Delen via

Problemen met cloudsynchronisatie oplossen

  • Artikel

Cloudsynchronisatie heeft verschillende afhankelijkheden en interacties, wat kan leiden tot verschillende problemen. Dit artikel helpt u bij het oplossen van de problemen. Het geeft aan op welke gebieden u zich het beste kunt richten, hoe u aanvullende informatie kunt verzamelen, en welke verschillende technieken u kunt gebruiken om problemen op te sporen.

Problemen met agent

Wanneer u agentproblemen oplost, controleert u of de agent correct is geïnstalleerd en of deze communiceert met Microsoft Entra-id. Enkele van de eerste dingen die u voor de agent wilt controleren, zijn:

  • Is deze geïnstalleerd?
  • Wordt de agent lokaal uitgevoerd?
  • Bevindt de agent zich in de portal?
  • Is de agent gemarkeerd als in orde?

U kunt deze items controleren in de portal en op de lokale server waarop de agent wordt uitgevoerd.

Verificatie van microsoft Entra-beheercentrumagent

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Voer de volgende stappen uit om te controleren of Azure de agent detecteert en of de agent in orde is:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
  2. Blader naar hybride>identiteitsbeheer>microsoft Entra Verbinding maken> Cloud-synchronisatie.Schermopname van de startpagina voor cloudsynchronisatie.
  1. Selecteer cloudsynchronisatie.
  2. U ziet nu de agents die u hebt geïnstalleerd. Controleer of de agent in kwestie beschikbaar. Als alles goed is, ziet u de actieve (groene) status voor de agent.

De vereiste geopende poorten controleren

Controleer of de Microsoft Entra-inrichtingsagent succesvol kan communiceren met Azure-datacenters. Als er een firewall in het pad staat, moet u ervoor zorgen dat de volgende poorten voor uitgaand verkeer zijn geopend:

Poortnummer Hoe dat wordt gebruikt
80 Het downloaden van lijsten met ingetrokken certificaten (CRL's) tijdens het valideren van het TLS-/SSL-certificaat.
443 Alle uitgaande communicatie met de toepassingsproxy-service verwerken.

Als met uw firewall verkeer wordt afgedwongen op basis van de herkomst van gebruikers, open dan ook poorten 80 en 443 voor verkeer dat afkomstig is van Windows-services die als netwerkservice worden uitgevoerd.

Toegang tot URL's toestaan

Sta toegang tot de volgende URL's toe:

URL Poort Hoe dat wordt gebruikt
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Communicatie tussen de connector en de toepassingsproxy-cloudservice.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP De connector gebruikt deze URL's om certificaten te verifiëren.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS De connector gebruikt deze URL's tijdens het registratieproces.
ctldl.windowsupdate.com 80/HTTP De connector gebruikt deze URL tijdens het registratieproces.

U kunt verbindingen met *.msappproxy.net, *.servicebus.windows.net, en andere van de voorgaande URL's toestaan als u met uw firewall of proxy toegangsregels kunt configureren op basis van domeinachtervoegsels. Zo niet, dan moet u toegang tot de Azure IP-bereiken en -servicetags – Openbare cloud toestaan. die overigens elke week worden bijgewerkt.

Belangrijk

Vermijd alle vormen van inline inspectie en beëindiging van uitgaande TLS-communicatie tussen Microsoft Entra private network connectors en Microsoft Entra application proxy cloud services.

DNS-naamomzetting voor Microsoft Entra-toepassingsproxy-eindpunten

Openbare DNS-records voor proxy-eindpunten van Microsoft Entra-toepassingen zijn gekoppelde CNAME-records, die verwijzen naar een A-record. Dit garandeert fouttolerantie en flexibiliteit. Het is gegarandeerd dat de Microsoft Entra-privénetwerkconnector altijd toegang heeft tot hostnamen met de domeinachtervoegsels *.msappproxy.net of *.servicebus.windows.net.

Tijdens de naamomzetting kunnen de CNAME-records echter DNS-records met verschillende hostnamen en achtervoegsels bevatten. Daarom moet u ervoor zorgen dat het apparaat alle records in de keten kan omzetten en verbinding met de opgeloste IP-adressen toestaat. Omdat de DNS-records in de keten van tijd tot tijd kunnen worden gewijzigd, kunnen we u geen lijst met DNS-records bieden.

