Vorige

Volgende

Problemen met synchronisatiefouten

Voltooid

Er kunnen fouten optreden wanneer identiteitsgegevens worden gesynchroniseerd vanuit Windows Server Active Directory (AD DS) naar Microsoft Entra-id. Deze sectie bevat een overzicht van verschillende typen synchronisatiefouten, enkele van de mogelijke scenario's die deze fouten en mogelijke manieren om de fouten op te lossen. Deze sectie bevat de algemene fouttypen en omvat mogelijk niet alle mogelijke fouten.

Met de nieuwste versie van Microsoft Entra Verbinding maken is een rapport van synchronisatiefouten beschikbaar in Azure Portal als onderdeel van Microsoft Entra Verbinding maken Health voor synchronisatie.

Microsoft Entra Verbinding maken voert drie typen bewerkingen uit vanuit de mappen die gesynchroniseerd blijven: importeren, synchroniseren en exporteren. Fouten kunnen plaatsvinden in alle bewerkingen. Deze sectie is voornamelijk gericht op fouten tijdens exporteren naar Microsoft Entra-id.

Fouten tijdens het exporteren naar Microsoft Entra-id

In de volgende sectie worden verschillende typen synchronisatiefouten beschreven die kunnen optreden tijdens de exportbewerking naar Microsoft Entra-id met behulp van de Microsoft Entra-connector. Deze connector kan worden geïdentificeerd door de naamnotatie.contoso.onmicrosoft.com Fouten tijdens het exporteren naar Microsoft Entra-id geven aan dat de bewerking (toevoegen, bijwerken, verwijderen enzovoort) die is geprobeerd door Microsoft Entra Verbinding maken (Sync Engine) in de Microsoft Entra-map, is mislukt.

Fouten met niet-overeenkomende gegevens

InvalidSoftMatch

Beschrijving

• Wanneer Microsoft Entra Verbinding maken (synchronisatie-engine) de map opdracht geeft om objecten toe te voegen of bij te werken, komt Microsoft Entra-id overeen met het binnenkomende object met behulp van het kenmerk sourceAnchor met het kenmerk onveranderbaarId van objecten in Microsoft Entra-id. Deze overeenkomst wordt een harde overeenkomst genoemd.
• Wanneer Microsoft Entra ID geen object vindt dat overeenkomt met het kenmerk immutableId met het kenmerk sourceAnchor van het binnenkomende object, valt het terug om de kenmerken ProxyAddresses en UserPrincipalName te gebruiken om een overeenkomst te vinden. Deze overeenkomst wordt een Soft Match genoemd. De Soft Match is ontworpen om objecten die al aanwezig zijn in Microsoft Entra-id te vergelijken met de nieuwe objecten die worden toegevoegd/bijgewerkt tijdens de synchronisatie die dezelfde entiteit (gebruikers, groepen) on-premises vertegenwoordigen.
• Er treedt een invalidSoftMatch-fout op wanneer de harde overeenkomst geen overeenkomend object en zachte overeenkomst vindt, een overeenkomend object vindt, maar dat object een andere waarde van onveranderbareId heeft dan het binnenkomende object SourceAnchor, wat suggereert dat het overeenkomende object is gesynchroniseerd met een ander object uit on-premises Active Directory.

Met andere woorden, om ervoor te zorgen dat de zachte overeenkomst werkt, mag het object geen waarde hebben voor de onveranderbare Id. Als een object met immutableId-set met een waarde de harde overeenkomst mislukt, maar voldoet aan de criteria voor zachte overeenkomst, resulteert de bewerking in een InvalidSoftMatch-synchronisatiefout.

Het Microsoft Entra-directoryschema staat niet toe dat twee of meer objecten dezelfde waarde hebben als de volgende kenmerken. (Dit is geen volledige lijst.)

• ProxyAddresses
• UserPrincipalName
• onPremisesSecurityIdentifier
• ObjectId

Microsoft Entra Attribute Duplicate Attribute Resiliency feature wordt ook geïmplementeerd als het standaardgedrag van Microsoft Entra ID. Dit vermindert het aantal synchronisatiefouten dat wordt gezien door Microsoft Entra Verbinding maken (evenals andere synchronisatieclients) door Microsoft Entra ID toleranter te maken op de manier waarop het dubbele ProxyAddresses en UserPrincipalName-kenmerken verwerkt die aanwezig zijn in on-premises AD-omgevingen. Met deze functie worden de duplicatiefouten niet opgelost. De gegevens moeten dus nog steeds worden opgelost. Er kunnen echter nieuwe objecten worden ingericht die anders worden geblokkeerd vanwege dubbele waarden in Microsoft Entra-id. Dit vermindert ook het aantal synchronisatiefouten dat wordt geretourneerd naar de synchronisatieclient. Als deze functie is ingeschakeld voor uw tenant, worden de invalidSoftMatch-synchronisatiefouten tijdens het inrichten van nieuwe objecten niet weergegeven.

