Kompleksowe rozwiązywanie problemów z Microsoft Entra Łączenie obiektów i atrybutów

Ten artykuł ma na celu ustanowienie powszechnej praktyki rozwiązywania problemów z synchronizacją w Tożsamość Microsoft Entra. Ta metoda ma zastosowanie do sytuacji, w których obiekt lub atrybut nie jest synchronizowany z usługą Azure Active AD i nie wyświetla żadnych błędów w aparacie synchronizacji, w dziennikach przeglądarki aplikacji ani w dziennikach Microsoft Entra. Łatwo jest zgubić się w szczegółach, jeśli nie ma oczywistego błędu. Jednak korzystając z najlepszych rozwiązań, można wyizolować problem i dostarczyć szczegółowych informacji dla inżynierów pomoc techniczna firmy Microsoft.

W miarę stosowania tej metody rozwiązywania problemów do środowiska z upływem czasu będzie można wykonać następujące czynności:

• Rozwiązywanie problemów z logiką aparatu synchronizacji od końca do końca.
• Bardziej wydajne rozwiązywanie problemów z synchronizacją.
• Szybciej zidentyfikuj problemy, przewidując krok, w którym wystąpią.
• Zidentyfikuj punkt początkowy przeglądania danych.
• Określ optymalną rozdzielczość.

Kroki podane w tym miejscu rozpoczynają się na lokalnym poziomie usługi Active Directory i postępują w kierunku Tożsamość Microsoft Entra. Te kroki są najczęstszym kierunkiem synchronizacji. Jednak te same zasady mają zastosowanie do kierunku odwrotnego (na przykład w przypadku zapisywania zwrotnego atrybutów).

Wymagania wstępne

Aby lepiej zrozumieć ten artykuł, najpierw przeczytaj następujące artykuły z wymaganiami wstępnymi, aby lepiej zrozumieć, jak wyszukiwać obiekt w różnych źródłach (AD, AD CS, MV itd.) i dowiedzieć się, jak sprawdzić łączniki i pochodzenie obiektu.

• Microsoft Entra Connect: Konta i uprawnienia
• Rozwiązywanie problemów z obiektem, który nie jest synchronizowany z Tożsamość Microsoft Entra
• Rozwiązywanie problemów z synchronizacją obiektów za pomocą programu Microsoft Entra Connect Sync

Złe rozwiązania dotyczące rozwiązywania problemów

Flaga DirSyncEnabled w Tożsamość Microsoft Entra kontroluje, czy dzierżawa jest przygotowana do akceptowania synchronizacji obiektów z lokalnej usługi AD. Widzieliśmy, że wielu klientów wpada w nawyk wyłączania narzędzia DirSync w dzierżawie podczas rozwiązywania problemów z synchronizacją obiektów lub atrybutów. Synchronizację katalogów można łatwo wyłączyć, uruchamiając następujące polecenie cmdlet programu PowerShell:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Uwaga

Moduły programu PowerShell Azure AD i MSOnline są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Jednak może to być katastrofalne, ponieważ wyzwala złożoną i długą operację zaplecza, aby przenieść usługę SoA z lokalnej usługi Active Directory do Tożsamość Microsoft Entra/Exchange Online dla wszystkich zsynchronizowanych obiektów w dzierżawie. Ta operacja jest niezbędna do przekonwertowania każdego obiektu z DirSyncEnabled na tylko w chmurze i oczyszczenia wszystkich właściwości w tle synchronizowanych z lokalnej usługi AD (na przykład ShadowUserPrincipalName i ShadowProxyAddresses). W zależności od rozmiaru dzierżawy ta operacja może potrwać więcej niż 72 godziny. Ponadto nie można przewidzieć, kiedy operacja zakończy się. Nigdy nie używaj tej metody do rozwiązywania problemu z synchronizacją, ponieważ spowoduje to dodatkowe szkody i nie rozwiąże problemu. Do momentu zakończenia tej operacji wyłączania zostanie zablokowana możliwość ponownego włączenia narzędzia DirSync. Ponadto po ponownym włączeniu narzędzia DirSync usługa AADC musi ponownie dopasować wszystkie obiekty lokalne do istniejących obiektów Microsoft Entra. Ten proces może być destrukcyjny.

Jedynymi scenariuszami, w których to polecenie jest obsługiwane w celu wyłączenia narzędzia DirSync, są następujące:

• Likwidujesz lokalny serwer synchronizacji i chcesz nadal zarządzać tożsamościami całkowicie z chmury, a nie z tożsamości hybrydowych.
• W dzierżawie masz kilka zsynchronizowanych obiektów, które chcesz zachować jako tylko w chmurze w Tożsamość Microsoft Entra i trwale usunąć z lokalnej usługi AD.
• Obecnie używasz atrybutu niestandardowego jako sourceanchor w usłudze AADC (na przykład employeeId) i ponownie instalujesz usługę AADC, aby rozpocząć korzystanie z polecenia ms-Ds-Consistency-Guid/ObjectGuid jako nowego atrybutu SourceAnchor (lub na odwrót).
• Istnieją pewne scenariusze, które obejmują ryzykowne strategie migracji skrzynki pocztowej i dzierżawy.

W niektórych sytuacjach może być konieczne tymczasowe zatrzymanie synchronizacji lub ręczne sterowanie cyklami synchronizacji usługi AADC. Na przykład może być konieczne zatrzymanie synchronizacji, aby móc uruchamiać jeden krok synchronizacji naraz. Jednak zamiast wyłączać narzędzie DirSync, możesz zatrzymać tylko harmonogram synchronizacji, uruchamiając następujące polecenie cmdlet:

Set-ADSyncScheduler -SyncCycleEnabled $false

Gdy wszystko będzie gotowe, ręcznie rozpocznij cykl synchronizacji, uruchamiając następujące polecenie cmdlet:

