse wordt bijgewerkt en alle wijzigingen in de doelconnectorruimten worden gefaseerd.

Screenshot of the Preview page, with Start Preview selected

In het voorbeeld kunt u het object controleren en zien welke regel is toegepast op een bepaalde kenmerkstroom.

Screenshot of the Preview page, showing Import Attribute Flow

Logboek

Selecteer naast de knop Voorbeeld de knop Logboek om de pagina Logboek te openen. Hier ziet u de status en geschiedenis van de wachtwoordsynchronisatie. Zie Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Verbinding maken Sync voor meer informatie.

Eigenschappen van metaverse-objecten

Het is meestal beter om te zoeken vanuit de bronruimte van de Active Directory-connector. Maar u kunt ook beginnen met zoeken vanuit de metaverse.

Zoeken naar een object in de MV

Selecteer in Synchronization Service Manager Metaverse Search, zoals in de volgende afbeelding. Maak een query die u weet dat de gebruiker wordt gevonden. Zoek naar algemene kenmerken, zoals accountName (sAMAccountName) en userPrincipalName. Zie Sync Service Manager Metaverse zoeken voor meer informatie.

Screenshot of Synchronization Service Manager, with the Metaverse Search tab selected

Klik in het venster Zoekresultaten op het object.

Als u het object niet hebt gevonden, heeft het de metaverse nog niet bereikt. Ga door met zoeken naar het object in de Active Directory-connectorruimte. Als u het object in de Active Directory-connectorruimte vindt, kan er een synchronisatiefout optreden waardoor het object niet naar de metaverse wordt verzonden of dat er een bereikfilter voor synchronisatieregels kan worden toegepast.

Object niet gevonden in de MV

Als het object zich in de Active Directory CS bevindt, maar niet aanwezig is in de MV, wordt een bereikfilter toegepast. Als u het bereikfilter wilt bekijken, gaat u naar het menu van de bureaubladtoepassing en selecteert u De editor voor synchronisatieregels. Filter de regels die van toepassing zijn op het object door het onderstaande filter aan te passen.

Screenshot of Synchronization Rules Editor, showing an inbound synchronization rules search

Bekijk elke regel in de bovenstaande lijst en controleer het bereikfilter. Als in het volgende bereikfilter de waarde isCriticalSystemObject null of FALSE of leeg is, bevindt deze zich binnen het bereik.

Screenshot of a scoping filter in an inbound synchronization rule search

Ga naar de lijst met cs-importkenmerken en controleer welk filter het object blokkeert van verplaatsing naar de MV. In de lijst met Verbinding maken or spatiekenmerken worden alleen niet-null- en niet-lege kenmerken weergegeven. Als isCriticalSystemObject bijvoorbeeld niet wordt weergegeven in de lijst, is de waarde van dit kenmerk null of leeg.

Object niet gevonden in Microsoft Entra CS

Als het object niet aanwezig is in de connectorruimte van Microsoft Entra ID, maar aanwezig is in de MV, bekijkt u het bereikfilter van de uitgaande regels van de bijbehorende verbindingslijnruimte en controleert u of het object is gefilterd omdat de MV-kenmerken niet voldoen aan de criteria.

Als u het bereikfilter voor uitgaand verkeer wilt bekijken, selecteert u de toepasselijke regels voor het object door het onderstaande filter aan te passen. Bekijk elke regel en bekijk de bijbehorende MV-kenmerkwaarde .

Screenshot of an outbound synchronization rules search in Synchronization Rules Editor

MV-kenmerken

Op het tabblad Kenmerken ziet u de waarden en de connectors die eraan hebben bijgedragen.

Screenshot of the Metaverse Object Properties window, with the Attributes tab selected

Als een object niet wordt gesynchroniseerd, stelt u de volgende vragen over kenmerkstatussen in de metaverse:

  • Is het kenmerk cloudFiltered aanwezig en ingesteld op Waar? Als dat zo is, is deze gefilterd op basis van de stappen in op kenmerken gebaseerde filters.
  • Is het kenmerk sourceAnchor aanwezig? Zo niet, hebt u een foresttopologie voor accountresources? Als een object wordt geïdentificeerd als een gekoppeld postvak (het kenmerk msExchRecipientTypeDetails heeft de waarde 2), wordt de sourceAnchor bijgedragen door het forest met een ingeschakeld Active Directory-account. Zorg ervoor dat het hoofdaccount correct is geïmporteerd en gesynchroniseerd. Het hoofdaccount moet worden vermeld onder de connectors voor het object.

MV-connectors

Op het tabblad Verbinding maken ors worden alle verbindingsruimten weergegeven die een weergave van het object hebben.

Screenshot of the Metaverse Object Properties window, with the Connectors tab selected

U moet een connector hebben voor het volgende:

  • Elk Active Directory-forest waarin de gebruiker wordt weergegeven. Deze weergave kan foreignSecurityPrincipals en contactobjecten bevatten.
  • Een connector in Microsoft Entra ID.

Als u de connector voor Microsoft Entra ID mist, raadpleegt u de sectie over MV-kenmerken om de criteria voor inrichting voor Microsoft Entra-id te controleren.

Op het tabblad Verbinding maken ors kunt u ook naar het verbindingsruimteobject gaan. Selecteer een rij en klik op Eigenschappen.

Volgende stappen