Op de lokale server

Voer de volgende stappen uit om te controleren of de agent wordt uitgevoerd:

  1. Open Services op de server waarop de agent is geïnstalleerd. Ga hiervoor naarUitvoeren>Services.msc>starten.

  2. Controleer onder Services of Microsoft Entra Verbinding maken Agent Updater en Microsoft Entra Provisioning Agent aanwezig zijn. Controleer ook of de status Actief is.

    Schermopname van lokale services en hun status.

Veelvoorkomende installatieproblemen met agents

In de volgende secties worden enkele veelvoorkomende installatieproblemen met agents beschreven en worden gebruikelijke oplossingen van deze problemen beschreven.

Agent kan niet worden gestart

Mogelijk ontvangt u een foutbericht dat aangeeft:

De service 'Microsoft Entra Provisioning Agent' kan niet worden gestart. Controleer of u voldoende bevoegdheden hebt om systeemservices te starten.

Dit probleem wordt meestal veroorzaakt door een groepsbeleid. Het beleid verhinderde dat machtigingen werden toegepast op de door het installatieprogramma gemaakte lokale NT Service-aanmeldingsaccount (NT SERVICE\AADConnectProvisioningAgent). Deze machtigingen zijn vereist voor het starten van de service.

Volg deze stappen, om dit probleem op te lossen:

  1. Meld u aan bij de server met een beheerdersaccount.

  2. Open Services door naar Start>Uitvoeren>Services.msc te gaan.

  3. Dubbelklik onder Services op Microsoft Entra Provisioning Agent.

  4. Wijzig op het tabblad Aanmeldendit account in een domeinbeheerder en start de service opnieuw.

    Schermopname van de beschikbare opties op het tabblad aanmelden.

Time-out van agent of certificaat is ongeldig

Mogelijk wordt het volgende foutbericht weergegeven wanneer u probeert de agent te registreren.

Schermopname van een time-out foutbericht.

Dit probleem wordt meestal veroorzaakt doordat de agent geen verbinding kan maken met de hybride identiteitsservice. U kunt dit probleem oplossen door een uitgaande proxy te configureren.

De inrichtingsagent ondersteunt het gebruik van een uitgaande proxy. U kunt dit configureren door het volgende configuratiebestand van de agent te bewerken, te weten C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Voeg de volgende regels toe aan het einde van het bestand, net vóór de afsluitende </configuration>-tag. Vervang de variabelen [proxy-server] en [proxy-port] door de naam- en poortwaarden van de proxyserver.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Registratie van agent mislukt met beveiligingsfout

Er wordt mogelijk een foutbericht weergegeven wanneer u de cloudinrichtingsagent installeert. Dit probleem wordt meestal veroorzaakt doordat de agent de PowerShell-registratiescripts niet kan uitvoeren vanwege het lokale PowerShell-uitvoeringsbeleid.

Om dit probleem op te lossen, wijzig het PowerShell-uitvoeringsbeleid op de server. U moet computer- en gebruikersbeleid instellen als Undefined of RemoteSigned. Als ze zijn ingesteld als Unrestricted, ziet u deze fout. Raadpleeg het PowerShell-uitvoeringsbeleid voor meer informatie.

Logboekbestanden

De agent verzendt standaard minimale foutberichten en stack-traceringsgegevens. U vindt deze traceerlogboeken in de volgende map C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Ga als volgt te werk om aanvullende informatie te verzamelen voor het oplossen van problemen met de agent.

  1. De AADCloudSyncTools PowerShell-module installeren.
  2. Gebruik de Export-AADCloudSyncToolsLogs PowerShell-cmdlet om de informatie vast te leggen. U kunt de volgende opties gebruiken om uw gegevensverzameling te verfijnen.
    • SkipVerboseTrace om alleen huidige logboeken te exporteren zonder uitgebreide logboeken vast te leggen (standaard = false).
    • TracingDurationMins om een andere registratieduur op te geven (standaard = 3 minuten).
    • OutputPath om een ander uitvoerpad op te geven (default = map Documenten van gebruiker).

Problemen met objectsynchronisatie

In de portal kunt u inrichtingslogboeken gebruiken om problemen met objectsynchronisatie op te sporen en op te lossen. Als u de logboeken wilt weergeven, selecteert u Logboeken.

Schermopname van de knop logboeken.

Inrichtingslogboeken bieden een schat aan informatie over de status van de objecten die worden gesynchroniseerd tussen uw on-premises Active Directory-omgeving en Azure.

Schermopname van informatie over de inrichtingslogboeken.