Start-ADSyncSyncCycle

Słowniczek

Akronim/skrót	Nazwa/opis
AADC	Microsoft Entra Connect
Analiza głównej przyczyny	Konto łącznika Microsoft Entra
AADCS	obszar łącznika Microsoft Entra
AADCS:AttributeA	Atrybut "A" w obszarze łącznika Microsoft Entra
Listy acl	Access Control Listy (nazywane również uprawnieniami ADDS)
Analiza głównej przyczyny	Konto łącznika usługi AD
Usługi ADCS	Przestrzeń łącznika usługi Active Directory
ADCS:AttributeA	Atrybut "A" w obszarze łącznika usługi Active Directory
ADDS lub AD	Active Directory Domain Services
CS	Przestrzeń łącznika
MV	Metaverse
Konto MSOL	Automatycznie wygenerowane konto łącznika usługi AD (MSOL_########)
MV:AttributeA	Atrybut "A" w obiekcie Metaverse
Soa	Źródło urzędu

Krok 1. Synchronizacja między usługami ADDS i ADCS

Cel kroku 1

Określ, czy obiekt lub atrybut jest obecny i spójny w usłudze ADCS. Jeśli możesz zlokalizować obiekt w usłudze ADCS, a wszystkie atrybuty mają oczekiwane wartości, przejdź do kroku 2.

Opis kroku 1

Synchronizacja między usługami ADDS i ADCS odbywa się w kroku importowania i jest momentem, w którym usługa AADC odczytuje dane z katalogu źródłowego i przechowuje dane w bazie danych. Oznacza to, że gdy dane są przygotowywane w przestrzeni łącznika. Podczas importowania różnicowego z usługi AD usługa AADC żąda wszystkich nowych zmian, które wystąpiły po danym znaku wodnym katalogu. To wywołanie jest inicjowane przez usługę AADC przy użyciu kontrolki DirSync usług katalogowych względem usługi replikacji usługi Active Directory. Ten krok zawiera ostatni znak wodny jako ostatni pomyślny import usługi AD i nadaje usłudze AD odwołanie do punktu w czasie od momentu pobrania wszystkich zmian (delta). Pełny import jest inny, ponieważ usługa AADC zaimportuje z usługi AD wszystkie dane (w zakresie synchronizacji), a następnie oznaczy jako przestarzałe (i usunie) wszystkie obiekty, które nadal znajdują się w usłudze ADCS, ale nie zostały zaimportowane z usługi AD. Wszystkie dane między usługami AD i AADC są przesyłane za pośrednictwem protokołu LDAP i są domyślnie szyfrowane.

Jeśli połączenie z usługą AD zakończy się pomyślnie, ale obiekt lub atrybut nie jest obecny w usłudze ADCS (przy założeniu, że domena lub obiekt jest w zakresie synchronizacji), problem najprawdopodobniej obejmuje uprawnienia ADDS. Aby zaimportować dane do usługi ADCS, analiza ADCA wymaga uprawnień ay najmniej odczytu obiektu w usłudze AD. Domyślnie konto MSOL ma jawne uprawnienia do odczytu/zapisu dla wszystkich właściwości użytkownika, grupy i komputera. Jednak taka sytuacja może nadal być problematyczna, jeśli spełnione są następujące warunki:

• Usługa AADC używa niestandardowej analizy ADCA, ale nie została podana wystarczająca liczba uprawnień w usłudze AD.
• Nadrzędna jednostka organizacyjna zablokowała dziedziczenie, co uniemożliwia propagację uprawnień z katalogu głównego domeny.
• Sam obiekt lub atrybut zablokował dziedziczenie, co uniemożliwia propagację uprawnień.
• Obiekt lub atrybut ma jawne uprawnienie Odmowa, które uniemożliwia usłudze ADCA odczytywanie go.

Rozwiązywanie problemów z usługą Active Directory

Łączność z usługą AD

W Service Manager synchronizacji krok "Importuj z usługi AD" pokazuje, z którym kontrolerem domeny jest kontaktowany w obszarze Stan połączenia. W tym miejscu najprawdopodobniej wystąpi błąd, gdy wystąpi problem z łącznością, który ma wpływ na usługę AD.

Jeśli musisz dalej rozwiązywać problemy z łącznością dla usługi AD, zwłaszcza jeśli na serwerze programu Microsoft Entra Connect nie pojawiły się żadne błędy lub jeśli nadal jesteś w trakcie instalowania produktu, rozpocznij od użycia narzędzia ADConnectivityTool.

Problemy z połączeniem z usługą ADDS mają następujące przyczyny:

• Nieprawidłowe poświadczenia usługi AD. Na przykład analiza ADCA wygasła lub hasło zostało zmienione.
• Błąd "failed-search", który występuje, gdy kontrolka DirSync nie komunikuje się z usługą replikacji usługi AD, zwykle z powodu fragmentacji pakietów o wysokiej sieci.
• Błąd "no-start-ma", który występuje, gdy w usłudze AD występują problemy z rozpoznawaniem nazw (DNS).
• Inne problemy, które mogą być spowodowane problemami z rozpoznawaniem nazw, problemami z routingiem sieci, zablokowanymi portami sieciowymi, wysokim fragmentacją pakietów sieciowych, brakiem dostępnych zapisywalnych kontrolerów domeny itd. W takich przypadkach prawdopodobnie trzeba będzie zaangażować usługi katalogowe lub zespoły pomocy technicznej dotyczące sieci, aby pomóc w rozwiązywaniu problemów.

Podsumowanie rozwiązywania problemów

• Określ, który kontroler domeny jest używany.
• Użyj preferowanych kontrolerów domeny, aby kierować do tego samego kontrolera domeny.
• Poprawnie zidentyfikuj usługę ADCA.
• Użyj narzędzia ADConnectivityTool, aby zidentyfikować problem.
• Użyj narzędzia LDP, aby spróbować powiązać kontroler domeny z usługą ADCA.
• Skontaktuj się z usługami katalogowymi lub zespołem pomocy technicznej ds. sieci, aby ułatwić rozwiązywanie problemów.

Uruchamianie narzędzia do rozwiązywania problemów z synchronizacją

Po rozwiązaniu problemów z łącznością usługi AD uruchom narzędzie Rozwiązywanie problemów z synchronizacją obiektów , ponieważ to narzędzie może wykryć najbardziej oczywiste przyczyny, dla których obiekt lub atrybut nie ma być synchronizowany.

