Udostępnij za pośrednictwem

Rozwiązywanie problemów z obiektem, który nie jest synchronizowany z identyfikatorem Entra firmy Microsoft

  • Artykuł

Jeśli obiekt nie jest synchronizowany zgodnie z oczekiwaniami z identyfikatorem Entra firmy Microsoft, może to być spowodowane kilkoma przyczynami. Jeśli otrzymasz wiadomość e-mail o błędzie z Microsoft Entra ID lub wystąpi błąd w Microsoft Entra Connect Health, zamiast tego przeczytaj Rozwiązywanie problemów podczas synchronizacji. Jeśli jednak rozwiązujesz problem polegający na tym, że obiekt nie znajduje się w identyfikatorze Entra firmy Microsoft, ten artykuł jest przeznaczony dla Ciebie. Opisano, jak znaleźć błędy w komponencie lokalnym synchronizacji Microsoft Entra Connect.

Ważny

W przypadku wdrożenia programu Microsoft Entra Connect w wersji 1.1.749.0 lub nowszej użyj zadania rozwiązywania problemów w kreatorze, aby rozwiązać problemy z synchronizacją obiektów.

Proces synchronizacji

Zanim zbadamy problemy z synchronizacją, zapoznajmy się z procesem synchronizacji programu Microsoft Entra Connect:

Diagram procesu synchronizacji programu Microsoft Entra Connect

Terminologia

  • CS: obszar łącznika, tabela w bazie danych
  • MV: Metaverse— tabela w bazie danych

kroki synchronizacji

Proces synchronizacji obejmuje następujące kroki:

  1. Import z usługi AD: obiekty usługi Active Directory są przenoszone do Active Directory CS.

  2. Import z Microsoft Entra ID: Obiekty Microsoft Entra są wprowadzane do Microsoft Entra CS.

  3. Synchronizacja: reguły synchronizacji przychodzącej i reguły synchronizacji wychodzącej są uruchamiane w kolejności wg numeru przydzielonego pierwszeństwa, od niższego do wyższego. Aby wyświetlić reguły synchronizacji, przejdź do Edytora reguł synchronizacji z aplikacji desktopowych. Reguły synchronizacji przychodzącej przesyłają dane z CS do MV. Reguły synchronizacji ruchu wychodzącego przenoszą dane z mv do CS.

  4. Eksportuj do usługi AD: Po zsynchronizowaniu obiekty są eksportowane z usługi Active Directory CS do usługi Active Directory.

  5. Eksport do Microsoft Entra ID: Po zsynchronizowaniu obiekty są eksportowane z Microsoft Entra CS do Microsoft Entra ID.

Rozwiązywanie problemów

Aby znaleźć błędy, zapoznaj się z kilkoma różnymi miejscami w następującej kolejności:

  1. Dzienniki operacji służą do znajdowania błędów zidentyfikowanych przez mechanizm synchronizacji podczas importowania i synchronizacji.
  2. Znajdź brakujące obiekty i błędy synchronizacji w obszarze łącznika.
  3. Metawers rozwiązuje problemy związane z danymi.

Przed rozpoczęciem tych kroków uruchom program Synchronization Service Manager.

Operacji

Karta Operations w programie Synchronization Service Manager to miejsce, w którym należy rozpocząć rozwiązywanie problemów. Na tej karcie są wyświetlane wyniki z najnowszych operacji.

zrzut ekranu programu Synchronization Service Manager z wybraną kartą Operacje

Górna połowa zakładki Operations pokazuje wszystkie uruchomienia w kolejności chronologicznej. Domyślnie dziennik operacji przechowuje informacje o ostatnich siedmiu dniach, ale to ustawienie można zmienić przy użyciu scheduler. Poszukaj dowolnego przebiegu, który nie pokazuje statusu powodzenia. Sortowanie można zmienić, wybierając nagłówki.

Kolumna Status zawiera najważniejsze informacje i pokazuje najpoważniejszy problem w przebiegu. Oto krótkie podsumowanie najbardziej typowych stanów według priorytetu badania (gdzie * wskazuje kilka możliwych ciągów błędów).

Stan Komentarz
Zatrzymany-* Nie udało się zakończyć biegu. Może się to zdarzyć, na przykład jeśli system zdalny nie działa i nie można się z tym skontaktować.
zatrzymano limit błędu Istnieje ponad 5000 błędów. Przebieg został automatycznie zatrzymany z powodu dużej liczby błędów.
ukończono-*-błędy Przebieg zakończył się, ale występują błędy (mniej niż 5000), które należy zbadać.
ukończono-*-ostrzeżenia Przebieg zakończył się, ale niektóre dane nie są w oczekiwanym stanie. Jeśli występują błędy, ten komunikat jest tylko objawem. Nie badaj ostrzeżeń, dopóki nie zostały rozwiązane błędy.
sukces Brak problemów.

