Problemy z błędami synchronizacji

  • 10 min

Błędy mogą wystąpić, gdy dane tożsamości są synchronizowane z usługi Active Directory systemu Windows Server (AD DS) do identyfikatora Entra firmy Microsoft. Ta sekcja zawiera omówienie różnych typów błędów synchronizacji, niektóre z możliwych scenariuszy, które powodują te błędy i potencjalne sposoby naprawiania błędów. Ta sekcja zawiera typowe typy błędów i może nie obejmować wszystkich możliwych błędów.

W najnowszej wersji programu Microsoft Entra Połączenie raport o błędach synchronizacji jest dostępny w witrynie Azure Portal w ramach programu Microsoft Entra Połączenie Health na potrzeby synchronizacji.

Firma Microsoft Entra Połączenie wykonuje trzy typy operacji z katalogów, które są synchronizowane: Importowanie, synchronizacja i eksportowanie. Błędy mogą być wykonywane we wszystkich operacjach. Ta sekcja koncentruje się głównie na błędach podczas eksportowania do identyfikatora entra firmy Microsoft.

Błędy podczas eksportowania do identyfikatora Entra firmy Microsoft

W poniższej sekcji opisano różne typy błędów synchronizacji, które mogą wystąpić podczas operacji eksportowania do identyfikatora Entra firmy Microsoft przy użyciu łącznika Microsoft Entra. Ten łącznik można zidentyfikować za pomocą formatu nazwy.contoso.onmicrosoft.com Błędy podczas eksportowania do identyfikatora Entra firmy Microsoft wskazują, że operacja (dodawanie, aktualizowanie, usuwanie itp.) podjęta przez firmę Microsoft Entra Połączenie (aparat synchronizacji) w katalogu Microsoft Entra nie powiodła się.

Screenshot of the Export Errors Overview page in Microsoft Entra Connect.

Błędy niezgodności danych

InvalidSoftMatch

opis

  • Gdy microsoft Entra Połączenie (aparat synchronizacji) instruuje katalog, aby dodać lub zaktualizować obiekty, identyfikator Entra firmy Microsoft pasuje do obiektu przychodzącego przy użyciu atrybutu sourceAnchor atrybutu immutableId obiektów w identyfikatorze Entra firmy Microsoft. Ten mecz jest nazywany twardym dopasowaniem.
  • Gdy identyfikator Entra firmy Microsoft nie znajduje żadnego obiektu zgodnego z atrybutem immutableId atrybutem sourceAnchor obiektu przychodzącego, przed aprowizowaniem nowego obiektu, powraca do używania atrybutów ProxyAddresses i UserPrincipalName w celu znalezienia dopasowania. To dopasowanie jest nazywane dopasowaniem miękkim. Dopasowanie nietrwałe jest przeznaczone do dopasowywania obiektów już obecnych w identyfikatorze Entra firmy Microsoft z nowymi obiektami dodawanymi/aktualizowanymi podczas synchronizacji, które reprezentują tę samą jednostkę (użytkowników, grupy) lokalnie.
  • Błąd InvalidSoftMatch występuje, gdy twarde dopasowanie nie znajduje żadnego zgodnego obiektu I dopasowanie miękkie znajduje pasujący obiekt, ale ten obiekt ma inną wartość niezmiennąId niż obiekt przychodzący SourceAnchor, sugerując, że pasujący obiekt został zsynchronizowany z innym obiektem z lokalnej usługi Active Directory.

Innymi słowy, aby dopasowanie miękkie działało, obiekt do dopasowania miękkiego nie powinien mieć żadnej wartości dla niezmiennego Identyfikatora. Jeśli dowolny obiekt z niezmiennymidem ustawionym z wartością kończy się niepowodzeniem, ale spełnia kryteria dopasowania nietrwałego, operacja spowoduje błąd synchronizacji InvalidSoftMatch.

Schemat katalogu Entra firmy Microsoft nie zezwala na to, aby co najmniej dwa obiekty miały tę samą wartość następujących atrybutów. (Nie jest to wyczerpująca lista).