Uprawnienia usługi AD

Brak uprawnień usługi AD może mieć wpływ na oba kierunki synchronizacji:

• Podczas importowania z programu ADDS do usługi ADCS brak uprawnień może spowodować, że usługa AADC pominie obiekty lub atrybuty, dzięki czemu usługa AADC nie będzie mogła pobierać aktualizacji ADDS w strumieniu importu. Ten błąd występuje, ponieważ analiza ADCA nie ma wystarczających uprawnień do odczytu obiektu.
• Podczas eksportowania z usługi ADCS do usługi ADDS brak uprawnień generuje błąd eksportu "problem z uprawnieniami".

Aby sprawdzić uprawnienia, otwórz okno Właściwości obiektu usługi AD, wybierz pozycję Zabezpieczenia>zaawansowane, a następnie sprawdź listy ACL zezwalania/odrzucania obiektu, wybierając przycisk Wyłącz dziedziczenie (jeśli dziedziczenie jest włączone). Zawartość kolumny można sortować według typu , aby zlokalizować wszystkie uprawnienia "odmów". Uprawnienia usługi AD mogą się znacznie różnić. Jednak domyślnie dla "Zaufanego podsystemu Exchange" może być widoczna tylko jedna lista "Odmów listy ACL". Większość uprawnień zostanie oznaczona jako Zezwalaj.

Najistotniejsze są następujące uprawnienia domyślne:

• Uwierzytelnieni użytkownicy

  

• Wszyscy

  

• Niestandardowe konto usługi ADCA lub MSOL

  

• Dostęp zgodny z systemem Windows 2000

  

• SELF

  

Najlepszym sposobem rozwiązywania problemów z uprawnieniami jest użycie funkcji "Efektywny dostęp" w konsoli Użytkownicy i komputery usługi AD . Ta funkcja sprawdza obowiązujące uprawnienia dla danego konta (ADCA) obiektu docelowego lub atrybutu, który chcesz rozwiązać.

Ważna

Rozwiązywanie problemów z uprawnieniami usługi AD może być trudne, ponieważ zmiana list ACL nie ma natychmiastowego wpływu. Zawsze należy wziąć pod uwagę, że takie zmiany podlegają replikacji usługi AD.

Przykład:

• Upewnij się, że wprowadzasz niezbędne zmiany bezpośrednio do najbliższego kontrolera domeny (zobacz sekcję "Łączność z usługą AD"):
• Poczekaj na wystąpienie replikacji ADDS.
• Jeśli to możliwe, uruchom ponownie usługę ADSync, aby wyczyścić pamięć podręczną.

Podsumowanie rozwiązywania problemów

• Określ, który kontroler domeny jest używany.
• Użyj preferowanych kontrolerów domeny, aby kierować do tego samego kontrolera domeny.
• Poprawnie zidentyfikuj usługę ADCA.
• Użyj narzędzia Konfigurowanie uprawnień konta łącznika usług AD DS .
• Użyj funkcji "Efektywny dostęp" w obszarze Użytkownicy i komputery usługi AD.
• Użyj narzędzia LDP, aby powiązać z kontrolerem domeny, który ma ADCA, i spróbuj odczytać obiekt lub atrybut, który kończy się niepowodzeniem.
• Tymczasowo dodaj usługę ADCA do administratorów przedsiębiorstwa lub administratorów domeny i uruchom ponownie usługę ADSync.

Ważne: Nie używaj tego jako rozwiązania.

• Po zweryfikowaniu problemu z uprawnieniami usuń usługę ADCA ze wszystkich grup o wysokim poziomie uprawnień i podaj wymagane uprawnienia usługi AD bezpośrednio do usługi ADCA.
• Engage usługi katalogowe lub zespół pomocy technicznej sieci, aby pomóc w rozwiązywaniu problemów z sytuacją.

Replikacje usługi AD

Ten problem jest mniej prawdopodobne, aby wpłynąć na Microsoft Entra Connect, ponieważ powoduje większe problemy. Jednak gdy program Microsoft Entra Connect importuje dane z kontrolera domeny przy użyciu opóźnionej replikacji, nie będzie importować najnowszych informacji z usługi AD, co powoduje problemy z synchronizacją, w których obiekt lub atrybut, który został niedawno utworzony lub zmieniony w usłudze AD, nie jest synchronizowany z Tożsamość Microsoft Entra, ponieważ nie został zreplikowany do kontrolera domeny, który nie został zreplikowany Microsoft Entra Nawiązywanie połączenia. Aby sprawdzić, czy jest to problem, sprawdź kontroler domeny używany przez usługę AADC do importowania (zobacz "Łączność z usługą AD") i użyj konsoli Użytkownicy i komputery usługi AD , aby bezpośrednio nawiązać połączenie z tym serwerem (zobacz Zmienianie kontrolera domeny na następnym obrazie). Następnie sprawdź, czy dane na tym serwerze odpowiadają najnowszym danym i czy są one zgodne z odpowiednimi danymi usługi ADCS. Na tym etapie usługa AADC wygeneruje większe obciążenie kontrolera domeny i warstwy sieci.

Innym podejściem jest użycie narzędzia RepAdmin do sprawdzania metadanych replikacji obiektu na wszystkich kontrolerach domeny, pobierania wartości ze wszystkich kontrolerów domeny i sprawdzania stanu replikacji między kontrolerami domeny:

• Wartość atrybutu ze wszystkich kontrolerów domeny:

  repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

  

• Metadane obiektu ze wszystkich kontrolerów domeny:

  repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

  

• Podsumowanie replikacji usługi AD

  repadmin /replsummary

  

Podsumowanie rozwiązywania problemów

• Określ, który kontroler domeny jest używany.
• Porównanie danych między kontrolerami domeny.
• Przeanalizuj wyniki repozytorium RepAdmin.
• Skontaktuj się z usługami katalogowymi lub zespołem pomocy technicznej ds. sieci, aby rozwiązać ten problem.

Zmiany domeny i jednostki organizacyjnej oraz typy obiektów lub atrybuty filtrowane lub wykluczone w łączniku ADDS

• Zmiana filtrowania domeny lub jednostki organizacyjnej wymaga pełnego importu

  Należy pamiętać, że nawet jeśli filtrowanie domeny lub jednostki organizacyjnej zostanie potwierdzone, wszelkie zmiany w filtrowaniu domeny lub jednostki organizacyjnej zostaną zastosowane dopiero po wykonaniu pełnego kroku importowania.