Voorbeeldscenario's voor InvalidSoftMatch

• Er bestaan twee of meer objecten met dezelfde waarde voor het kenmerk ProxyAddresses in on-premises Active Directory. Er wordt slechts één ingericht in Microsoft Entra-id.
• Er bestaan twee of meer objecten met dezelfde waarde voor het kenmerk userPrincipalName in on-premises Active Directory. Er wordt slechts één ingericht in Microsoft Entra-id.
• Er is een object toegevoegd in de on-premises Active Directory met dezelfde waarde van het kenmerk ProxyAddresses als dat van een bestaand object in de Microsoft Entra-map. Het object dat on-premises is toegevoegd, wordt niet ingericht in de Map Microsoft Entra.
• Er is een object toegevoegd in on-premises Active Directory met dezelfde waarde van het kenmerk userPrincipalName als die van een account in Microsoft Entra-id. Het object wordt niet ingericht in Microsoft Entra-id.
• Een gesynchroniseerd account is verplaatst van Forest A naar Forest B. Microsoft Entra Verbinding maken (synchronisatie-engine) gebruikte het kenmerk ObjectGUID om het SourceAnchor te berekenen. Nadat het forest is verplaatst, is de waarde van sourceAnchor anders. Het nieuwe object (van Forest B) kan niet worden gesynchroniseerd met het bestaande object in Microsoft Entra ID.
• Een gesynchroniseerd object is per ongeluk verwijderd uit on-premises Active Directory en er is een nieuw object gemaakt in Active Directory voor dezelfde entiteit (zoals gebruiker) zonder het account in Microsoft Entra-id te verwijderen. Het nieuwe account kan niet worden gesynchroniseerd met het bestaande Microsoft Entra-object.
• Microsoft Entra Verbinding maken is verwijderd en opnieuw geïnstalleerd. Tijdens de herinstallatie is een ander kenmerk gekozen als SourceAnchor. Alle objecten die eerder waren gesynchroniseerd, zijn gestopt met synchroniseren met De fout InvalidSoftMatch.

Voorbeeld:

1. Bob Smith is een gesynchroniseerde gebruiker in Microsoft Entra ID van on-premises Active Directory van contoso.com

2. Bob Smith's UserPrincipalName is ingesteld als bobs@contoso.com.

3. "abcdefghijklmnopqrstuv==" is het SourceAnchor dat wordt berekend door Microsoft Entra Verbinding maken met behulp van bob Smith's objectGUID van on-premises Active Directory, de onveranderbareId voor Bob Smith in Microsoft Entra ID.

4. Bob heeft ook de volgende waarden voor het kenmerk proxyAddresses :

   • Smtp: bobs@contoso.com
   • Smtp: bob.smith@contoso.com
   • Smtp: bob@contoso.com

5. Er wordt een nieuwe gebruiker, Bob Taylor, toegevoegd aan de on-premises Active Directory.

6. Bob Taylor's UserPrincipalName is ingesteld als bobt@contoso.com.

7. "abcdefghijkl0123456789=="" is de sourceAnchor berekend door Microsoft Entra Verbinding maken met behulp van de objectGUID van Bob Taylor uit on-premises Active Directory. Het object van Bob Taylor is nog niet gesynchroniseerd met Microsoft Entra ID.

8. Bob Taylor heeft de volgende waarden voor het kenmerk proxyAddresses

   • Smtp: bobt@contoso.com
   • Smtp: bob.taylor@contoso.com
   • Smtp: bob@contoso.com

9. Tijdens de synchronisatie herkent Microsoft Entra Verbinding maken de toevoeging van Bob Taylor in on-premises Active Directory en vraagt Microsoft Entra-id om dezelfde wijziging aan te brengen.

10. Microsoft Entra ID voert eerst een harde overeenkomst uit. Dat wil wel dat er wordt gezocht of er een object is met de onveranderbareId gelijk aan "abcdefghijkl0123456789==". Harde overeenkomst mislukt, omdat er geen ander object in Microsoft Entra ID die onveranderbareId heeft.