  • ProxyAddresses
  • UserPrincipalName
  • onPremisesSecurityIdentifier
  • ObjectId

Funkcja odporności atrybutu zduplikowanego atrybutu firmy Microsoft jest również wdrażana jako domyślne zachowanie identyfikatora Entra firmy Microsoft. Spowoduje to zmniejszenie liczby błędów synchronizacji obserwowanych przez firmę Microsoft Entra Połączenie (a także innych klientów synchronizacji), dzięki czemu identyfikator Entra firmy Microsoft jest bardziej odporny w sposób, w jaki obsługuje zduplikowane atrybuty ProxyAddresses i UserPrincipalName obecne w lokalnych środowiskach usługi AD. Ta funkcja nie naprawia błędów duplikowania. Dlatego dane nadal muszą być naprawione. Jednak umożliwia aprowizowanie nowych obiektów, które w przeciwnym razie nie mogą być aprowizowane z powodu zduplikowanych wartości w identyfikatorze Entra firmy Microsoft. Spowoduje to również zmniejszenie liczby błędów synchronizacji zwróconych do klienta synchronizacji. Jeśli ta funkcja jest włączona dla dzierżawy, podczas aprowizacji nowych obiektów nie będą widoczne błędy synchronizacji InvalidSoftMatch.

Przykładowe scenariusze dla InvalidSoftMatch

  • W lokalna usługa Active Directory istnieją co najmniej dwa obiekty o tej samej wartości atrybutu ProxyAddresses. Tylko jedna z nich jest aprowizowana w identyfikatorze Entra firmy Microsoft.
  • W lokalna usługa Active Directory istnieją co najmniej dwa obiekty o tej samej wartości atrybutu userPrincipalName. Tylko jedna z nich jest aprowizowana w identyfikatorze Entra firmy Microsoft.
  • Obiekt został dodany w lokalnej usłudze Active Directory o tej samej wartości atrybutu ProxyAddresses co istniejący obiekt w katalogu Microsoft Entra. Obiekt dodany lokalnie nie jest aprowizowany w katalogu Microsoft Entra.
  • Obiekt został dodany w lokalnej usłudze Active Directory o tej samej wartości atrybutu userPrincipalName co konto w identyfikatorze Entra firmy Microsoft. Obiekt nie jest aprowizowany w identyfikatorze Entra firmy Microsoft.
  • Zsynchronizowane konto zostało przeniesione z lasu A do lasu B. Microsoft Entra Połączenie (aparat synchronizacji) używał atrybutu ObjectGUID w celu obliczenia obiektu SourceAnchor. Po przeniesieniu lasu wartość sourceAnchor jest inna. Nowy obiekt (z lasu B) nie może zsynchronizować z istniejącym obiektem w identyfikatorze Entra firmy Microsoft.
  • Zsynchronizowany obiekt został przypadkowo usunięty z lokalnej usługi Active Directory, a nowy obiekt został utworzony w usłudze Active Directory dla tej samej jednostki (takiej jak użytkownik) bez usuwania konta w identyfikatorze Microsoft Entra. Nie można zsynchronizować nowego konta z istniejącym obiektem Microsoft Entra.
  • Firma Microsoft Entra Połączenie została odinstalowana i ponownie zainstalowana. Podczas ponownej instalacji inny atrybut został wybrany jako SourceAnchor. Wszystkie obiekty, które zostały wcześniej zsynchronizowane, zatrzymały synchronizację z błędem InvalidSoftMatch.

Przykład:

  1. Bob Smith jest zsynchronizowanym użytkownikiem w usłudze Microsoft Entra ID z lokalnej usługi Active Directory contoso.com

  2. Parametr UserPrincipalName Boba Smitha jest ustawiony jako bobs@contoso.com.

  3. "abcdefghijklmnopqrstuv==" jest obiektem SourceAnchor obliczanym przez firmę Microsoft Entra Połączenie przy użyciu identyfikatora objectGUID Boba Smitha z lokalnej usługi Active Directory, czyli niezmiennego identyfikatora Boba Smitha w usłudze Microsoft Entra ID.

