Partilhar via

Solução de problemas de sincronização na nuvem

  • Artigo

A sincronização de cloud tem muitas dependências e interações diferentes, o que pode dar origem a vários problemas. Este artigo ajuda-o a resolver estes problemas. Apresenta as áreas típicas nas quais se deve focar, como reunir informações adicionais e as várias técnicas que pode utilizar para monitorizar problemas.

Problemas do agente

Ao solucionar problemas do agente, você verifica se o agente foi instalado corretamente e se ele se comunica com o ID do Microsoft Entra. Em particular, algumas das primeiras coisas que você deseja verificar com o agente são:

  • Está instalado?
  • Está a ser executado localmente?
  • Está no portal?
  • Está marcado como em bom estado de funcionamento?

Você pode verificar esses itens no portal e no servidor local que está executando o agente.

Verificação do agente do centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Para verificar se o Azure deteta o agente e se o agente está íntegro, siga estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Híbrido.
  2. Navegue até Gerenciamento híbrido de>identidade>Microsoft Entra Connect>Cloud sync.Captura de ecrã da página inicial de sincronização na nuvem.
  1. Selecione sincronização na nuvem.
  2. Você deve ver os agentes que você instalou. Verifique se o agente em questão está lá. Se tudo estiver bem, você verá o status ativo (verde) para o agente.

Verifique as portas abertas necessárias

Verifique se o agente de provisionamento do Microsoft Entra é capaz de se comunicar com êxito com os datacenters do Azure. Se houver um firewall no caminho, verifique se as seguintes portas para o tráfego de saída estão abertas:

Número da porta Como é utilizado
80 Download de listas de revogação de certificados (CRLs), enquanto valida o certificado TLS/SSL.
443 Lidando com toda a comunicação de saída com o serviço de Proxy de Aplicativo.

Se o firewall impõe o tráfego de acordo com os usuários de origem, abra também as portas 80 e 443 para o tráfego dos serviços do Windows executados como um serviço de rede.

Permitir acesso a URLs

Permita acesso aos seguintes URLs:

URL Porta Como é utilizado
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Comunicação entre o conector e o serviço de nuvem do Proxy de Aplicativo.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP O conector usa essas URLs para verificar certificados.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS O conector usa essas URLs durante o processo de registro.
ctldl.windowsupdate.com 80/HTTP O conector usa essa URL durante o processo de registro.

Você pode permitir conexões com *.msappproxy.net, *.servicebus.windows.nete outras URLs anteriores, se seu firewall ou proxy permitir que você configure regras de acesso com base em sufixos de domínio. Caso contrário, você precisará permitir o acesso aos intervalos de IP do Azure e tags de serviço - nuvem pública. Os intervalos de IP são atualizados a cada semana.

Importante

Evite todas as formas de inspeção e terminação em linha em comunicações TLS de saída entre conectores de rede privada do Microsoft Entra e serviços de nuvem de proxy de aplicativo Microsoft Entra.

Resolução de nomes DNS para pontos de extremidade de proxy de aplicativo Microsoft Entra

Os registros DNS públicos para pontos de extremidade de proxy de aplicativo Microsoft Entra são registros CNAME encadeados, apontando para um registro A. Isso garante tolerância a falhas e flexibilidade. É garantido que o conector de rede privada Microsoft Entra sempre aceda a nomes de anfitrião com os sufixos *.msappproxy.net de domínio ou *.servicebus.windows.net.

No entanto, durante a resolução de nomes, os registros CNAME podem conter registros DNS com nomes de host e sufixos diferentes. Devido a isso, você deve garantir que o dispositivo pode resolver todos os registros na cadeia e permite a conexão com os endereços IP resolvidos. Como os registros DNS na cadeia podem ser alterados de tempos em tempos, não podemos fornecer nenhuma lista de registros DNS.

No servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. No servidor com o agente instalado, abra Serviços. Faça isso indo para Start>Run>Services.msc.

  2. Em Serviços, verifique se o Microsoft Entra Connect Agent Updater e o Microsoft Entra Provisioning Agent estão lá. Confirme também se o status é Em execução.

    Captura de ecrã dos serviços locais e respetivo estado.

Problemas comuns de instalação do agente

As seções a seguir descrevem alguns problemas comuns de instalação do agente e resoluções típicas desses problemas.