11. Microsoft Entra ID zal vervolgens proberen om bob Taylor soft-match te maken. Dit betekent dat er wordt gezocht als er een object met proxyAddresses gelijk is aan de drie waarden, waaronder smtp: bob@contoso.com

12. Microsoft Entra ID zal het object van Bob Smith vinden om te voldoen aan de criteria voor soft-match. Maar dit object heeft de waarde van immutableId = "abcdefghijklmnopqrstuv=". wat aangeeft dat dit object is gesynchroniseerd vanuit een ander object vanuit on-premises Active Directory. Microsoft Entra ID kan dus niet zacht overeenkomen met deze objecten en resulteert in een InvalidSoftMatch-synchronisatiefout .

InvalidSoftMatch-fout oplossen

De meest voorkomende reden voor de InvalidSoftMatch-fout is dat twee objecten met verschillende SourceAnchor (immutableId) dezelfde waarde hebben voor de kenmerken ProxyAddresses en/of UserPrincipalName, die worden gebruikt tijdens het soft-matchproces op Microsoft Entra ID. Om de ongeldige soft-match te herstellen

1. Identificeer de gedupliceerde proxyAddresses, userPrincipalName of andere kenmerkwaarde die de fout veroorzaakt. Identificeer ook welke twee (of meer) objecten betrokken zijn bij het conflict. Het rapport dat door Microsoft Entra Verbinding maken Health for Sync wordt gegenereerd, kan u helpen bij het identificeren van de twee objecten.
2. Bepaal welk object de gedupliceerde waarde moet blijven hebben en welk object niet.
3. Verwijder de gedupliceerde waarde uit het object dat deze waarde NIET mag hebben. U moet de wijziging aanbrengen in de map waaruit het object afkomstig is. In sommige gevallen moet u mogelijk een van de conflicterende objecten verwijderen.
4. Als u de wijziging in de on-premises AD hebt aangebracht, laat u Microsoft Entra Verbinding maken de wijziging synchroniseren.

Synchronisatiefoutrapporten binnen Microsoft Entra Verbinding maken Status voor synchronisatie worden elke 30 minuten bijgewerkt en bevatten de fouten uit de meest recente synchronisatiepoging.

Notitie

ImmutableId mag per definitie niet veranderen in de levensduur van het object. Als Microsoft Entra Verbinding maken niet is geconfigureerd met een aantal van de scenario's in de bovenstaande lijst, kunt u terechtkomen in een situatie waarin Microsoft Entra Verbinding maken een andere waarde van sourceAnchor berekent voor het AD-object dat dezelfde entiteit (dezelfde gebruiker/groep/contactpersoon, enzovoort) vertegenwoordigt die een bestaand Microsoft Entra-object heeft dat u wilt blijven gebruiken.

ObjectTypeMismatch

Beschrijving

Wanneer Microsoft Entra ID probeert twee objecten te laten overeenkomen, is het mogelijk dat twee objecten van verschillende objecttypen (zoals Gebruiker, Groep, Contactpersoon, enzovoort) dezelfde waarden hebben voor de kenmerken die worden gebruikt om de soft-match uit te voeren. Omdat duplicatie van deze kenmerken niet is toegestaan in Microsoft Entra, kan de bewerking resulteren in de synchronisatiefout ObjectTypeMismatch.

Voorbeeldscenario's voor ObjectTypeMismatch-fout

• Er wordt een beveiligingsgroep met e-mail gemaakt in Microsoft 365. Beheer voegt een nieuwe gebruiker of contactpersoon toe in on-premises AD (die nog niet is gesynchroniseerd met Microsoft Entra-id) met dezelfde waarde voor het kenmerk ProxyAddresses als die van de Microsoft 365-groep.

Voorbeeld

1. Beheer maakt een nieuwe beveiligingsgroep met e-mail in Microsoft 365 voor de belastingafdeling en verstrekt een e-mailadres alstax@contoso.com. Aan deze groep wordt de waarde van het kenmerk ProxyAddresses van smtp toegewezen: tax@contoso.com
2. Er wordt een nieuwe gebruiker toegevoegd Contoso.com en er wordt een account gemaakt voor de gebruiker on-premises met het proxyAddress als smtp: tax@contoso.com
3. Wanneer Microsoft Entra Verbinding maken het nieuwe gebruikersaccount synchroniseert, wordt de fout ObjectTypeMismatch weergegeven.