Po wybraniu wiersza dolna część karty Operations zostaje zaktualizowana, aby pokazać szczegóły dotyczące tego przebiegu. Po skrajnie lewej stronie tego obszaru może znajdować się lista zatytułowana Step #. Ta lista jest wyświetlana tylko wtedy, gdy w lesie znajduje się wiele domen, a każda domena jest przedstawiana w krokach. Nazwę domeny można znaleźć pod nagłówkiem Partition. Pod nagłówkiem Synchronization Statistics (Statystyki synchronizacji) znajdziesz więcej informacji na temat liczby przetworzonych zmian. Wybierz linki, aby uzyskać listę zmienionych obiektów. Jeśli występują obiekty z błędami, te błędy są wyświetlane pod nagłówkiem Błędy Synchronizacji.

Błędy na karcie Operacje

W przypadku wystąpienia błędów program Synchronization Service Manager wyświetla zarówno obiekt w błędzie, jak i sam błąd jako linki, które zawierają więcej informacji.

zrzut ekranu przedstawiający błędy w programie Synchronization Service Manager
Zacznij od wybrania ciągu błędu. (Na powyższym rysunku ciąg błędu to sync-rule-error-function-triggered.) Najpierw zostanie pokazany przegląd obiektu. Aby wyświetlić rzeczywisty błąd, wybierz opcję Ślad stosu. Ten ślad zawiera informacje na poziomie debugowania dotyczące błędu.

Kliknij prawym przyciskiem myszy na pole Informacje o stosie wywołań, wybierz Zaznacz wszystko, a następnie wybierz Kopiuj. Następnie skopiuj stos i przeanalizuj błąd w swoim ulubionym edytorze, takim jak Notatnik.

Jeśli błąd pochodzi z SyncRulesEngine, informacja o stosie wywołań najpierw wymienia wszystkie atrybuty obiektu. Przewiń w dół do momentu wyświetlenia nagłówka InnerException =>.

zrzut ekranu programu Synchronization Service Manager przedstawiający informacje o błędzie pod nagłówkiem InnerException =>

Linia po nagłówku wskazuje błąd. Na powyższym rysunku błąd pochodzi z niestandardowej reguły synchronizacji utworzonej przez firmę Fabrikam.

Jeśli błąd nie daje wystarczającej ilości informacji, nadszedł czas, aby przyjrzeć się samym danym. Wybierz link z identyfikatorem obiektu i kontynuuj rozwiązywanie problemów z przestrzenią łącznika i zaimportowanym obiektem.

Właściwości obiektu przestrzeni połączeń

Jeśli karta Operations nie zawiera błędów, postępuj zgodnie z obiektem przestrzeni połączeń od usługi Active Directory do metaverse, a potem do Microsoft Entra ID. W tej ścieżce należy znaleźć miejsce, w którym występuje problem.

Wyszukiwanie obiektu w cs

W programie Synchronization Service Manager wybierz pozycję Connectors, wybierz łącznik usługi Active Directory, a następnie wybierz pozycję Search Connector Space.

W polu zakresu wybierz RDN, jeśli chcesz wyszukać atrybut CN, lub wybierz DN lub anchor, gdy chcesz wyszukać atrybut distinguishedName. Wprowadź wartość i wybierz Wyszukaj.

Zrzut ekranu przedstawiający wyszukiwanie obszaru łącznika

Jeśli nie znajdziesz szukanego obiektu, mógł on zostać odfiltrowany przy użyciu filtrowania opartego na domenie lub filtrowania opartego na jednostki organizacyjnej. Aby sprawdzić, czy filtrowanie jest skonfigurowane zgodnie z oczekiwaniami, przeczytaj Microsoft Entra Connect Sync: Konfigurowanie filtrowania.

Możesz wykonać inne przydatne wyszukiwanie, wybierając łącznik Microsoft Entra Connector. W polu Zakres wybierz pozycję Oczekujące na import, a następnie zaznacz pole wyboru Dodaj. To wyszukiwanie udostępnia wszystkie zsynchronizowane obiekty w identyfikatorze Entra firmy Microsoft, których nie można skojarzyć z obiektem lokalnym.

zrzut ekranu przedstawiający osieroty w wyszukiwaniu obszaru łącznika

Te obiekty zostały utworzone przez inny aparat synchronizacji lub aparat synchronizacji z inną konfiguracją filtrowania. Te osierocone obiekty nie są już zarządzane. Przejrzyj tę listę i rozważ usunięcie tych obiektów za pomocą poleceń cmdlet Microsoft Graph PowerShell.