Falha ao iniciar o agente

Poderá receber uma mensagem de erro que indique:

Falha ao iniciar o serviço 'Microsoft Entra Provisioning Agent'. Verifique se você tem privilégios suficientes para iniciar os serviços do sistema.

Esse problema geralmente é causado por uma diretiva de grupo. A política impediu que as permissões fossem aplicadas à conta de entrada do Serviço NT local criada pelo instalador (NT SERVICE\AADConnectProvisioningAgent). Estas permissões são necessárias para iniciar o serviço.

Para resolver o problema, siga estes passos:

  1. Entre no servidor com uma conta de administrador.

  2. Abra Serviços indo para Iniciar>Executar>Services.msc.

  3. Em Serviços, clique duas vezes em Microsoft Entra Provisioning Agent.

  4. No separador Iniciar sessão, altere Esta conta para um administrador de domínio. Em seguida, reinicie o serviço.

    Captura de ecrã que mostra as opções disponíveis no separador iniciar sessão.

O tempo limite do agente ou o certificado não é válido

Poderá receber a seguinte mensagem de erro quando tentar registar o agente.

Captura de ecrã que mostra uma mensagem de erro de tempo limite.

Esse problema geralmente é causado pelo agente não conseguir se conectar ao serviço de identidade híbrida. Para resolver este problema, configure um proxy de saída.

O agente de provisionamento oferece suporte ao uso de um proxy de saída. Você pode configurá-lo editando o seguinte arquivo .config do agente: C:\Arquivos de Programas\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Adicione as seguintes linhas a ele, no final do arquivo, logo antes da tag de fechamento </configuration> . Substitua as variáveis [proxy-server] pelo [proxy-port] nome do servidor proxy e pelos valores da porta.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

O registro do agente falha com erro de segurança

Você pode receber uma mensagem de erro ao instalar o agente de provisionamento de nuvem. Esse problema geralmente é causado pelo agente não conseguir executar os scripts de registro do PowerShell, devido às políticas de execução locais do PowerShell.

Para resolver esse problema, altere as políticas de execução do PowerShell no servidor. Você precisa ter políticas de máquina e usuário definidas como Undefined ou RemoteSigned. Se eles estiverem definidos como Unrestricted, você verá esse erro. Para obter mais informações, consulte Políticas de execução do PowerShell.

Ficheiros de registo

Por predefinição, o agente emite mensagens de erro mínimas e informações de rastreio de pilha. Você pode encontrar esses logs de rastreamento na seguinte pasta: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Para reunir detalhes adicionais para solucionar problemas relacionados ao agente, siga estas etapas.

  1. Instale o módulo AADCloudSyncTools PowerShell.
  2. Use o Export-AADCloudSyncToolsLogs cmdlet do PowerShell para capturar as informações. Você pode usar as opções a seguir para ajustar sua coleta de dados.
    • SkipVerboseTrace para exportar apenas logs atuais sem capturar logs detalhados (padrão = false).
    • TracingDurationMins para especificar uma duração de captura diferente (padrão = 3 minutos).
    • OutputPath para especificar um caminho de saída diferente (padrão = pasta Documentos do usuário).

Problemas de sincronização de objetos

No portal, você pode usar logs de provisionamento para ajudar a rastrear e solucionar problemas de sincronização de objetos. Para visualizar os logs, selecione Logs.

Captura de ecrã que mostra o botão de registos.

Os logs de provisionamento fornecem muitas informações sobre o estado dos objetos que estão sendo sincronizados entre seu ambiente local do Ative Directory e o Azure.

Captura de tela que mostra informações sobre logs de provisionamento.

Você pode filtrar a exibição para se concentrar em problemas específicos, como datas. Você também pode pesquisar nos logs atividades relacionadas a um objeto do Ative Directory usando seu Ative Directory ObjectGuid. Clique duas vezes em um evento individual para ver informações adicionais.

Captura de tela que mostra as informações da lista suspensa de logs de provisionamento.

Essas informações fornecem etapas detalhadas e onde o problema de sincronização está ocorrendo. Desta forma, você pode identificar o local exato do problema.

Objetos ignorados

Se você estiver sincronizando usuários e grupos do Ative Directory, talvez não consiga localizar um ou mais grupos no Microsoft Entra ID. Isso pode ser devido à sincronização ainda não ter sido concluída ou ainda não ter alcançado a criação do objeto no Ative Directory, um erro de sincronização que está bloqueando o objeto que está sendo criado no ID do Microsoft Entra ou uma regra de escopo de regra de sincronização pode ser aplicada excluindo o objeto.