• Filtrowanie atrybutów przy użyciu filtrowania aplikacji Microsoft Entra i atrybutów

  Łatwy do pominięcia scenariusz niezsynchronizowania atrybutów jest konfigurowany Microsoft Entra Connect przy użyciu funkcji filtrowania aplikacji Microsoft Entra i atrybutów. Aby sprawdzić, czy funkcja jest włączona i dla których atrybutów, weź ogólny raport diagnostyczny.

• Typ obiektu wykluczony w konfiguracji łącznika ADDS

  Taka sytuacja nie występuje tak często w przypadku użytkowników i grup. Jeśli jednak w usłudze ADCS brakuje wszystkich obiektów określonego typu obiektu, warto sprawdzić, które typy obiektów są włączone w konfiguracji łącznika ADDS.

  Polecenie cmdlet Get-ADSyncConnector umożliwia pobranie typów obiektów włączonych w łączniku, jak pokazano na następnej ilustracji. Poniżej przedstawiono typy obiektów, które powinny być domyślnie włączone:

  (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

  Poniżej przedstawiono typy obiektów, które powinny być domyślnie włączone:

  

  Uwaga

  Typ obiektu publicFolder jest obecny tylko wtedy, gdy włączono funkcję folderu publicznego z włączoną obsługą poczty.

• Atrybut wykluczony w usłudze ADCS

  W ten sam sposób, jeśli brakuje atrybutu dla wszystkich obiektów, sprawdź, czy atrybut jest zaznaczony w łączniku usługi AD.

  Aby sprawdzić atrybuty włączone w łączniku ADDS, użyj Menedżera synchronizacji, jak pokazano na następnym obrazie, lub uruchom następujące polecenie cmdlet programu PowerShell:

  (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

  

  Uwaga

  Dołączanie lub wykluczanie typów obiektów lub atrybutów w Service Manager synchronizacji nie jest obsługiwane.

Podsumowanie rozwiązywania problemów

• Sprawdzanie funkcji filtrowania aplikacji Microsoft Entra i atrybutów
• Sprawdź, czy typ obiektu jest uwzględniony w usłudze ADCS.
• Sprawdź, czy atrybut jest uwzględniony w usłudze ADCS.
• Uruchom pełny import.

Zasoby dla kroku 1

Główne zasoby:

• Get-ADSyncConnectorAccount — identyfikowanie poprawnego konta łącznika używanego przez usługę AADC

• ADConnectivityTool

• Identyfikowanie problemów z łącznością za pomocą funkcji ADDS

• Trace-ADSyncToolsADImport (ADSyncTools) — śledzenie danych importowanych z programu ADDS

• LDIFDE — zrzut obiektu z programu ADDS w celu porównania danych między usługami ADDS i ADCS

• LDP — testowanie łączności powiązania usługi AD i uprawnień do odczytu obiektu w kontekście zabezpieczeń usługi ADCA

• DSACLS — porównanie i ocena uprawnień adds

• Set-ADSync< Feature >Permissions — stosowanie domyślnych uprawnień usługi AADC w programie ADDS

• RepAdmin — sprawdzanie metadanych obiektów usługi AD i stanu replikacji usługi AD

Krok 2. Synchronizacja między usługami ADCS i MV

Cel dla kroku 2

Ten krok sprawdza, czy obiekt lub atrybut przepływa z cs do MV (innymi słowy, czy obiekt lub atrybut jest rzutowany na MV). Na tym etapie upewnij się, że obiekt jest obecny lub że atrybut jest poprawny w usłudze ADCS (omówionym w kroku 1), a następnie zacznij przeglądać reguły synchronizacji i pochodzenie obiektu.

Opis kroku 2

Synchronizacja między usługami ADCS i MV odbywa się w kroku synchronizacji delta/full. W tym momencie usługa AADC odczytuje dane etapowe w usłudze ADCS, przetwarza wszystkie reguły synchronizacji i aktualizuje odpowiedni obiekt MV. Ten obiekt MV będzie zawierać łącza CS (lub łączniki) wskazujące obiekty CS, które współtworzą jego właściwości, oraz pochodzenie reguł synchronizacji, które zostały zastosowane w kroku synchronizacji. Na tym etapie usługa AADC generuje większe obciążenie warstwy SQL Server (lub LocalDB) i sieci.

Rozwiązywanie problemów z usługą ADCS > MV dla obiektów

• Sprawdzanie reguł synchronizacji ruchu przychodzącego pod kątem aprowizacji

  Obiekt, który jest obecny w usłudze ADCS, ale brakuje w MV wskazuje, że nie było żadnych filtrów określających zakres dla żadnej reguły synchronizacji aprowizacji, które zostały zastosowane do tego obiektu. W związku z tym obiekt nie był przewidywany na MV. Ten problem może wystąpić, jeśli istnieją wyłączone lub dostosowane reguły synchronizacji.

  Aby uzyskać listę reguł synchronizacji aprowizacji ruchu przychodzącego, uruchom następujące polecenie:

  Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

  

• Sprawdzanie pochodzenia obiektu usługi ADCS

  Obiekt, który kończy się niepowodzeniem, można pobrać z usługi ADCS, wyszukując ciąg "DN lub Anchor" w obszarze "Search Connector Space". Na karcie Pochodzenie prawdopodobnie zobaczysz, że obiekt jest rozłączaczem (bez linków do MV), a pochodzenie jest puste. Sprawdź również, czy w obiekcie występują błędy, w przypadku wystąpienia karty błędu synchronizacji.

  

• Uruchamianie podglądu obiektu usługi ADCS

  Wybierz pozycję Podgląd>Generuj podgląd>zatwierdzenia w wersji zapoznawczej , aby sprawdzić, czy obiekt jest wyświetlany na MV. Jeśli tak jest, cykl pełnej synchronizacji powinien rozwiązać problem z innymi obiektami w tej samej sytuacji.