U kunt de weergave filteren om u te richten op specifieke problemen, zoals datums. U kunt ook zoeken in de logboeken naar activiteiten met betrekking tot een Active Directory-object met behulp van de Active Directory ObjectGuid. Dubbelklik op een afzonderlijke gebeurtenis om aanvullende informatie weer te geven.

Schermopname van de informatie van de vervolgkeuzelijst inrichtingslogboeken.

Deze informatie bevat gedetailleerde stappen en waar het synchronisatieprobleem zich voordoet. Op deze manier kunt u de exacte plaats van het probleem bepalen.

Overgeslagen objecten

Als u gebruikers en groepen vanuit Active Directory hebt gesynchroniseerd, kunt u mogelijk geen of meer groepen vinden in Microsoft Entra-id. Dit kan worden veroorzaakt doordat de synchronisatie nog niet is voltooid of nog niet is bijgehouden met het maken van het object in Active Directory, een synchronisatiefout die het object blokkeert dat wordt gemaakt in Microsoft Entra-id, of een bereikregel voor synchronisatieregels kan worden toegepast die het object uitsluit.

Als u de synchronisatie opnieuw start en de inrichtingscyclus is voltooid, zoekt u in het inrichtingslogboek naar activiteiten met betrekking tot een object met behulp van Active Directory ObjectGuidvan dat object. Als een gebeurtenis met een identiteit die alleen een bron-id bevat en de status aanwezig Skipped is in het logboek, kan dit erop wijzen dat de agent het Active Directory-object heeft gefilterd omdat het buiten het bereik valt.

Standaard sluiten de bereikregels de volgende objecten uit die niet kunnen worden gesynchroniseerd met Microsoft Entra-id:

  • gebruikers, groepen en contactpersonen met IsCriticalSystemObject ingesteld op TRUE, waaronder veel van de ingebouwde gebruikers en groepen in Active Directory
  • replicatie-slachtofferobjecten

Aanvullende beperkingen kunnen aanwezig zijn in het synchronisatieschema.

Drempelwaarde voor het verwijderen van Microsoft Entra-objecten

Als u een implementatietopologie hebt met Microsoft Entra Verbinding maken en Microsoft Entra Cloud Sync, beide exporteren naar dezelfde Microsoft Entra-tenant, of als u volledig bent overgestapt van het gebruik van Microsoft Entra Verbinding maken naar Microsoft Entra Cloud Sync, krijgt u mogelijk het volgende exportfoutbericht wanneer u meerdere objecten uit het gedefinieerde bereik verwijdert of verplaatst:

Schermopname van de exportfout.

Deze fout is niet gerelateerd aan de functie voor het voorkomen van onbedoelde verwijderingen van Microsoft Entra Verbinding maken cloudsynchronisatie. Deze wordt geactiveerd door de functie voor onbedoelde verwijderingspreventie in de Microsoft Entra-directory van Microsoft Entra Verbinding maken. Als u geen Microsoft Entra-Verbinding maken-server hebt geïnstalleerd waarop u de functie kunt in- of uitschakelen, kunt u de PowerShell-module 'AADCloudSyncTools' gebruiken die is geïnstalleerd met de Microsoft Entra-Verbinding maken cloudsynchronisatieagent om de instelling op de tenant uit te schakelen en toe te staan dat de geblokkeerde verwijderingen worden geëxporteerd nadat ze zijn verwacht en moeten worden toegestaan. Gebruik de volgende opdracht:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Tijdens de volgende inrichtingscyclus moeten de objecten die zijn gemarkeerd voor verwijdering, worden verwijderd uit de Microsoft Entra-map.

Problemen met in quarantaine plaatsen van inrichtingsexemplaar

Cloudsynchronisatie bewaakt de status van uw configuratie en plaatst beschadigde objecten in quarantaine. Als de meeste of alle aanroepen tegen het doelsysteem consistent mislukken vanwege een fout (bijvoorbeeld ongeldige beheerdersreferenties), wordt de synchronisatietaak gemarkeerd als in quarantaine.

Schermopname van de quarantainestatus.

Als u de status selecteert, ziet u aanvullende informatie over de quarantaine. U kunt ook de foutcode en het bericht opvragen.

Schermopname van aanvullende informatie over de quarantaine.

Als u met de rechtermuisknop op de status klikt, worden extra opties weergegeven voor:

  • Bekijken van de inrichtingslogboeken.
  • Bekijken van de agents.
  • De quarantaine wissen.

