Share via

Rozwiązywanie problemów z synchronizacją w chmurze

  • Artykuł

Z synchronizacją z chmurą wiąże się wiele różnych zależności i interakcji, co może przyczyniać się do wystąpienia różnych problemów. Ten artykuł ułatwia rozwiązywanie tych problemów. Przedstawiono w nim typowe obszary, na które należy zwrócić uwagę, sposób zbierania dodatkowych informacji oraz różne techniki umożliwiające śledzenie problemów.

Problemy z agentem

Podczas rozwiązywania problemów z agentem sprawdzasz, czy agent został poprawnie zainstalowany i czy komunikuje się z identyfikatorem Entra firmy Microsoft. W szczególności niektóre z pierwszych rzeczy, które chcesz zweryfikować za pomocą agenta, to:

  • Czy jest zainstalowany?
  • Czy agent działa lokalnie?
  • Czy agent jest w portalu?
  • Czy agent jest oznaczony jako w dobrej kondycji?

Możesz zweryfikować te elementy w portalu i na serwerze lokalnym, na którym działa agent.

Weryfikacja agenta centrum administracyjnego firmy Microsoft

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby sprawdzić, czy platforma Azure wykryje agenta i czy agent jest w dobrej kondycji, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do sekcji Zarządzanie hybrydą>tożsamości>Microsoft Entra Połączenie> Cloud sync.Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. Wybierz pozycję Synchronizacja w chmurze.
  2. Powinien zostać wyświetlony zainstalowany agent. Sprawdź, czy dany agent istnieje. Jeśli wszystko jest dobrze, zostanie wyświetlony stan aktywny (zielony) dla agenta.

Weryfikowanie wymaganych otwartych portów

Sprawdź, czy agent aprowizacji firmy Microsoft jest w stanie pomyślnie komunikować się z centrami danych platformy Azure. Jeśli w ścieżce znajduje się zapora, upewnij się, że otwarte są następujące porty ruchu wychodzącego:

Numer portu Zastosowanie
80 Pobieranie list odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL.
443 Obsługa całej komunikacji wychodzącej z usługą serwer proxy aplikacji.

Jeśli zapora wymusza ruch według użytkowników pochodzących, otwórz również porty 80 i 443 dla ruchu z usług systemu Windows, które działają jako usługa sieciowa.

Zezwalanie na dostęp do adresów URL

Zezwól na dostęp do następujących adresów URL:

URL Port Zastosowanie
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Komunikacja między łącznikiem a usługą w chmurze serwer proxy aplikacji.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Łącznik używa tych adresów URL do weryfikowania certyfikatów.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS Łącznik używa tych adresów URL podczas procesu rejestracji.
ctldl.windowsupdate.com 80/HTTP Łącznik używa tego adresu URL podczas procesu rejestracji.

Możesz zezwolić na połączenia z adresami *.msappproxy.net, *.servicebus.windows.neti innymi z powyższych adresów URL, jeśli zapora lub serwer proxy umożliwia skonfigurowanie reguł dostępu na podstawie sufiksów domeny. Jeśli nie, musisz zezwolić na dostęp do zakresów adresów IP platformy Azure i tagów usługi — chmura publiczna. Zakresy adresów IP są aktualizowane co tydzień.

Ważne

Unikaj wszystkich wbudowanych inspekcji i kończenia komunikacji wychodzącej TLS między łącznikami sieci prywatnej firmy Microsoft i usługami w chmurze serwera proxy aplikacji firmy Microsoft Entra.

Rozpoznawanie nazw DNS dla punktów końcowych serwera proxy aplikacji entra firmy Microsoft

Publiczne rekordy DNS dla punktów końcowych serwera proxy aplikacji Firmy Microsoft są łańcuchowymi rekordami CNAME wskazującymi rekord A. Zapewnia to odporność na uszkodzenia i elastyczność. Gwarantuje to, że łącznik sieci prywatnej firmy Microsoft Entra zawsze uzyskuje dostęp do nazw hostów z sufiksami *.msappproxy.net domeny lub *.servicebus.windows.net.

Jednak podczas rozpoznawania nazw rekordy CNAME mogą zawierać rekordy DNS z różnymi nazwami hostów i sufiksami. W związku z tym należy upewnić się, że urządzenie może rozpoznać wszystkie rekordy w łańcuchu i umożliwia połączenie z rozpoznanych adresów IP. Ponieważ rekordy DNS w łańcuchu mogą zostać zmienione od czasu do czasu, nie możemy udostępnić żadnych rekordów DNS listy.

Na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Na serwerze z zainstalowanym agentem otwórz pozycję Usługi. W tym celu przejdź do strony Uruchom>>usług.msc.