  

  

• Eksportowanie obiektu do pliku XML

  Aby uzyskać bardziej szczegółową analizę (lub analizę w trybie offline), możesz zebrać wszystkie dane bazy danych powiązane z obiektem przy użyciu polecenia cmdlet Export-ADSyncObject . Wyeksportowane informacje pomogą określić, która reguła filtruje obiekt. Innymi słowy, który filtr określania zakresu ruchu przychodzącego w regułach synchronizacji aprowizacji uniemożliwia projekcję obiektu do obiektu MV.

  Oto kilka przykładów składni Export-ADsyncObject :

  • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
  • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
  • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Podsumowanie rozwiązywania problemów (obiekty)

• Sprawdź filtry określające zakres w regułach aprowizacji ruchu przychodzącego "In From AD".
• Utwórz podgląd obiektu.
• Uruchom pełny cykl synchronizacji.
• Wyeksportuj dane obiektu przy użyciu skryptu Export-ADSyncObject .

Rozwiązywanie problemów z usługą ADCS > MV dla atrybutów

1. Identyfikowanie reguł synchronizacji ruchu przychodzącego i reguł przekształcania atrybutu

   Każdy atrybut ma własny zestaw reguł przekształceń, które są odpowiedzialne za kierowanie wartości z usługi ADCS do MV. Pierwszym krokiem jest określenie, które reguły synchronizacji zawierają regułę przekształcenia dla atrybutu, którego dotyczy rozwiązywanie problemów.

   Najlepszym sposobem określenia, które reguły synchronizacji mają regułę przekształcania dla danego atrybutu, jest użycie wbudowanych funkcji filtrowania reguł synchronizacji Redaktor.

   

2. Sprawdzanie pochodzenia obiektu usługi ADCS

   Każdy łącznik (lub łącze) między woluminami CS i MV będzie miał pochodzenie zawierające informacje o regułach synchronizacji, które są stosowane do tego obiektu CS. W poprzednim kroku zostanie wyświetlony zestaw reguł synchronizacji ruchu przychodzącego (czy reguły aprowizacji lub dołączania reguł synchronizacji) muszą znajdować się w pochodzeniu obiektu, aby przepływać poprawną wartość z usługi ADCS do MV. Sprawdzając pochodzenie obiektu usługi ADCS, można określić, czy ta reguła synchronizacji została zastosowana do obiektu.

   

   Jeśli istnieje wiele łączników (wiele lasów usługi AD) połączonych z obiektem MV, może być konieczne zbadanie właściwości obiektu Metaverse , aby określić, który łącznik współtworzy wartość atrybutu do atrybutu, który próbujesz rozwiązać. Po zidentyfikowaniu łącznika sprawdź pochodzenie tego obiektu usługi ADCS.

   

3. Sprawdzanie filtrów określania zakresu reguły synchronizacji ruchu przychodzącego

   Jeśli reguła synchronizacji jest włączona, ale nie znajduje się w pochodzeniu obiektu, obiekt powinien zostać odfiltrowany przez filtr określający zakres reguły synchronizacji. Sprawdzając filtry zakresu reguły synchronizacji, dane obiektu usługi ADCS oraz to, czy reguła synchronizacji jest włączona, czy wyłączona, należy mieć możliwość określenia, dlaczego ta reguła synchronizacji nie została zastosowana do obiektu usługi ADCS.

   Oto przykład typowego kłopotliwego filtru określania zakresu z reguły synchronizacji odpowiedzialnej za synchronizowanie właściwości programu Exchange. Jeśli obiekt ma wartość null dla mailNickName, żaden z atrybutów programu Exchange w regułach przekształcania nie będzie przepływał do Tożsamość Microsoft Entra.

   

4. Uruchamianie podglądu obiektu usługi ADCS

   Jeśli nie możesz określić, dlaczego w pochodzeniu obiektu usługi ADCS brakuje reguły synchronizacji, uruchom podgląd przy użyciu opcji Generuj podgląd i Zatwierdź podgląd , aby uzyskać pełną synchronizację obiektu. Jeśli atrybut jest aktualizowany w MV i ma wersję zapoznawczą, cykl pełnej synchronizacji powinien rozwiązać problem dla innych obiektów w tej samej sytuacji.

5. Eksportowanie obiektu do pliku XML

   Aby uzyskać bardziej szczegółową analizę lub analizę w trybie offline, możesz zebrać wszystkie dane bazy danych powiązane z obiektem przy użyciu skryptu Export-ADSyncObject . Te wyeksportowane informacje mogą pomóc w określeniu, której reguły synchronizacji lub reguły przekształcenia brakuje w obiekcie, co uniemożliwia rzutowanie atrybutu do obiektu MV (zobacz przykłady Export-ADSyncObject we wcześniejszej części tego artykułu).

Podsumowanie rozwiązywania problemów (dla atrybutów)

• Zidentyfikuj prawidłowe reguły synchronizacji i reguły przekształcania odpowiedzialne za przepływ atrybutu do maszyny wirtualnej.
• Sprawdź pochodzenie obiektu.
• Sprawdź, czy reguły synchronizacji zostały włączone.
• Sprawdź filtry określające zakres reguł synchronizacji, których brakuje w pochodzeniu obiektu.

Zaawansowane rozwiązywanie problemów z potokiem reguł synchronizacji

Jeśli musisz dodatkowo debugować aparat ADSync (znany również jako MiiServer) w zakresie przetwarzania reguł synchronizacji, możesz włączyć śledzenie ETW w pliku .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Ta metoda generuje obszerny pełny plik tekstowy, który pokazuje całe przetwarzanie reguł synchronizacji. Jednak interpretacja wszystkich informacji może być trudna. Użyj tej metody w ostateczności lub jeśli jest ona wskazywana przez pomoc techniczna firmy Microsoft.