Schermopname van de opties van het rechtsklikmenu.

Een quarantaine oplossen

Er zijn twee manieren om een quarantaine op te lossen. U kunt de quarantaine wissen of de inrichtingstaak opnieuw starten.

De quarantaine wissen

Als u het watermerk wilt wissen en een deltasynchronisatie wilt uitvoeren op de inrichtingstaak nadat u deze hebt geverifieerd, klikt u met de rechtermuisknop op de status en selecteert u Quarantaine wissen.

U moet een melding zien dat de quarantaine wordt gewist.

Schermopname van de melding dat de quarantaine wordt gewist.

Vervolgens ziet u de status van uw agent als in orde.

Schermopname van status van agent in orde.

De inrichtingstaak opnieuw starten

Gebruik de portal om de inrichtingstaak opnieuw te starten. Selecteer Synchronisatie opnieuw opstarten op de pagina agentconfiguratie.

Schermopname van de opties op de pagina agentconfiguratie.

U kunt Microsoft Graph ook gebruiken om de inrichtingstaak opnieuw op te starten. U hebt volledige controle over wat u opnieuw start. U kunt ervoor kiezen om het volgende te wissen:

  • Escrows, om de richting quarantainestatus oplopende escrow-teller opnieuw op te starten.
  • Quarantaine, om de toepassing uit quarantaine te verwijderen.
  • Watermerken.

Gebruik de volgende aanvraag:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Het serviceaccount cloudsynchronisatie herstellen

Als u het serviceaccount cloudsynchronisatie moet herstellen, kunt u de Repair-AADCloudSyncToolsAccount opdracht gebruiken.

  1. De AADCloudSyncTools PowerShell-module installeren.

  2. Vanuit een PowerShell-sessie met beheerdersbevoegdheden, typt of kopieert en plakt u het volgende:

    Connect-AADCloudSyncTools

  3. Voer de referenties van uw Microsoft Entra Global Beheer istrator in.

  4. Typ of kopieer en plak het volgende:

    Repair-AADCloudSyncToolsAccount

  5. Nadat dit is voltooid, moet het aangeven dat het account is hersteld.

Wachtwoord terugschrijven

Als u wachtwoord terugschrijven met cloudsynchronisatie wilt inschakelen en gebruiken, moet u rekening houden met het volgende:

  • Wanneer u gMSA-machtigingen bijwerkt, kan het tot een uur of langer duren voordat deze machtigingen worden gerepliceerd naar alle objecten in uw directory. Als u deze machtigingen niet toewijst, lijkt terugschrijven correct geconfigureerd, maar krijgen de gebruikers te maken met fouten bij het bijwerken van hun on-premises wachtwoorden in de cloud. Machtigingen moeten zijn toegepast op dit object en alle onderliggende objecten voordat de optie om verlopen wachtwoorden herstellen verschijnt.
  • Als wachtwoorden voor sommige gebruikersaccounts niet worden teruggeschreven naar on-premises map, moet u ervoor zorgen dat overname niet is uitgeschakeld voor het account in de on-premises Active Directory Domain Services (AD DS)-omgeving. Schrijfrechten voor wachtwoorden moeten worden toegepast op onderliggende objecten om deze functie correct te laten werken.
  • Het wachtwoordbeleid in de on-premises AD DS-omgeving kan verhinderen dat het opnieuw instellen van het wachtwoord opnieuw op de juiste manier wordt verwerkt. Als u deze functie test en wachtwoorden voor gebruikers meer dan één keer per dag opnieuw wilt instellen, moet het groepsbeleid voor de minimale wachtwoordduur zijn ingesteld op 0. U vindt deze instelling op de volgende locatie: Computerconfiguratie>Beleid>Windows-instellingen>Beveiligingsinstellingen>Accountbeleid, in gpmc.msc.
    • Wanneer u het groepsbeleid bijwerkt, wacht u totdat het bijgewerkte beleid is gerepliceerd of gebruikt u de opdracht gpupdate /force.
    • De minimaal leeftijd van het wachtwoord moet zijn ingesteld op 0 om ervoor te zorgen dat wachtwoorden onmiddellijk worden gewijzigd. Als gebruikers echter voldoen aan het on-premises beleid en de Minimale leeftijd van het wachtwoord is ingesteld op een waarde die groter is dan nul, wordt het wachtwoord terugschrijven nog steeds uitgevoerd nadat het on-premises beleid is geëvalueerd.

Volgende stappen