  4. Bob ma również następujące wartości dla atrybutu proxyAddresses :

    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com

  5. Nowy użytkownik, Bob Taylor, jest dodawany do lokalnej usługi Active Directory.

  6. Parametr UserPrincipalName Boba Taylora jest ustawiony na bobt@contoso.comwartość .

  7. "abcdefghijkl0123456789==" to sourceAnchor obliczany przez firmę Microsoft Entra Połączenie przy użyciu identyfikatora objectGUID Boba Taylora z lokalnej usługi Active Directory. Obiekt Boba Taylora nie został jeszcze zsynchronizowany z identyfikatorem Entra firmy Microsoft.

  8. Bob Taylor ma następujące wartości dla atrybutu proxyAddresses

    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
    • Smtp: bob@contoso.com

  9. Podczas synchronizacji firma Microsoft Entra Połączenie rozpozna dodanie Boba Taylora w lokalnej usłudze Active Directory i poprosi firmę Microsoft Entra ID o wprowadzenie tej samej zmiany.

  10. Identyfikator Entra firmy Microsoft najpierw wykona twarde dopasowanie. Oznacza to, że będzie wyszukiwać, jeśli istnieje jakikolwiek obiekt o niezmiennej wartości "abcdefghijkl0123456789==". Dopasowanie twarde zakończy się niepowodzeniem, ponieważ żaden inny obiekt w identyfikatorze Entra firmy Microsoft nie będzie miał tego niezmiennego identyfikatora.

  11. Microsoft Entra ID podejmie próbę miękkiego dopasowania Boba Taylora. Oznacza to, że wyszukuje, jeśli istnieje jakikolwiek obiekt z atrybutem proxyAddresses równym trzem wartościom, w tym smtp: bob@contoso.com

  12. Identyfikator Entra firmy Microsoft znajdzie obiekt Boba Smitha w celu dopasowania do kryteriów dopasowania miękkiego. Jednak ten obiekt ma wartość immutableId = "abcdefghijklmnopqrstuv==". wskazuje, że ten obiekt został zsynchronizowany z innego obiektu z lokalnej usługi Active Directory. W związku z tym identyfikator Entra firmy Microsoft nie może dopasować tych obiektów i powoduje błąd synchronizacji InvalidSoftMatch .

Jak naprawić błąd InvalidSoftMatch

Najczęstszą przyczyną błędu InvalidSoftMatch są dwa obiekty z różnymi obiektami SourceAnchor (immutableId) o tej samej wartości dla atrybutów ProxyAddresses i/lub UserPrincipalName, które są używane podczas procesu dopasowania miękkiego w identyfikatorze Entra firmy Microsoft. Aby naprawić nieprawidłowe dopasowanie nietrwałe

  1. Zidentyfikuj zduplikowane wartości proxyAddresses, userPrincipalName lub inną wartość atrybutu, która powoduje błąd. Ponadto określ, które obiekty (lub więcej) są zaangażowane w konflikt. Raport wygenerowany przez firmę Microsoft Entra Połączenie Health na potrzeby synchronizacji może pomóc w zidentyfikowaniu dwóch obiektów.
  2. Określ, który obiekt powinien nadal mieć zduplikowaną wartość, a który nie.
  3. Usuń zduplikowaną wartość z obiektu, który nie powinien mieć tej wartości. Musisz wprowadzić zmianę w katalogu, z którego pochodzi obiekt. W niektórych przypadkach może być konieczne usunięcie jednego z konfliktujących obiektów.
  4. Jeśli wprowadzono zmiany w lokalnej usłudze AD, pozwól firmie Microsoft Połączenie zsynchronizować zmianę.

Raporty o błędach synchronizacji w usłudze Microsoft Entra Połączenie Health na potrzeby synchronizacji są aktualizowane co 30 minut i zawierają błędy z najnowszej próby synchronizacji.

