Rozwiązywanie problemów z obiektem, który nie jest synchronizowany z identyfikatorem Entra firmy Microsoft

  • Artykuł

Jeśli obiekt nie jest synchronizowany zgodnie z oczekiwaniami z identyfikatorem Entra firmy Microsoft, może to być spowodowane kilkoma przyczynami. Jeśli otrzymasz wiadomość e-mail o błędzie od identyfikatora Entra firmy Microsoft lub zobaczysz błąd w usłudze Microsoft Entra Połączenie Health, przeczytaj zamiast tego artykuł Rozwiązywanie problemów z błędami podczas synchronizacji. Jeśli jednak rozwiązujesz problem polegający na tym, że obiekt nie znajduje się w identyfikatorze Entra firmy Microsoft, ten artykuł jest przeznaczony dla Ciebie. Opisano w nim, jak znaleźć błędy w składniku lokalnym Microsoft Entra Połączenie synchronizacji.

Ważne

W przypadku wdrożenia microsoft Entra Połączenie w wersji 1.1.749.0 lub nowszej użyj zadania rozwiązywania problemów w kreatorze, aby rozwiązać problemy z synchronizacją obiektów.

Proces synchronizacji

Zanim zbadamy problemy z synchronizacją, zapoznajmy się z procesem synchronizacji Połączenie firmy Microsoft:

Diagram of Microsoft Entra Connect Sync process

Terminologia

  • CS: Połączenie miejsce, tabela w bazie danych
  • MV: Metaverse, tabela w bazie danych

Kroki synchronizacji

Proces synchronizacji obejmuje następujące kroki:

  1. Importowanie z usługi AD: obiekty usługi Active Directory są wprowadzane do usługi Active Directory CS.

  2. Importowanie z identyfikatora Entra firmy Microsoft: obiekty Entra firmy Microsoft są wprowadzane do usługi Microsoft Entra CS.

  3. Synchronizacja: reguły synchronizacji ruchu przychodzącego i reguły synchronizacji ruchu wychodzącego są uruchamiane w kolejności liczby pierwszeństwa od niższej do wyższej. Aby wyświetlić reguły synchronizacji, przejdź do Edytora reguł synchronizacji z aplikacji klasycznych. Reguły synchronizacji ruchu przychodzącego przynoszą dane z cs do MV. Reguły synchronizacji ruchu wychodzącego przenoszą dane z mv do CS.

  4. Eksportowanie do usługi AD: po zsynchronizowaniu obiekty są eksportowane z usługi Active Directory CS do usługi Active Directory.

  5. Eksportuj do identyfikatora Entra firmy Microsoft: po zsynchronizowaniu obiekty są eksportowane z witryny Microsoft Entra CS do identyfikatora Entra firmy Microsoft.

Rozwiązywanie problemów

Aby znaleźć błędy, zapoznaj się z kilkoma różnymi miejscami w następującej kolejności:

  1. Dzienniki operacji w celu znalezienia błędów zidentyfikowanych przez aparat synchronizacji podczas importowania i synchronizacji.
  2. Miejsce łącznika w celu znalezienia brakujących obiektów i błędów synchronizacji.
  3. Metaverse do znajdowania problemów związanych z danymi.

Przed rozpoczęciem tych kroków uruchom program Synchronization Service Manager .

Operations

Karta Operacje w programie Synchronization Service Manager to miejsce, w którym należy rozpocząć rozwiązywanie problemów. Na tej karcie są wyświetlane wyniki z najnowszych operacji.

Screenshot of Synchronization Service Manager, showing Operations tab selected

Górna połowa karty Operacje pokazuje wszystkie uruchomienia w kolejności chronologicznej. Domyślnie dziennik operacji przechowuje informacje o ostatnich siedmiu dniach, ale to ustawienie można zmienić za pomocą harmonogramu. Poszukaj dowolnego przebiegu, który nie pokazuje stanu powodzenia. Sortowanie można zmienić, klikając nagłówki.

Kolumna Stan zawiera najważniejsze informacje i pokazuje najpoważniejszy problem dla przebiegu. Oto krótkie podsumowanie najbardziej typowych stanów według priorytetu badania (gdzie * wskazuje kilka możliwych ciągów błędów).