Zasoby dla kroku 2

• Interfejs użytkownika Service Manager synchronizacji
• Reguły synchronizacji Redaktor
• skrypt Export-ADsyncObject
• Start-ADSyncSyncCycle —PolicyType Initial
• Śledzenie FUNKCJI ETW SyncRulesPipeline (miiserver.exe.config)

Krok 3. Synchronizacja między usługami MV i AADCS

Cel dla kroku 3

Ten krok sprawdza, czy obiekt lub atrybut przepływa z MV do usługi AADCS. W tym momencie upewnij się, że obiekt jest obecny lub że atrybut jest poprawny w usługach ADCS i MV (opisanych w krokach 1 i 2). Następnie sprawdź reguły synchronizacji i pochodzenie obiektu. Ten krok jest podobny do kroku 2, w którym zbadano kierunek ruchu przychodzącego z usług ADCS do MV. Jednak na tym etapie skoncentrujemy się na regułach synchronizacji ruchu wychodzącego i atrybucie przepływającym z MV do usługi AADCS.

Opis kroku 3

Synchronizacja między usługami MV i AADCS odbywa się w kroku synchronizacji różnicowej/pełnej, gdy usługa AADC odczytuje dane w MV, przetwarza wszystkie reguły synchronizacji i aktualizuje odpowiedni obiekt AADCS. Ten obiekt MV będzie zawierać łącza CS (nazywane również łącznikami), które wskazują obiekty CS, które współtworzą jego właściwości, oraz pochodzenie reguł synchronizacji, które zostały zastosowane w kroku synchronizacji. W tym momencie usługa AADC generuje większe obciążenie SQL Server (lub localDB) i warstwy sieciowej.

Rozwiązywanie problemów z usługą MV w usłudze AADCS dla obiektów

1. Sprawdzanie reguł synchronizacji ruchu wychodzącego na potrzeby aprowizacji

   Obiekt, który jest obecny w MV, ale brakuje w AADCS wskazuje, że nie było żadnych filtrów określających zakres dla żadnej reguły synchronizacji aprowizacji, które zostały zastosowane do tego obiektu. Zobacz na przykład reguły synchronizacji "Out to Tożsamość Microsoft Entra" wyświetlane na następnej ilustracji. W związku z tym obiekt nie został aprowizowany w usłudze AADCS. Ten błąd może wystąpić, jeśli istnieją wyłączone lub dostosowane reguły synchronizacji.

   Aby uzyskać listę reguł synchronizacji aprowizacji ruchu przychodzącego, uruchom następujące polecenie:

   Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

   

2. Sprawdzanie pochodzenia obiektu usługi ADCS

   Aby pobrać obiekt, który kończy się niepowodzeniem z maszyny wirtualnej, użyj Search Metaverse, a następnie przejrzyj kartę łączników. Na tej karcie można określić, czy obiekt MV jest połączony z obiektem AADCS. Sprawdź również, czy obiekt ma jakieś błędy, w przypadku wystąpienia karty błędu synchronizacji.

   

   Jeśli nie ma łącznika usługi AADCS, obiekt najprawdopodobniej jest ustawiony na cloudFiltered=True. Możesz sprawdzić, czy obiekt jest filtrowany w chmurze, sprawdzając atrybuty MV, dla których reguła synchronizacji współtworzena jest wartość cloudFiltered .

3. Uruchamianie podglądu obiektu AADCS

   Wybierz pozycję Podgląd>Generuj podgląd>zatwierdzenia wersji zapoznawczej , aby określić, czy obiekt łączy się z usługą AADCS. Jeśli tak, cykl pełnej synchronizacji powinien rozwiązać problem z innymi obiektami w tej samej sytuacji.

4. Eksportowanie obiektu do pliku XML

   Aby uzyskać bardziej szczegółową analizę lub analizę w trybie offline, możesz zebrać wszystkie dane bazy danych powiązane z obiektem przy użyciu skryptu Export-ADSyncObject . Te wyeksportowane informacje wraz z konfiguracją reguł synchronizacji (wychodzącej) mogą pomóc w określeniu, która reguła filtruje obiekt, i może określić, który filtr określania zakresu ruchu wychodzącego w regułach synchronizacji aprowizacji uniemożliwia obiektowi nawiązywanie połączenia z usługą AADCS).

   Oto kilka przykładów składni Export-ADsyncObject :

   • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
   • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
   • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Podsumowanie rozwiązywania problemów z obiektami

• Sprawdź filtry określania zakresu w regułach aprowizacji ruchu wychodzącego "Wychodzące do Tożsamość Microsoft Entra".
• Utwórz podgląd obiektu.
• Uruchom pełny cykl synchronizacji.
• Wyeksportuj dane obiektu przy użyciu skryptu Export-ADSyncObject .

Rozwiązywanie problemów z uwierzytelnianiem wieloskładnikowym do usługi AADCS dla atrybutów

1. Identyfikowanie reguł synchronizacji ruchu wychodzącego i reguł przekształcania atrybutu

   Każdy atrybut ma własny zestaw reguł przekształcania, które są odpowiedzialne za przepływ wartości z MV do usługi AADCS. Rozpocznij od określenia, które reguły synchronizacji zawierają regułę przekształcania dla atrybutu, którego dotyczy rozwiązywanie problemów.

   Najlepszym sposobem określenia, które reguły synchronizacji mają regułę przekształcania dla danego atrybutu, jest użycie wbudowanych funkcji filtrowania reguł synchronizacji Redaktor.

   

2. Sprawdzanie pochodzenia obiektu usługi ADCS

   Każdy łącznik (lub łącze) między woluminami CS i MV będzie miał pochodzenie zawierające informacje o regułach synchronizacji stosowanych do tego obiektu CS. W poprzednim kroku zostanie wyświetlony zestaw reguł synchronizacji ruchu wychodzącego (czy reguły aprowizacji lub łączenia reguł synchronizacji) muszą znajdować się w pochodzeniu obiektu, aby przepływać poprawną wartość z MV do usługi AADCS. Sprawdzając pochodzenie obiektu AADCS, można określić, czy ta reguła synchronizacji została zastosowana do obiektu.

   

3. Sprawdzanie filtrów określających zakres reguły synchronizacji ruchu wychodzącego

   Jeśli reguła synchronizacji jest włączona, ale nie znajduje się w pochodzeniu obiektu, powinna zostać odfiltrowana przez filtr określający zakres reguły synchronizacji. Sprawdzając obecność filtrów określających zakres reguły synchronizacji oraz dane obiektu MV oraz to, czy reguła synchronizacji jest włączona, czy wyłączona, powinno być możliwe ustalenie, dlaczego ta reguła synchronizacji nie została zastosowana do obiektu usługi AADCS.