ObjectTypeMismatch-fout oplossen

De meest voorkomende reden voor de ObjectTypeMismatch-fout is dat twee objecten van verschillende typen (gebruiker, groep, contactpersoon enzovoort) dezelfde waarde hebben voor het kenmerk ProxyAddresses. Om de ObjectTypeMismatch te herstellen:

1. Identificeer de gedupliceerde proxyAddresses -waarde (of een ander kenmerk) die de fout veroorzaakt. Identificeer ook welke twee (of meer) objecten betrokken zijn bij het conflict. Het rapport dat door Microsoft Entra Verbinding maken Health for Sync wordt gegenereerd, kan u helpen bij het identificeren van de twee objecten.
2. Bepaal welk object de gedupliceerde waarde moet blijven hebben en welk object niet.
3. Verwijder de gedupliceerde waarde uit het object dat deze waarde NIET mag hebben. U moet de wijziging aanbrengen in de map waaruit het object afkomstig is. In sommige gevallen moet u mogelijk een van de conflicterende objecten verwijderen.
4. Als u de wijziging in de on-premises AD hebt aangebracht, laat u Microsoft Entra Verbinding maken de wijziging synchroniseren. Synchronisatiefoutrapport in Microsoft Entra Verbinding maken Status voor synchronisatie wordt elke 30 minuten bijgewerkt en bevat de fouten uit de meest recente synchronisatiepoging.

Dubbele kenmerken

AttributeValueMustBeUnique

Beschrijving

Het Microsoft Entra-schema staat niet toe dat twee of meer objecten dezelfde waarde hebben als de volgende kenmerken. Dat is elk object in Microsoft Entra ID wordt gedwongen om een unieke waarde van deze kenmerken op een bepaald exemplaar te hebben.

• ProxyAddresses
• UserPrincipalName

Als Microsoft Entra Verbinding maken probeert een nieuw object toe te voegen of een bestaand object bij te werken met een waarde voor de bovenstaande kenmerken die al zijn toegewezen aan een ander object in Microsoft Entra ID, resulteert de bewerking in de synchronisatiefout AttributeValueMustBeUnique.

Mogelijke scenario's:

Dubbele waarde wordt toegewezen aan een al gesynchroniseerd object, dat conflicteert met een ander gesynchroniseerd object.

Voorbeeld:

1. Bob Smith is een gesynchroniseerde gebruiker in Microsoft Entra ID van on-premises Active Directory van contoso.com

2. De on-premises UserPrincipalName van Bob Smith is ingesteld als bobs@contoso.com.

3. Bob heeft ook de volgende waarden voor het kenmerk proxyAddresses :

   • Smtp: bobs@contoso.com
   • Smtp: bob.smith@contoso.com
   • Smtp: bob@contoso.com

4. Er wordt een nieuwe gebruiker, Bob Taylor, toegevoegd aan de on-premises Active Directory.

5. Bob Taylor's UserPrincipalName is ingesteld als bobt@contoso.com.

6. Bob Taylor heeft de volgende waarden voor het kenmerk ProxyAddresses i. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com

7. Het object van Bob Taylor wordt gesynchroniseerd met Microsoft Entra ID.

8. Beheer besloten bob Taylor's bij te werkenHet kenmerk ProxyAddresses met de volgende waarde: i. Smtp:bob@contoso.com

9. Microsoft Entra ID probeert het object van Bob Taylor bij te werken in Microsoft Entra ID met de bovenstaande waarde, maar die bewerking mislukt omdat de waarde proxyAddresses al is toegewezen aan Bob Smith, wat resulteert in de fout AttributeValueMustBeUnique.

Fout AttributeValueMustBeUnique oplossen

De meest voorkomende reden voor de error AttributeValueMustBeUnique is dat twee objecten met verschillende SourceAnchor (immutableId) dezelfde waarde hebben voor de kenmerken ProxyAddresses en/of UserPrincipalName. Fout AttributeValueMustBeUnique oplossen

1. Identificeer de gedupliceerde proxyAddresses, userPrincipalName of andere kenmerkwaarde die de fout veroorzaakt. Identificeer ook welke twee (of meer) objecten betrokken zijn bij het conflict. Het rapport dat door Microsoft Entra Verbinding maken Health for Sync wordt gegenereerd, kan u helpen bij het identificeren van de twee objecten.
2. Bepaal welk object de gedupliceerde waarde moet blijven hebben en welk object niet.
3. Verwijder de gedupliceerde waarde uit het object dat deze waarde NIET mag hebben. U moet de wijziging aanbrengen in de map waaruit het object afkomstig is. In sommige gevallen moet u mogelijk een van de conflicterende objecten verwijderen.
4. Als u de wijziging in de on-premises AD hebt aangebracht, laat u Microsoft Entra Verbinding maken de wijziging voor de fout synchroniseren om de fout op te lossen.