  2. W obszarze Usługi upewnij się, że istnieją programy Microsoft Entra Połączenie Agent Updater i Microsoft Entra Provisioning Agent. Upewnij się również, że ich stan to Uruchomiono.

    Zrzut ekranu przedstawiający usługi lokalne i ich stan.

Typowe problemy z instalacją agenta

W poniższych sekcjach opisano niektóre typowe problemy z instalacją agenta i typowe rozwiązania tych problemów.

Nie można uruchomić agenta

Może zostać wyświetlony komunikat o błędzie informujący o tym, że:

Nie można uruchomić usługi "Microsoft Entra Provisioning Agent". Sprawdź, czy masz wystarczające uprawnienia do uruchamiania usług systemowych.

Ten problem jest zwykle spowodowany przez zasady grupy. Zasady uniemożliwiły stosowanie uprawnień do lokalnego konta logowania usługi NT utworzonego przez instalatora (NT SERVICE\AADConnectProvisioningAgent). Te uprawnienia są wymagane do uruchomienia usługi.

Aby rozwiązać ten problem, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.

  2. Otwórz pozycję Usługi, przechodząc do strony Uruchom>>usług.msc.

  3. W obszarze Usługi kliknij dwukrotnie pozycję Microsoft Entra Provisioning Agent.

  4. Na karcie Logowanie zmień to konto na administratora domeny. Następnie uruchom ponownie usługę.

    Zrzut ekranu przedstawiający opcje dostępne na karcie logowania.

Limit czasu agenta lub certyfikat jest nieprawidłowy

Podczas próby zarejestrowania agenta może zostać wyświetlony następujący komunikat o błędzie.

Zrzut ekranu przedstawiający komunikat o błędzie przekroczenia limitu czasu.

Ten problem jest zwykle spowodowany tym, że agent nie może nawiązać połączenia z usługą tożsamości hybrydowej. Aby rozwiązać ten problem, skonfiguruj serwer proxy ruchu wychodzącego.

Agent aprowizacji obsługuje korzystanie z serwera proxy ruchu wychodzącego. Można ją skonfigurować, edytując następujący plik konfiguracji agenta: C:\Program Files\Microsoft Azure AD Połączenie Provisioning Agent\AAD Połączenie ProvisioningAgent.exe.config.

Dodaj do niego następujące wiersze na końcu pliku tuż przed tagiem zamykającym </configuration> . Zastąp zmienne [proxy-server] i [proxy-port] wartościami nazwy serwera proxy i portu.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Rejestracja agenta kończy się niepowodzeniem z powodu błędu zabezpieczeń

Podczas instalowania agenta aprowizacji w chmurze może zostać wyświetlony komunikat o błędzie. Ten problem jest zwykle spowodowany tym, że agent nie może uruchomić skryptów rejestracji programu PowerShell z powodu lokalnych zasad wykonywania programu PowerShell.

Aby rozwiązać ten problem, zmień zasady wykonywania programu PowerShell na serwerze. Musisz mieć ustawione zasady komputera i użytkownika jako Undefined lub RemoteSigned. Jeśli są one ustawione jako Unrestricted, zostanie wyświetlony ten błąd. Aby uzyskać więcej informacji, zobacz Zasady wykonywania programu PowerShell.

Plik dzienników

Domyślnie agent generuje minimalną liczbę komunikatów o błędach i ilość informacji śledzenia stosu. Dzienniki śledzenia można znaleźć w następującym folderze: C:\ProgramData\Microsoft\Azure AD Połączenie Provisioning Agent\Trace.

Aby zebrać dodatkowe szczegóły dotyczące rozwiązywania problemów związanych z agentem, wykonaj następujące kroki.

  1. Zainstaluj moduł AADCloudSyncTools programu PowerShell.
  2. Export-AADCloudSyncToolsLogs Użyj polecenia cmdlet programu PowerShell, aby przechwycić informacje. Aby dostosować zbieranie danych, możesz użyć poniższych opcji.
    • SkipVerboseTrace aby eksportować tylko bieżące dzienniki bez przechwytywania pełnych dzienników (wartość domyślna = fałsz).
    • TracingDurationMins aby określić inny czas trwania przechwytywania (wartość domyślna = 3 minuty).
    • OutputPath aby określić inną ścieżkę wyjściową (wartość domyślna = folder Dokumenty użytkownika).

Problemy z synchronizacją obiektów

W portalu można użyć dzienników aprowizacji, aby ułatwić śledzenie i rozwiązywanie problemów z synchronizacją obiektów. Aby wyświetlić dzienniki, wybierz pozycję Dzienniki.

Zrzut ekranu przedstawiający przycisk dzienników.

Dzienniki aprowizacji zawierają wiele informacji na temat stanu synchronizowanych obiektów między środowiskiem lokalna usługa Active Directory a platformą Azure.