4. Uruchamianie podglądu obiektu usługi AADCS

   Jeśli określisz, dlaczego w pochodzeniu obiektu ADCS brakuje reguły synchronizacji, uruchom wersję zapoznawczą, która używa funkcji Generowanie wersji zapoznawczej i Podgląd zatwierdzania w celu pełnej synchronizacji obiektu. Jeśli atrybut jest aktualizowany w MV przez podgląd, cykl pełnej synchronizacji powinien rozwiązać problem dla innych obiektów w tej samej sytuacji.

5. Eksportowanie obiektu do pliku XML

   Aby uzyskać bardziej szczegółową analizę lub analizę w trybie offline, możesz zebrać wszystkie dane bazy danych powiązane z obiektem przy użyciu skryptu "Export-ADSyncObject". Te wyeksportowane informacje wraz z konfiguracją reguł synchronizacji (wychodzącej) mogą pomóc w określeniu, której reguły synchronizacji lub reguły przekształcenia brakuje w obiekcie, który uniemożliwia przepływ atrybutu do usługi AADCS (zobacz przykłady "Export-ADSyncObject").

Podsumowanie rozwiązywania problemów z atrybutami

• Zidentyfikuj prawidłowe reguły synchronizacji i reguły przekształcania, które są odpowiedzialne za przepływ atrybutu do usługi AADCS.
• Sprawdź pochodzenie obiektu.
• Sprawdź, czy reguły synchronizacji są włączone.
• Sprawdź filtry określające zakres reguł synchronizacji, których brakuje w pochodzeniu obiektu.

Rozwiązywanie problemów z potokiem reguł synchronizacji

Jeśli musisz dodatkowo debugować aparat ADSync (znany również jako MiiServer) w zakresie przetwarzania reguł synchronizacji, możesz włączyć śledzenie ETW w pliku .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Ta metoda generuje obszerny pełny plik tekstowy, który pokazuje całe przetwarzanie reguł synchronizacji. Jednak interpretacja wszystkich informacji może być trudna. Użyj tej metody tylko w ostateczności lub jeśli jest ona wskazywana przez pomoc techniczna firmy Microsoft.

Zasoby

• Interfejs użytkownika Service Manager synchronizacji
• Reguły synchronizacji Redaktor
• skrypt Export-ADsyncObject
• Start-ADSyncSyncCycle —PolicyType Initial
• Śledzenie FUNKCJI ETW SyncRulesPipeline (miiserver.exe.config)

Krok 4. Synchronizacja między usługami AADCS i AzureAD

Cel kroku 4

Ten etap porównuje obiekt AADCS z odpowiednim obiektem aprowizowanym w Tożsamość Microsoft Entra.

Opis kroku 4

Wiele składników i procesów, które biorą udział w importowaniu i eksportowaniu danych do i z Tożsamość Microsoft Entra, może powodować następujące problemy:

• Łączność z Internetem
• Wewnętrzne zapory i łączność usługodawcy internetowego (na przykład zablokowany ruch sieciowy)
• Brama Microsoft Entra przed usługą internetową DirSync (znaną również jako punkt końcowy AdminWebService)
• Interfejs API usługi internetowej DirSync
• Usługa katalogowa Microsoft Entra Core

Na szczęście problemy wpływające na te składniki zwykle generują błąd w dziennikach zdarzeń, które mogą być śledzone przez pomoc techniczna firmy Microsoft. W związku z tym te problemy są poza zakresem tego artykułu. Niemniej jednak nadal istnieją pewne "ciche" kwestie, które można zbadać.

Rozwiązywanie problemów z usługą AADCS

• Wiele serwerów active AADC eksportujących do Tożsamość Microsoft Entra

  W typowym scenariuszu, w którym obiekty w Tożsamość Microsoft Entra przerzucają wartości atrybutów tam iz powrotem, istnieje więcej niż jeden aktywny serwer Microsoft Entra Connect, a jeden z tych serwerów traci kontakt z lokalną usługą AD, ale nadal jest połączony z Internetem i może eksportować dane do Tożsamość Microsoft Entra. W związku z tym za każdym razem, gdy ten "nieaktualny" serwer importuje zmianę z Tożsamość Microsoft Entra na zsynchronizowanym obiekcie, który jest wykonywany przez inny aktywny serwer, aparat synchronizacji przywraca tę zmianę na podstawie nieaktualnych danych usługi AD znajdujących się w usłudze ADCS. Typowym objawem w tym scenariuszu jest wprowadzenie zmiany w usłudze AD zsynchronizowanej z Tożsamość Microsoft Entra, ale zmiana zostanie przywrócona do pierwotnej wartości kilka minut później (do 30 minut). Aby szybko rozwiązać ten problem, wróć do wszystkich starych serwerów lub maszyn wirtualnych, które zostały zlikwidowane, i sprawdź, czy usługa ADSync nadal działa.

• Atrybut mobile z atrybutem DirSyncOverrides

  Gdy Administracja używa modułu MSOnline lub AzureAD programu PowerShell lub jeśli użytkownik przejdzie do portalu office i zaktualizuje atrybut Mobile, zaktualizowany numer telefonu zostanie zastąpiony w usłudze AzureAD pomimo synchronizacji obiektu z lokalnej usługi AD (znanej również jako DirSyncEnabled).

  Wraz z tą aktualizacją Tożsamość Microsoft Entra ustawia również obiekt DirSyncOverrides, aby oznaczyć, że ten użytkownik ma numer telefonu komórkowego "nadpisany" w Tożsamość Microsoft Entra. Od tego momentu każda aktualizacja atrybutu mobilnego pochodząca ze środowiska lokalnego zostanie zignorowana, ponieważ ten atrybut nie będzie już zarządzany przez lokalną usługę AD.

  Aby uzyskać więcej informacji na temat funkcji BypassDirSyncOverrides i sposobu przywracania synchronizacji atrybutów mobile i innych obiektów przenośnych z Tożsamość Microsoft Entra do lokalna usługa Active Directory, zobacz Jak używać funkcji BypassDirSyncOverrides dzierżawy Microsoft Entra.