Fouten bij gegevensvalidatie

IdentityDataValidationFailed

Beschrijving

Microsoft Entra ID dwingt verschillende beperkingen op de gegevens zelf af voordat deze gegevens naar de map kunnen worden geschreven. Deze beperkingen zorgen ervoor dat eindgebruikers de best mogelijke ervaringen krijgen terwijl ze de toepassingen gebruiken die afhankelijk zijn van deze gegevens.

Scenario's

De kenmerkwaarde UserPrincipalName heeft ongeldige/niet-ondersteunde tekens. b. Het kenmerk UserPrincipalName volgt niet de vereiste indeling.

IdentityDataValidationFailed-fout oplossen

Zorg ervoor dat het kenmerk userPrincipalName tekens en de vereiste indeling heeft.

FederatedDomainChangeError

Beschrijving

Dit geval resulteert in een synchronisatiefout 'FederatedDomainChangeError' wanneer het achtervoegsel van de UserPrincipalName van een gebruiker wordt gewijzigd van het ene federatieve domein naar een ander federatief domein.

Scenario's

Voor een gesynchroniseerde gebruiker is het achtervoegsel UserPrincipalName gewijzigd van het ene federatieve domein in een ander federatief domein on-premises. UserPrincipalName = bob@contoso.comis bijvoorbeeld gewijzigd in UserPrincipalName = bob@fabrikam.com.

Opmerking

1. Bob Smith, een account voor Contoso.com, wordt toegevoegd als een nieuwe gebruiker in Active Directory met userPrincipalName bob@contoso.com
2. Bob wordt verplaatst naar een andere divisie van Contoso.com genaamd Fabrikam.com en de UserPrincipalName wordt gewijzigd in bob@fabrikam.com
3. Zowel contoso.com- als fabrikam.com-domeinen zijn federatieve domeinen met Microsoft Entra-id.
4. De userPrincipalName van Bob wordt niet bijgewerkt en resulteert in een synchronisatiefout 'FederatedDomainChangeError'.

LargeObject

Beschrijving

Wanneer een kenmerk de toegestane groottelimiet, lengtelimiet of tellingslimiet overschrijdt die is ingesteld door het Microsoft Entra-schema, resulteert de synchronisatiebewerking in de fout LargeObject of ExceededAllowedLength-synchronisatie . Deze fout treedt gewoonlijk op voor de volgende kenmerken

• userCertificate
• userSMIMECertificate
• thumbnailPhoto
• proxyAddresses

Mogelijke scenario's

1. Het kenmerk userCertificate van Bob slaat te veel certificaten op die zijn toegewezen aan Bob. Dit kunnen oudere, verlopen certificaten zijn. De harde limiet is 15 certificaten.
2. Het kenmerk userSMIMECertificate van Bob slaat te veel certificaten op die zijn toegewezen aan Bob. Dit kunnen oudere, verlopen certificaten zijn. De harde limiet is 15 certificaten.
3. De thumbnailPhoto-set van Bob in Active Directory is te groot om te worden gesynchroniseerd in Microsoft Entra-id.
4. Tijdens de automatische populatie van het kenmerk ProxyAddresses in Active Directory heeft een object te veel ProxyAddresses toegewezen.

Hoe oplossen?

Zorg ervoor dat het kenmerk dat de fout veroorzaakt zich binnen de toegestane beperking bevindt.

Beheer rolconflict

Beschrijving

Er treedt een bestaand Beheer rolconflict op bij een gebruikersobject tijdens de synchronisatie wanneer dat gebruikersobject het volgende heeft:

• beheerdersmachtigingen en
• dezelfde UserPrincipalName als een bestaand Microsoft Entra-object

Microsoft Entra Verbinding maken is niet toegestaan om een gebruikersobject van on-premises AD te koppelen aan een gebruikersobject in Microsoft Entra-id waaraan een beheerdersrol is toegewezen.

Hoe oplossen?

Ga als volgt te werk om dit probleem op te lossen:

1. Verwijder het Microsoft Entra-account (eigenaar) uit alle beheerdersrollen.
2. Het in quarantaine geplaatste object in de cloud hard verwijderen .
3. De volgende synchronisatiecyclus zorgt ervoor dat de on-premises gebruiker zacht wordt afgestemd op het cloudaccount (omdat de cloudgebruiker nu geen globale ALGEMENE BESCHIKBAARHEID meer is).
4. Herstel de rollidmaatschappen voor de eigenaar.

Notitie

U kunt de beheerdersrol opnieuw toewijzen aan het bestaande gebruikersobject nadat de soft-match tussen het on-premises gebruikersobject en het Microsoft Entra-gebruikersobject is voltooid.

Doorgaan