Zrzut ekranu przedstawiający informacje o dziennikach aprowizacji.

Widok można filtrować, aby skoncentrować się na określonych problemach, takich jak daty. Możesz również wyszukać dzienniki działań związanych z obiektem usługi Active Directory przy użyciu jego usługi Active Directory ObjectGuid. Kliknij dwukrotnie pojedyncze zdarzenie, aby wyświetlić dodatkowe informacje.

Zrzut ekranu przedstawiający informacje listy rozwijanej dzienników aprowizacji.

Te informacje zawierają szczegółowe kroki i miejsce wystąpienia problemu z synchronizacją. W ten sposób można wskazać dokładne miejsce problemu.

Pominięte obiekty

Jeśli synchronizowano użytkowników i grupy z usługi Active Directory, być może nie możesz zlokalizować co najmniej jednej grupy w identyfikatorze Entra firmy Microsoft. Może to być spowodowane tym, że synchronizacja nie została jeszcze ukończona lub jeszcze nie dogoniła tworzenia obiektu w usłudze Active Directory, błąd synchronizacji blokujący obiekt tworzony w identyfikatorze Entra firmy Microsoft lub reguła określania zakresu reguły synchronizacji może zostać zastosowana, która wyklucza obiekt.

Jeśli ponownie uruchomisz synchronizację, a następnie po zakończeniu cyklu aprowizacji przeszukaj dziennik aprowizacji pod kątem działań związanych z obiektem przy użyciu usługi Active Directory ObjectGuidtego obiektu. Jeśli zdarzenie z tożsamością zawierającą tylko identyfikator źródłowy i stan Skipped jest obecne w dzienniku, może to wskazywać, że agent filtrował obiekt usługi Active Directory, ponieważ był poza zakresem.

Domyślnie reguły określania zakresu wykluczają następujące obiekty z synchronizacji z identyfikatorem Entra firmy Microsoft:

  • użytkownicy, grupy i kontakty z IsCriticalSystemObject ustawieniem TRUE, w tym wielu wbudowanych użytkowników i grup w usłudze Active Directory
  • obiekty ofiary replikacji

Dodatkowe ograniczenia mogą być obecne w schemacie synchronizacji.

Próg usuwania obiektu Entra firmy Microsoft

Jeśli masz topologię implementacji z usługą Microsoft Entra Połączenie i Microsoft Entra Cloud Sync, zarówno eksportowanie do tej samej dzierżawy firmy Microsoft Entra, jak i całkowite przeniesienie z usługi Microsoft Entra Połączenie do usługi Microsoft Entra Cloud Sync, podczas usuwania lub przenoszenia wielu obiektów z zdefiniowanego zakresu może zostać wyświetlony następujący komunikat o błędzie eksportowania:

Zrzut ekranu przedstawiający błąd eksportu.

Ten błąd nie jest związany z funkcją zapobiegania przypadkowym usunięciom usługi Microsoft Entra Połączenie synchronizacji w chmurze. Jest ona wyzwalana przez funkcję zapobiegania przypadkowemu usunięciu ustawioną w katalogu Microsoft Entra z witryny Microsoft Entra Połączenie. Jeśli nie masz zainstalowanego serwera Microsoft Entra Połączenie, z którego można przełączyć tę funkcję, możesz użyć modułu "AADCloudSyncTools" programu PowerShell zainstalowanego z agentem synchronizacji microsoft entra Połączenie w chmurze, aby wyłączyć ustawienie w dzierżawie i zezwolić na zablokowane usunięcia do wyeksportowania po potwierdzeniu, że są one oczekiwane i powinny być dozwolone. Użyj następującego polecenia:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "340ab039-c6b1-48a5-9ba7-28fe88f83980"

Podczas następnego cyklu aprowizacji obiekty oznaczone do usunięcia powinny zostać pomyślnie usunięte z katalogu Microsoft Entra.

Problemy z kwarantanną podczas aprowizacji

Synchronizacja w chmurze monitoruje kondycję konfiguracji i umieszcza obiekty w złej kondycji w stanie kwarantanny. Jeśli większość lub wszystkie wywołania wykonywane względem systemu docelowego stale kończą się niepowodzeniem z powodu błędu (na przykład nieprawidłowych poświadczeń administratora), zadanie synchronizacji jest oznaczone jako w kwarantannie.

Zrzut ekranu przedstawiający stan kwarantanny.

Po wybraniu stanu można wyświetlić dodatkowe informacje o kwarantannie. Możesz również uzyskać kod błędu i komunikat.

Zrzut ekranu przedstawiający dodatkowe informacje o kwarantannie.

Kliknięcie prawym przyciskiem myszy stanu spowoduje wyświetlenie dodatkowych opcji:

  • Wyświetl dzienniki aprowizacji.
  • Wyświetl agentów.
  • Wyczyszczenie kwarantanny.