Stan Komentarz
Zatrzymany-* Nie można ukończyć przebiegu. Może się to zdarzyć, na przykład jeśli system zdalny nie działa i nie można się z tym skontaktować.
stopd-error-limit Istnieje ponad 5000 błędów. Przebieg został automatycznie zatrzymany z powodu dużej liczby błędów.
completed-*-errors Przebieg zakończył się, ale występują błędy (mniej niż 5000), które należy zbadać.
completed-*-warnings Przebieg został ukończony, ale niektóre dane nie są w oczekiwanym stanie. Jeśli występują błędy, ten komunikat jest zwykle tylko objawem. Nie badaj ostrzeżeń, dopóki nie zostały rozwiązane błędy.
powodzenie Brak problemów.

Po wybraniu wiersza dolna część karty Operacje zostanie zaktualizowana, aby wyświetlić szczegóły tego przebiegu. Po lewej stronie tego obszaru może istnieć lista zatytułowana Krok #. Ta lista jest wyświetlana tylko wtedy, gdy masz wiele domen w lesie, a każda domena jest reprezentowana przez krok. Nazwa domeny znajduje się pod nagłówkiem Partycja. W nagłówku Statystyki synchronizacji można znaleźć więcej informacji na temat liczby przetworzonych zmian. Wybierz linki, aby uzyskać listę zmienionych obiektów. Jeśli masz obiekty z błędami, te błędy są wyświetlane w nagłówku Błędy synchronizacji.

Błędy na karcie Operacje

W przypadku wystąpienia błędów program Synchronization Service Manager wyświetla zarówno obiekt w błędzie, jak i sam błąd jako linki, które zawierają więcej informacji.

Screenshot of errors in Synchronization Service Manager
Zacznij od wybrania ciągu błędu. (Na powyższej ilustracji ciąg błędu to sync-rule-error-function-triggered). Po raz pierwszy zostanie wyświetlony przegląd obiektu. Aby wyświetlić rzeczywisty błąd, wybierz pozycję Ślad stosu. Ten ślad zawiera informacje o poziomie debugowania dla błędu.

Kliknij prawym przyciskiem myszy pole Informacje o stosie wywołań, kliknij pozycję Zaznacz wszystko, a następnie wybierz polecenie Kopiuj. Następnie skopiuj stos i przyjrzyj się błędowi w ulubionym edytorze, takim jak Notatnik.

Jeśli błąd pochodzi z syncRulesEngine, informacje o stosie wywołań najpierw wyświetla listę wszystkich atrybutów obiektu. Przewiń w dół do momentu wyświetlenia nagłówka InnerException =>.

Screenshot of the Synchronization Service Manager, showing error information under the heading InnerException =>

Wiersz po nagłówku pokazuje błąd. Na powyższym rysunku błąd pochodzi z niestandardowej reguły synchronizacji utworzonej przez firmę Fabrikam.

Jeśli błąd nie daje wystarczającej ilości informacji, nadszedł czas, aby przyjrzeć się samym danym. Wybierz link z identyfikatorem obiektu i kontynuuj rozwiązywanie problemów z zaimportowanymi obiektami obszaru łącznika.

właściwości obiektu przestrzeni Połączenie or

Jeśli karta Operacje nie zawiera żadnych błędów, postępuj zgodnie z obiektem przestrzeni łącznika z usługi Active Directory do metaverse do identyfikatora Entra firmy Microsoft. W tej ścieżce należy znaleźć miejsce, w którym występuje problem.

Wyszukiwanie obiektu w cs

W menedżerze usług synchronizacji wybierz pozycję Połączenie or, wybierz Połączenie or usługi Active Directory, a następnie wybierz pozycję Wyszukaj Połączenie or Spacja.

W polu Zakres wybierz nazwę RDN, jeśli chcesz wyszukać atrybut CN, lub wybierz nazwę wyróżniającą lub kotwicę, gdy chcesz wyszukać atrybut distinguishedName. Wprowadź wartość i wybierz pozycję Wyszukaj.

Screenshot of a connector space search

Jeśli nie znajdziesz szukanego obiektu, mógł on zostać odfiltrowany przy użyciu filtrowania opartego na domenie lub filtrowania opartego na jednostkach organizacyjnych. Aby sprawdzić, czy filtrowanie jest skonfigurowane zgodnie z oczekiwaniami, przeczytaj artykuł Microsoft Entra Połączenie Sync: Configure filtering (Synchronizacja firmy Microsoft: konfigurowanie filtrowania).

Możesz wykonać inne przydatne wyszukiwanie, wybierając pozycję Microsoft Entra Połączenie or. W polu Zakres wybierz pozycję Oczekujące import, a następnie zaznacz pole wyboru Dodaj . To wyszukiwanie udostępnia wszystkie zsynchronizowane obiekty w identyfikatorze Entra firmy Microsoft, których nie można skojarzyć z obiektem lokalnym.