Uwaga

NiezmiennyId według definicji nie powinien zmieniać się w okresie istnienia obiektu. Jeśli firma Microsoft Entra Połączenie nie została skonfigurowana z myślą o niektórych scenariuszach z powyższej listy, możesz zakończyć się sytuacją, w której firma Microsoft Entra Połączenie oblicza inną wartość obiektu SourceAnchor dla obiektu usługi AD, który reprezentuje tę samą jednostkę (ten sam użytkownik/grupa/kontakt itp.), który ma istniejący obiekt Microsoft Entra, którego chcesz kontynuować.

ObjectTypeMismatch

opis

Gdy identyfikator Entra firmy Microsoft próbuje nietrwało dopasować dwa obiekty, możliwe jest, że dwa obiekty o różnym typie "obiektu" (na przykład Użytkownik, Grupa, Kontakt itp.) mają te same wartości atrybutów używanych do wykonywania dopasowania nietrwałego. Ponieważ duplikowanie tych atrybutów nie jest dozwolone w firmie Microsoft Entra, operacja może spowodować błąd synchronizacji "ObjectTypeMismatch".

Przykładowe scenariusze błędu ObjectTypeMismatch

  • W rozwiązaniu Microsoft 365 jest tworzona grupa zabezpieczeń z włączoną obsługą poczty. Administracja dodaje nowego użytkownika lub kontaktu w lokalnej usłudze AD (która nie jest jeszcze zsynchronizowana z identyfikatorem Entra firmy Microsoft) z tą samą wartością atrybutu ProxyAddresses co grupa platformy Microsoft 365.

Przykładowy przypadek

  1. Administracja tworzy nową grupę zabezpieczeń z włączoną obsługą poczty w usłudze Microsoft 365 dla działu podatkowego i udostępnia adres e-mail jako tax@contoso.com. Ta grupa ma przypisaną wartość atrybutu ProxyAddresses smtp: tax@contoso.com
  2. Nowy użytkownik dołącza Contoso.com, a konto jest tworzone dla użytkownika lokalnego przy użyciu adresu proxyAddress jako smtp: tax@contoso.com
  3. Gdy firma Microsoft Entra Połączenie zsynchronizuje nowe konto użytkownika, zostanie wyświetlony błąd "ObjectTypeMismatch".

Jak naprawić błąd ObjectTypeMismatch

Najczęstszą przyczyną błędu ObjectTypeMismatch są dwa obiekty o różnym typie (użytkownik, grupa, kontakt itp.) mają tę samą wartość atrybutu ProxyAddresses. Aby naprawić obiekt ObjectTypeMismatch:

  1. Zidentyfikuj zduplikowaną wartość proxyAddresses (lub innego atrybutu), która powoduje błąd. Ponadto określ, które obiekty (lub więcej) są zaangażowane w konflikt. Raport wygenerowany przez firmę Microsoft Entra Połączenie Health na potrzeby synchronizacji może pomóc w zidentyfikowaniu dwóch obiektów.
  2. Określ, który obiekt powinien nadal mieć zduplikowaną wartość, a który nie.
  3. Usuń zduplikowaną wartość z obiektu, który nie powinien mieć tej wartości. Musisz wprowadzić zmianę w katalogu, z którego pochodzi obiekt. W niektórych przypadkach może być konieczne usunięcie jednego z konfliktujących obiektów.
  4. Jeśli wprowadzono zmiany w lokalnej usłudze AD, pozwól firmie Microsoft Połączenie zsynchronizować zmianę. Raport o błędach synchronizacji w usłudze Microsoft Entra Połączenie Health na potrzeby synchronizacji jest aktualizowany co 30 minut i zawiera błędy z najnowszej próby synchronizacji.

Zduplikowane atrybuty

AttributeValueMustBeUnique

opis

Schemat Entra firmy Microsoft nie zezwala na to, aby co najmniej dwa obiekty miały tę samą wartość następujących atrybutów. Każdy obiekt w identyfikatorze Entra firmy Microsoft jest zmuszony do posiadania unikatowej wartości tych atrybutów w danym wystąpieniu.