Zrzut ekranu przedstawiający opcje menu po kliknięciu prawym przyciskiem myszy.

Rozwiązywanie problemu z kwarantanną

Istnieją dwa różne sposoby rozwiązania kwarantanny. Możesz wyczyścić kwarantannę lub ponownie uruchomić zadanie aprowizacji.

Wyczyszczenie kwarantanny

Aby wyczyścić znak wodny i uruchomić synchronizację różnicową w zadaniu aprowizacji po jego zweryfikowaniu, po prostu kliknij prawym przyciskiem myszy stan i wybierz polecenie Wyczyść kwarantannę.

Powinno zostać wyświetlone powiadomienie, że kwarantanna jest czyszcząca.

Zrzut ekranu przedstawiający powiadomienie, że kwarantanna jest czyszcząca.

Następnie stan agenta powinien być widoczny jako w dobrej kondycji.

Zrzut ekranu przedstawiający stan agenta jest w dobrej kondycji.

Ponowne uruchomienie zadania aprowizacji

Użyj portalu, aby ponownie uruchomić zadanie aprowizacji. Na stronie konfiguracja agenta wybierz pozycję Uruchom ponownie synchronizację.

Zrzut ekranu przedstawiający opcje na stronie konfiguracji agenta.

Alternatywnie możesz użyć programu Microsoft Graph, aby ponownie uruchomić zadanie aprowizacji. Masz pełną kontrolę nad tym, co uruchamiasz ponownie. Możesz wyczyścić:

  • Escrows, aby ponownie uruchomić licznik depozytu, który jest naliczany w kierunku stanu kwarantanny.
  • Kwarantanna, aby usunąć aplikację z kwarantanny.
  • Znaki wodne.

Użyj następującego żądania:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Naprawianie konta usługi synchronizacji w chmurze

Jeśli musisz naprawić konto usługi synchronizacji w chmurze, możesz użyć Repair-AADCloudSyncToolsAccount polecenia .

  1. Zainstaluj moduł AADCloudSyncTools programu PowerShell.

  2. W sesji programu PowerShell z uprawnieniami administracyjnymi, wpisz lub skopiuj i wklej następujące elementy:

    Connect-AADCloudSyncTools

  3. Wprowadź poświadczenia Administracja istratora globalnego firmy Microsoft.

  4. Wpisz lub skopiuj i wklej następujące polecenie:

    Repair-AADCloudSyncToolsAccount

  5. Po zakończeniu tego procesu powinno się stwierdzić, że konto zostało pomyślnie naprawione.

Zapisywanie zwrotne haseł

Aby włączyć i użyć funkcji zapisywania zwrotnego haseł z synchronizacją w chmurze, należy pamiętać o następujących kwestiach:

  • Jeśli musisz zaktualizować uprawnienia gMSA, może upłynąć co najmniej godzinę, aby te uprawnienia były replikowane do wszystkich obiektów w katalogu. Jeśli nie przypiszesz tych uprawnień, zapisywanie zwrotne może być poprawnie skonfigurowane, ale użytkownicy mogą napotkać błędy podczas aktualizowania haseł lokalnych z chmury. Uprawnienia muszą być stosowane do tego obiektu i wszystkich obiektów potomnych, które mają być wyświetlane w przypadku funkcji Unexpire Password .
  • Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem w katalogu lokalnym, upewnij się, że dziedziczenie nie jest wyłączone dla konta w środowisku usług lokalna usługa Active Directory Domain Services (AD DS). Uprawnienia do zapisu haseł muszą być stosowane do obiektów potomnych, aby funkcja działała poprawnie.
  • Zasady haseł w lokalnym środowisku usług AD DS mogą uniemożliwić prawidłowe przetwarzanie resetowania haseł. Jeśli testujesz tę funkcję i chcesz zresetować hasła dla użytkowników więcej niż raz dziennie, zasady grupy dla minimalnego wieku hasła muszą być ustawione na 0. To ustawienie można znaleźć w następującej lokalizacji: Zasady konfiguracji>komputera Systemu>Windows Ustawienia> Zabezpieczenia Ustawienia> Zasady konta w pliku gpmc.msc.
    • Jeśli zaktualizujesz zasady grupy, zaczekaj na zreplikowanie zaktualizowanych zasad lub użyj gpupdate /force polecenia .
    • Aby hasła można było natychmiast zmienić, minimalny wiek hasła musi mieć wartość 0. Jeśli jednak użytkownicy są zgodni z zasadami lokalnymi, a minimalny wiek hasła jest ustawiony na wartość większą niż 0, zapisywanie zwrotne haseł nie działa po ocenie zasad lokalnych.

Następne kroki