Screenshot of orphans in a connector space search

Te obiekty zostały utworzone przez inny aparat synchronizacji lub aparat synchronizacji z inną konfiguracją filtrowania. Te oddzielone obiekty nie są już zarządzane. Przejrzyj tę listę i rozważ usunięcie tych obiektów przy użyciu poleceń cmdlet programu PowerShell programu Microsoft Graph.

Importowanie cs

Po otwarciu obiektu CS u góry znajduje się kilka kart. Na karcie Importowanie są wyświetlane dane przygotowane po zaimportowaniu.

Screenshot of the Connector Space Object Properties window, with the Import tab selected

Kolumna Stara wartość pokazuje, co jest obecnie przechowywane w Połączenie, a kolumna Nowa wartość pokazuje, co zostało odebrane z systemu źródłowego i nie zostało jeszcze zastosowane. Jeśli w obiekcie wystąpi błąd, zmiany nie są przetwarzane.

Karta Błąd synchronizacji jest widoczna w oknie Właściwości obiektu obszaru Połączenie or tylko wtedy, gdy występuje problem z obiektem. Aby uzyskać więcej informacji, zobacz, jak rozwiązywać problemy z błędami synchronizacji na karcie Operacje.

Screenshot of the Synchronization Error tab in the Connector Space Object Properties window

Pochodzenie cs

Karta Pochodzenie w oknie właściwości obiektu obszaru Połączenie or pokazuje, jak obiekt przestrzeni łącznika jest powiązany z obiektem metaverse. Kiedy łącznik ostatnio zaimportował zmianę z połączonego systemu i które reguły stosowane do wypełniania danych w metaverse.

Screenshot showing the Lineage tab in the Connector Space Object Properties window

Na powyższym rysunku w kolumnie Akcja jest wyświetlana reguła synchronizacji ruchu przychodzącego z akcją Aprowizowanie. Oznacza to, że tak długo, jak ten obiekt przestrzeni łącznika jest obecny, obiekt metaverse pozostaje. Jeśli na liście reguł synchronizacji jest wyświetlana reguła synchronizacji ruchu wychodzącego z akcją Provision , ten obiekt zostanie usunięty po usunięciu obiektu metaverse.

Screenshot of a lineage window on the Lineage tab in the Connector Space Object Properties window

Na powyższym rysunku widać również w kolumnie PasswordSync , że przestrzeń łącznika dla ruchu przychodzącego może współtworzyć zmiany w haśle, ponieważ jedna reguła synchronizacji ma wartość True. To hasło jest wysyłane do identyfikatora Entra firmy Microsoft za pośrednictwem reguły ruchu wychodzącego.

Na karcie Pochodzenie możesz przejść do metaverse, wybierając pozycję Metaverse Object Properties (Właściwości obiektu Metaverse).

Wersja zapoznawcza

W lewym dolnym rogu okna Właściwości obiektu obszaru Połączenie or jest przycisk Podgląd. Wybierz ten przycisk, aby otworzyć stronę Podgląd , na której można zsynchronizować pojedynczy obiekt. Ta strona jest przydatna, jeśli rozwiązujesz problemy z niestandardowymi regułami synchronizacji i chcesz zobaczyć wpływ zmiany na pojedynczy obiekt. Możesz wybrać pełną synchronizacjęlub synchronizację różnicową. Możesz również wybrać pozycję Generuj podgląd, który zachowuje tylko zmianę w pamięci. Możesz też wybrać pozycję Zatwierdź podgląd, który aktualizuje metaverse i etapy wszystkich zmian w docelowych miejscach łącznika.

Screenshot of the Preview page, with Start Preview selected

W podglądzie można sprawdzić obiekt i sprawdzić, która reguła jest stosowana dla określonego przepływu atrybutów.

Screenshot of the Preview page, showing Import Attribute Flow

Dziennik

Obok przycisku Podgląd wybierz przycisk Dziennik, aby otworzyć stronę Dziennik. W tym miejscu można zobaczyć stan synchronizacji haseł i historię. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync.

Właściwości obiektu Metaverse

Zazwyczaj lepiej jest rozpocząć wyszukiwanie ze źródłowej przestrzeni łącznika usługi Active Directory. Jednak możesz również rozpocząć wyszukiwanie z metaverse.

Wyszukiwanie obiektu w mv

W menedżerze usług synchronizacji wybierz pozycję Wyszukiwanie metaverse, jak na poniższej ilustracji. Utwórz zapytanie, które znasz, znajduje użytkownika. Wyszukaj typowe atrybuty, takie jak accountName (sAMAccountName) i userPrincipalName. Aby uzyskać więcej informacji, zobacz Synchronizowanie wyszukiwania metaverse programu Service Manager.