Importowanie cs

Gdy otwierasz obiekt CS, u góry znajduje się kilka kart. Karta Import pokazuje dane, które są przygotowywane do użycia po zaimportowaniu.

Zrzut ekranu przedstawiający okno Właściwości obiektu przestrzeni łączy z zaznaczoną kartą Import

Kolumna starej wartości pokazuje, co jest obecnie przechowywane w Connect. Kolumna Nowa wartość pokazuje to, co jest otrzymywane z systemu źródłowego i nie zostało jeszcze zastosowane. Jeśli w obiekcie wystąpi błąd, zmiany nie są przetwarzane.

Zakładka Błąd synchronizacji jest widoczna w oknie właściwości obiektu przestrzeni łącznika tylko wtedy, gdy występuje problem z obiektem. Aby uzyskać więcej informacji, zapoznaj się z rozwiązywaniem problemów z błędami synchronizacji na karcie Operacje.

Zrzut ekranu z zakładki Błąd synchronizacji w oknie Właściwości obiektu obszaru łącznika

Linia CS

Karta Lineage w oknie Właściwości Obiektu Przestrzeni Łącznika pokazuje, jak obiekt przestrzeni łącznika jest powiązany z obiektem metaverse. Możesz zobaczyć, kiedy łącznik ostatnio zaimportował zmianę z połączonego systemu oraz które reguły zostały zastosowane do wypełniania danych w metaverse.

Zrzut ekranu przedstawiający zakładkę Pochodzenie w oknie Właściwości obiektu przestrzeni łącznika

Na powyższym rysunku kolumna Akcja pokazuje regułę synchronizacji przychodzącej z akcją Provision. Oznacza to, że dopóki ten obiekt łączący jest obecny, obiekt metaverse pozostaje. Jeśli na liście reguł synchronizacji jest wyświetlana reguła synchronizacji wychodzącej z akcją Provisioning, obiekt ten zostanie usunięty po usunięciu obiektu metaverse.

Zrzut ekranu przedstawiający okno powiązań na karcie Pochodzenie w oknie Właściwości obiektu przestrzeni łącznika

Na powyższym rysunku można również zobaczyć w kolumnie PasswordSync, że przestrzeń połączeń przychodzących może przyczyniać się do zmian hasła, ponieważ jedna reguła synchronizacji ma wartość True. Hasło to jest przesyłane do Microsoft Entra ID za pomocą reguły wyjściowej.

Na zakładce Rodowód możesz przejść do metaverse, wybierając Właściwości obiektu Metaverse.

Prapremiera

W lewym dolnym rogu okna Właściwości obiektu obszaru łącznika znajduje się przycisk Podgląd. Wybierz ten przycisk, aby otworzyć stronę Preview, na której można zsynchronizować pojedynczy obiekt. Ta strona jest przydatna, jeśli rozwiązujesz problemy z niestandardowymi regułami synchronizacji i chcesz zobaczyć wpływ zmiany na pojedynczy obiekt. Możesz wybrać pełną synchronizację lub synchronizację różnicową. Możesz również wybrać Wygeneruj podgląd, który przechowuje tylko zmianę w pamięci. Możesz też wybrać opcję Commit Preview (Zatwierdź podgląd), która aktualizuje metaverse i przygotowuje wszystkie zmiany do przestrzeni docelowego łącznika.

Zrzut ekranu strony podglądu z zaznaczoną opcją Rozpocznij podgląd

W podglądzie można sprawdzić obiekt i sprawdzić, która reguła jest stosowana dla określonego przepływu atrybutów.

Zrzut ekranu strony podglądu pokazującej przepływ importu atrybutów

Rejestr

Obok przycisku Podgląd wybierz przycisk Dziennik, aby otworzyć stronę Dziennik. W tym miejscu można zobaczyć stan synchronizacji haseł i historię. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą programu Microsoft Entra Connect Sync.

Właściwości obiektu Metaverse

Lepiej zacząć wyszukiwanie od przestrzeni źródłowej łącznika usługi Active Directory. Jednak możesz również rozpocząć wyszukiwanie z metaverse.

Wyszukiwanie obiektu w MV

W programie Synchronization Service Manager wybierz pozycję Metaverse Search, jak pokazano na poniższej ilustracji. Utwórz zapytanie, o którym wiesz, że znajduje użytkownika. Wyszukaj typowe atrybuty, takie jak accountName (sAMAccountName) i userPrincipalName. Aby uzyskać więcej informacji, zobacz Sync Service Manager Metaverse search.