  • ProxyAddresses
  • UserPrincipalName

Jeśli firma Microsoft Entra Połączenie próbuje dodać nowy obiekt lub zaktualizować istniejący obiekt z wartością dla powyższych atrybutów, które są już przypisane do innego obiektu w identyfikatorze Entra firmy Microsoft, operacja powoduje błąd synchronizacji "AttributeValueMustBeUnique".

Możliwe scenariusze:

Zduplikowana wartość jest przypisywana do już zsynchronizowanego obiektu, który powoduje konflikt z innym zsynchronizowanym obiektem.

Przykład:

  1. Bob Smith jest zsynchronizowanym użytkownikiem w usłudze Microsoft Entra ID z lokalnej usługi Active Directory contoso.com

  2. Właściwość UserPrincipalName Boba Smitha w środowisku lokalnym jest ustawiona na bobs@contoso.comwartość .

  3. Bob ma również następujące wartości dla atrybutu proxyAddresses :

    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com

  4. Nowy użytkownik, Bob Taylor, jest dodawany do lokalnej usługi Active Directory.

  5. Parametr UserPrincipalName Boba Taylora jest ustawiony na bobt@contoso.comwartość .

  6. Bob Taylor ma następujące wartości atrybutu ProxyAddresses i. smtp: ii. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com

  7. Obiekt Boba Taylora został pomyślnie zsynchronizowany z identyfikatorem Entra firmy Microsoft.

  8. Administracja postanowił zaktualizować Bob Taylor's Atrybut ProxyAddresses o następującej wartości: i. Smtp:bob@contoso.com

  9. Identyfikator Entra firmy Microsoft podejmie próbę zaktualizowania obiektu Boba Taylora w identyfikatorze Entra firmy Microsoft o powyższej wartości, ale ta operacja zakończy się niepowodzeniem, ponieważ wartość ProxyAddresses jest już przypisana do Boba Smitha, co spowoduje błąd "AttributeValueMustBeUnique".

Jak naprawić błąd AttributeValueMustBeUnique

Najczęstszą przyczyną błędu AttributeValueMustBeUnique są dwa obiekty z różnymi atrybutami SourceAnchor (immutableId) o tej samej wartości dla atrybutów ProxyAddresses i/lub UserPrincipalName. Aby naprawić błąd AttributeValueMustBeUnique

  1. Zidentyfikuj zduplikowany adres proxyAddresses, userPrincipalName lub inną wartość atrybutu powodującą błąd. Ponadto określ, które obiekty (lub więcej) są zaangażowane w konflikt. Raport wygenerowany przez firmę Microsoft Entra Połączenie Health na potrzeby synchronizacji może pomóc w zidentyfikowaniu dwóch obiektów.
  2. Określ, który obiekt powinien nadal mieć zduplikowaną wartość, a który nie.
  3. Usuń zduplikowaną wartość z obiektu, który nie powinien mieć tej wartości. Musisz wprowadzić zmianę w katalogu, z którego pochodzi obiekt. W niektórych przypadkach może być konieczne usunięcie jednego z konfliktujących obiektów.
  4. Jeśli wprowadzisz zmianę w lokalnej usłudze AD, pozwól firmie Microsoft Połączenie zsynchronizować zmianę błędu, aby został naprawiony.

Błędy sprawdzania poprawności danych

IdentityDataValidationFailed

opis

Microsoft Entra ID wymusza różne ograniczenia dotyczące danych przed zezwoleniem na zapisanie tych danych w katalogu. Te ograniczenia mają na celu zapewnienie użytkownikom końcowym jak najlepszych wrażeń podczas korzystania z aplikacji, które zależą od tych danych.

Scenariusze

Wartość atrybutu UserPrincipalName ma nieprawidłowe/nieobsługiwane znaki. b. Atrybut UserPrincipalName nie jest zgodne z wymaganym formatem.