• Zmiany właściwości UserPrincipalName nie są aktualizowane w Tożsamość Microsoft Entra

  Jeśli atrybut UserPrincipalName nie jest aktualizowany w Tożsamość Microsoft Entra, podczas gdy inne atrybuty są synchronizowane zgodnie z oczekiwaniami, możliwe, że funkcja o nazwie SynchronizeUpnForManagedUsers nie jest włączona w dzierżawie. Ten scenariusz występuje często.

  Przed dodaniem tej funkcji wszelkie aktualizacje nazwy UPN pochodzące ze środowiska lokalnego po aprowizowaniu użytkownika w Tożsamość Microsoft Entra i przypisaniu licencji zostały "dyskretnie" zignorowane. Administrator musiałby użyć usługi MSOnline lub Azure AD programu PowerShell, aby zaktualizować nazwę UPN bezpośrednio w Tożsamość Microsoft Entra. Po zaktualizowaniu tej funkcji wszystkie aktualizacje nazwy UPN będą przesyłane do Microsoft Entra niezależnie od tego, czy użytkownik jest licencjonowany (zarządzany).

  Uwaga

  Po włączeniu tej funkcji nie można wyłączyć.

  Aktualizacje UserPrincipalName będą działać, jeśli użytkownik nie ma licencji. Jednak bez funkcji SynchronizeUpnForManagedUsersnazwa UserPrincipalName zmienia się po aprowizowaniu użytkownika i ma przypisaną licencję, która NIE zostanie zaktualizowana w Tożsamość Microsoft Entra. Zwróć uwagę, że firma Microsoft nie wyłącza tej funkcji w imieniu klienta.

• Nieprawidłowe znaki i wewnętrzne elementy proxyCalc

  Problemy z nieprawidłowymi znakami, które nie generują żadnego błędu synchronizacji, są bardziej kłopotliwe w atrybutach UserPrincipalName i ProxyAddresses z powodu kaskadowego efektu przetwarzania ProxyCalc, który dyskretnie odrzuci wartość zsynchronizowaną z lokalną usługą AD. Taka sytuacja ma miejsce w następujący sposób:

  1. Wynikową domeną UserPrincipalName w Tożsamość Microsoft Entra będzie domena początkowa MailNickName lub CommonName @ (at). Na przykład zamiast nazwy John.Smith@Contoso.comUserPrincipalName w Tożsamość Microsoft Entra może stać sięsmithj@Contoso.onmicrosoft.com, ponieważ w wartości nazwy UPN istnieje niewidoczny znak z lokalnej usługi AD.

  2. Jeśli element ProxyAddress zawiera znak spacji, funkcja ProxyCalc odrzuci go i automatycznie zgeneruje adres e-mail na podstawie nazwy MailNickName w domenie początkowej. Na przykład "SMTP: John.Smith@Contoso.com" nie pojawi się w Tożsamość Microsoft Entra, ponieważ zawiera znak spacji po dwukropku.

  3. Przyczyną tego samego problemu będzie element UserPrincipalName zawierający znak spacji lub element ProxyAddress zawierający niewidoczny znak.

     Aby rozwiązać problem z nieprawidłowym znakiem w parametrze UserPrincipalName lub ProxyAddress, sprawdź wartość przechowywaną w lokalnej usłudze AD z LDIFDE lub programu PowerShell wyeksportowanego do pliku. Łatwą sztuczką wykrywania niewidzialnego znaku jest skopiowanie zawartości wyeksportowanego pliku, a następnie wklejenie go w oknie programu PowerShell. Niewidoczny znak zostanie zastąpiony znakiem zapytania (?), jak pokazano w poniższym przykładzie.

     

• ThumbnailPhoto, atrybut (KB4518417)

  Istnieje ogólne błędne przekonanie, że po synchronizacji aplikacji ThumbnailPhoto z usługi AD po raz pierwszy nie można już jej aktualizować, co jest tylko częściowo prawdziwe.

  Zazwyczaj miniatura ThumbnailPhoto w Tożsamość Microsoft Entra jest stale aktualizowana. Jednak problem występuje, jeśli zaktualizowany obraz nie jest już pobierany z Tożsamość Microsoft Entra przez odpowiednie obciążenie lub partnera (na przykład EXO lub SfBO). Ten problem powoduje fałszywe wrażenie, że obraz nie został zsynchronizowany z lokalnej usługi AD do Tożsamość Microsoft Entra.

  Podstawowe kroki rozwiązywania problemów z thumbnailphoto

  1. Upewnij się, że obraz jest poprawnie przechowywany w usłudze AD i nie przekracza limitu rozmiaru wynoszącego 100 KB.

  2. Sprawdź obraz w portalu kont lub użyj polecenia Get-AzureADUserThumbnailPhoto, ponieważ te metody odczytują miniaturę ThumbnailPhoto bezpośrednio z Tożsamość Microsoft Entra.

  3. Jeśli miniatura usługi AD (lub AzureAD)Photo ma prawidłowy obraz, ale nie jest poprawna w innych Usługi online, mogą mieć zastosowanie następujące warunki:

  • Skrzynka pocztowa użytkownika zawiera obraz HD i nie akceptuje obrazów o niskiej rozdzielczości z Microsoft Entra thumbnailPhoto. Rozwiązaniem jest bezpośrednie zaktualizowanie obrazu skrzynki pocztowej użytkownika.
  • Obraz skrzynki pocztowej użytkownika został poprawnie zaktualizowany, ale nadal widzisz oryginalny obraz. Rozwiązaniem jest odczekanie co najmniej sześciu godzin na wyświetlenie zaktualizowanego obrazu w Office 365 Portalu użytkowników lub Azure Portal.

Dodatkowe materiały

• Rozwiązywanie problemów z błędami podczas synchronizacji
• Rozwiązywanie problemów z synchronizacją obiektów za pomocą programu Microsoft Entra Connect Sync
• Rozwiązywanie problemów z obiektem, który nie jest synchronizowany z Tożsamość Microsoft Entra
• Microsoft Entra nawiązywanie połączenia z synchronizacją pojedynczego obiektu

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.