Screenshot of Synchronization Service Manager, with the Metaverse Search tab selected

W oknie Wyniki wyszukiwania kliknij obiekt.

Jeśli obiekt nie został odnaleziony, nie osiągnął jeszcze metaverse. Przejdź do wyszukiwania obiektu w obszarze łącznika usługi Active Directory. Jeśli znajdziesz obiekt w obszarze łącznika usługi Active Directory, może wystąpić błąd synchronizacji, który blokuje, że obiekt będzie wracał do metaverse lub można zastosować filtr określania zakresu reguły synchronizacji.

Nie można odnaleźć obiektu w mv

Jeśli obiekt znajduje się w usłudze Active Directory CS, ale nie istnieje w mv, zostanie zastosowany filtr określania zakresu. Aby zapoznać się z filtrem określania zakresu, przejdź do menu aplikacji klasycznej i wybierz pozycję Edytor reguł synchronizacji. Przefiltruj reguły dotyczące obiektu, dostosowując poniższy filtr.

Screenshot of Synchronization Rules Editor, showing an inbound synchronization rules search

Wyświetl każdą regułę z powyższej listy i sprawdź filtr określania zakresu. W poniższym filtrze określania zakresu, jeśli wartość isCriticalSystemObject ma wartość null lub FALSE lub jest pusta, jest w zakresie.

Screenshot of a scoping filter in an inbound synchronization rule search

Przejdź do listy atrybutów importu CS i sprawdź, który filtr blokuje przejście obiektu do mv. Lista atrybutów Połączenie or Space będzie zawierać tylko atrybuty inne niż null i niepuste. Jeśli na przykład właściwość isCriticalSystemObject nie jest wyświetlana na liście, wartość tego atrybutu ma wartość null lub jest pusta.

Nie można odnaleźć obiektu w microsoft Entra CS

Jeśli obiekt nie znajduje się w przestrzeni łącznika identyfikatora Entra firmy Microsoft, ale znajduje się w mv, zapoznaj się z filtrem określania zakresu reguł ruchu wychodzącego odpowiedniego obszaru łącznika i sprawdź, czy obiekt jest odfiltrowany, ponieważ atrybuty MV nie spełniają kryteriów.

Aby zapoznać się z filtrem określania zakresu dla ruchu wychodzącego, wybierz odpowiednie reguły dla obiektu, dostosowując filtr poniżej. Wyświetl każdą regułę i przyjrzyj się odpowiedniej wartości atrybutu MV.

Screenshot of an outbound synchronization rules search in Synchronization Rules Editor

Atrybuty MV

Na karcie Atrybuty można wyświetlić wartości i łączniki, które je przyczyniły.

Screenshot of the Metaverse Object Properties window, with the Attributes tab selected

Jeśli obiekt nie jest synchronizowany, zadaj następujące pytania dotyczące stanów atrybutów w metaverse:

  • Czy atrybut cloudFiltered jest obecny i ustawiony na true? Jeśli tak jest, został odfiltrowany zgodnie z krokami filtrowania opartego na atrybutach.
  • Czy atrybut sourceAnchor jest obecny? Jeśli nie, czy masz topologię lasu zasobów konta? Jeśli obiekt jest identyfikowany jako połączona skrzynka pocztowa (atrybut msExchRecipientTypeDetails ma wartość 2), źródłoAnchor jest współautorem przez las z włączonym kontem usługi Active Directory. Upewnij się, że konto główne zostało zaimportowane i zsynchronizowane poprawnie. Konto główne musi być wymienione wśród łączników dla obiektu.

Łączniki MV

Karta Połączenie ors zawiera wszystkie przestrzenie łączników, które mają reprezentację obiektu.

Screenshot of the Metaverse Object Properties window, with the Connectors tab selected

Należy mieć łącznik do:

  • Każdy las usługi Active Directory reprezentowany przez użytkownika. Ta reprezentacja może obejmować obiekty foreignSecurityPrincipals i Contact .
  • Łącznik w usłudze Microsoft Entra ID.

Jeśli brakuje łącznika do identyfikatora Entra firmy Microsoft, zapoznaj się z sekcją dotyczącą atrybutów MV, aby sprawdzić kryteria aprowizacji identyfikatora Entra firmy Microsoft.

Na karcie Połączenie or można również przejść do obiektu obszaru łącznika. Wybierz wiersz i kliknij pozycję Właściwości.

Następne kroki