Zrzut ekranu programu Synchronization Service Manager z wybraną kartą Wyszukiwanie Metaverse

W oknie wyników wyszukiwania wybierz obiekt.

Jeśli nie znalazłeś obiektu, to nie dotarł on do metawersu. Kontynuuj wyszukiwanie obiektu w obszarze przestrzeni łącznika Active Directory . Jeśli znajdziesz obiekt w przestrzeni łącznika Active Directory, może wystąpić błąd synchronizacji, który blokuje przekazanie obiektu do metaverse. Można też zastosować filtr określania zakresu reguły synchronizacji.

Nie można odnaleźć obiektu w MV

Jeśli obiekt znajduje się w Active Directory CS, ale nie istnieje w MV, zostanie zastosowany filtr zakresu. Aby zapoznać się z filtrem określania zakresu, przejdź do menu aplikacji komputerowej i wybierz Edytor reguł synchronizacji. Przefiltruj reguły dotyczące obiektu, dostosowując poniższy filtr.

zrzut ekranu edytora reguł synchronizacji przedstawiający wyszukiwanie reguł synchronizacji dla ruchu przychodzącego

Wyświetl każdą regułę z powyższej listy i sprawdź filtr zakresu. W poniższym filtrze zakresu, jeśli wartość dla isCriticalSystemObject jest null, FAŁSZ lub pusta, znajduje się w zakresie.

Zrzut ekranu przedstawiający filtr zakresowy w wyszukiwaniu reguły synchronizacji przychodzącej

Przejdź do listy atrybutów CS Import i sprawdź, który filtr blokuje przejście obiektu do MV. Lista atrybutów obszaru łącznika zawiera tylko atrybuty inne niż null i niepuste. Jeśli na przykład isCriticalSystemObject nie jest wyświetlana na liście, wartość tego atrybutu ma wartość null lub jest pusta.

Nie można odnaleźć obiektu w microsoft Entra CS

Jeśli obiekt nie znajduje się w przestrzeni łącznika Entra ID firmy Microsoft, ale znajduje się w MV, sprawdź filtr zakresu reguł wychodzących odpowiadającej przestrzeni łącznika. Ustal, czy obiekt jest filtrowany, ponieważ atrybuty MV nie spełniają kryteriów.

Aby zapoznać się z filtrem określania zakresu dla ruchu wychodzącego, wybierz odpowiednie reguły dla obiektu i dostosuj następujący filtr. Wyświetl każdą regułę i przyjrzyj się odpowiedniej wartości atrybutu MV.

Zrzut ekranu z wyszukiwania reguł wychodzącej synchronizacji w Edytorze Reguł Synchronizacji

Atrybuty MV

Na karcie Atrybuty można zobaczyć wartości i łączniki, które się do nich przyczyniły.

zrzut ekranu przedstawiający okno Właściwości obiektu Metaverse z wybraną kartą Atrybuty

Jeśli obiekt nie jest synchronizowany, zadaj następujące pytania dotyczące stanów atrybutów w metaverse:

  • Czy atrybut cloudFiltered jest obecny i ustawiony na wartość True? Jeśli tak, to jest filtrowane zgodnie z krokami filtrowania opartego na atrybutach w .
  • Czy atrybut sourceAnchor jest obecny? Jeśli nie, czy masz topologię lasu zasobów konta? Jeśli obiekt jest identyfikowany jako połączona skrzynka pocztowa (atrybut msExchRecipientTypeDetails ma wartość 2), sourceAnchor jest dostarczany przez las z włączonym kontem usługi Active Directory. Upewnij się, że konto główne zostało zaimportowane i zsynchronizowane poprawnie. Konto główne musi być wymienione wśród łączników obiektu.

Łączniki MV

Karta Connectors zawiera wszystkie przestrzenie łączników, które mają reprezentację obiektu.

Zrzut ekranu przedstawiający okno Właściwości obiektu Metaverse z wybraną kartą Łączniki

Należy mieć łącznik do:

  • Każdy las usługi Active Directory, w którym użytkownik jest reprezentowany. Ta reprezentacja może obejmować obiekty foreignSecurityPrincipals i Contact.
  • Łącznik w usłudze Microsoft Entra ID.

Jeśli brakuje Ci łącznika do Microsoft Entra ID, zapoznaj się z sekcją dotyczącą atrybutów MV, aby sprawdzić kryteria aprowizacji do Microsoft Entra ID.

Na karcie Connectors można również przejść do obiektu przestrzeni konektorów . Wybierz wiersz i wybierz właściwości .

Następne kroki