Jak naprawić błąd IdentityDataValidationFailed

Upewnij się, że atrybut userPrincipalName ma obsługiwane znaki i wymagany format.

FederatedDomainChangeError

opis

Ten przypadek powoduje błąd synchronizacji "FederatedDomainChangeError" , gdy sufiks UserPrincipalName użytkownika jest zmieniany z jednej domeny federacyjnej na inną domenę federacyjną.

Scenariusze

W przypadku zsynchronizowanego użytkownika sufiks UserPrincipalName został zmieniony z jednej domeny federacyjnej na inną lokalną domenę federacyjną. Na przykład nazwa UserPrincipalName = bob@contoso.com została zmieniona na UserPrincipalName = bob@fabrikam.com.

Przykład

  1. Bob Smith, konto Contoso.com, zostaje dodane jako nowy użytkownik w usłudze Active Directory przy użyciu nazwy UserPrincipalName bob@contoso.com
  2. Bob przechodzi do innego działu Contoso.com o nazwie Fabrikam.com, a ich UserPrincipalName jest zmieniany na bob@fabrikam.com
  3. Zarówno domeny contoso.com, jak i fabrikam.com są domenami federacyjnymi z identyfikatorem Entra firmy Microsoft.
  4. UserPrincipalName Boba nie jest aktualizowany i powoduje błąd synchronizacji "FederatedDomainChangeError".

LargeObject

opis

Gdy atrybut przekracza dozwolony limit rozmiaru, limit długości lub limit liczby ustawiony przez schemat Firmy Microsoft Entra, operacja synchronizacji powoduje błąd synchronizacji LargeObject lub ExceededAllowedLength . Błąd ten występuje zazwyczaj w przypadku następujących atrybutów:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Możliwe scenariusze

  1. Atrybut userCertificate Boba przechowuje zbyt wiele certyfikatów przypisanych do Boba. Mogą to być starsze, wygasłe certyfikaty. Nieprzekraczalny limit wynosi 15 certyfikatów.
  2. Atrybut userSMIMECertificate boba przechowuje zbyt wiele certyfikatów przypisanych do Boba. Mogą to być starsze, wygasłe certyfikaty. Nieprzekraczalny limit wynosi 15 certyfikatów.
  3. Zestaw thumbnailPhoto Boba w usłudze Active Directory jest zbyt duży, aby był synchronizowany w identyfikatorze Entra firmy Microsoft.
  4. Podczas automatycznej populacji atrybutu ProxyAddresses w usłudze Active Directory obiekt ma zbyt wiele przypisanych adresów proxy.

Jak rozwiązać problem

Upewnij się, że atrybut powodujący błąd znajduje się w dozwolonym ograniczeniu.

konflikt roli Administracja

opis

Istniejący konflikt roli Administracja wystąpi w obiekcie użytkownika podczas synchronizacji, gdy ten obiekt użytkownika ma:

  • uprawnienia administracyjne i
  • nazwa UserPrincipalName jako istniejący obiekt Microsoft Entra

Firma Microsoft Entra Połączenie nie może dopasować obiektu użytkownika z lokalnej usługi AD z obiektem użytkownika w identyfikatorze Entra firmy Microsoft, do którego przypisano rolę administracyjną.

Screenshot of the Microsoft Entra Connect screen with the Existing Admin field selected.

Jak rozwiązać problem

Aby rozwiązać ten problem, wykonaj następujące czynności:

  1. Usuń konto Microsoft Entra (właściciel) ze wszystkich ról administratora.
  2. Usuń trwale obiekt poddane kwarantannie w chmurze.
  3. Następny cykl synchronizacji zajmie się miękkim dopasowaniem użytkownika lokalnego do konta chmury (ponieważ użytkownik chmury nie jest już globalnym gościem).
  4. Przywróć członkostwo w rolach właściciela.

Uwaga

Rolę administracyjną można ponownie przypisać do istniejącego obiektu użytkownika po zakończeniu miękkiego dopasowania między obiektem użytkownika lokalnego a obiektem użytkownika Microsoft Entra.