Se você reiniciar a sincronização e, em seguida, quando o ciclo de provisionamento for concluído, pesquise no log de provisionamento atividades relacionadas a um objeto usando o Ative Directory ObjectGuiddesse objeto. Se um evento com uma Identidade contendo apenas uma ID de origem e um Status de Skipped estiver presente no log, isso pode indicar que o agente filtrou o objeto do Ative Directory porque ele estava fora do escopo.

Por padrão, as regras de escopo excluem os seguintes objetos de serem sincronizados com o Microsoft Entra ID:

  • usuários, grupos e contatos com IsCriticalSystemObject definido como TRUE, incluindo muitos dos usuários e grupos internos no Ative Directory
  • Objetos de vítima de replicação

Restrições adicionais podem estar presentes no esquema de sincronização.

Limite de exclusão de objeto do Microsoft Entra

Se você tiver uma topologia de implementação com o Microsoft Entra Connect e o Microsoft Entra Cloud Sync, ambos exportando para o mesmo locatário do Microsoft Entra, ou se tiver mudado completamente do uso do Microsoft Entra Connect para o Microsoft Entra Cloud Sync, poderá receber a seguinte mensagem de erro de exportação ao excluir ou mover vários objetos para fora do escopo definido:

Captura de tela que mostra o erro de exportação.

Este erro não está relacionado com a funcionalidade de prevenção de eliminações acidentais da sincronização na nuvem do Microsoft Entra Connect. Ele é acionado pelo recurso de prevenção de exclusão acidental definido no diretório Microsoft Entra do Microsoft Entra Connect. Se você não tiver um servidor Microsoft Entra Connect instalado a partir do qual você pode alternar o recurso, você pode usar o módulo PowerShell "AADCloudSyncTools" instalado com o agente de sincronização de nuvem do Microsoft Entra Connect para desabilitar a configuração no locatário e permitir que as exclusões bloqueadas sejam exportadas depois de confirmar que são esperadas e devem ser permitidas. Utilize o seguinte comando:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Durante o próximo ciclo de provisionamento, os objetos que foram marcados para exclusão devem ser excluídos do diretório do Microsoft Entra com êxito.

Problemas de aprovisionamento em quarentena

A sincronização na nuvem monitoriza o estado de funcionamento da sua configuração e coloca objetos não íntegros num estado de quarentena. Se a maioria ou todas as chamadas feitas no sistema de destino falharem consistentemente devido a um erro (por exemplo, credenciais de administrador inválidas), o trabalho de sincronização será marcado como em quarentena.

Captura de ecrã que mostra o estado da quarentena.

Ao selecionar o status, você pode ver informações adicionais sobre a quarentena. Você também pode obter o código de erro e a mensagem.

Captura de ecrã que mostra informações adicionais sobre a quarentena.

Clicar com o botão direito do rato no estado irá abrir opções adicionais para:

  • Exiba os logs de provisionamento.
  • Veja os agentes.
  • Limpar a quarentena.

Captura de ecrã que mostra as opções do menu do botão direito do rato.

Resolver uma quarentena

Existem duas maneiras diferentes de resolver uma quarentena. Você pode limpar a quarentena ou reiniciar o trabalho de provisionamento.

Limpar a quarentena

Para limpar a marca d'água e executar uma sincronização delta no trabalho de provisionamento depois de verificá-lo, basta clicar com o botão direito do mouse no status e selecionar Limpar quarentena.

Você verá um aviso de que a quarentena está sendo liberada.

Captura de ecrã que mostra o aviso de que a quarentena está a terminar.

Então você deve ver o status em seu agente como saudável.

Captura de tela que mostra que o status do agente está íntegro.

Reiniciar o trabalho de aprovisionamento

Use o portal para reiniciar o trabalho de provisionamento. Na página de configuração do agente, selecione Reiniciar sincronização.

Captura de tela que mostra as opções na página de configuração do agente.

Como alternativa, você pode usar o Microsoft Graph para reiniciar o trabalho de provisionamento. Você tem controle total sobre o que reinicia. Você pode optar por limpar:

  • Depósitos, para reiniciar o contador de depósito acumulado em direção ao status de quarentena.
  • Quarentena, para remover o aplicativo da quarentena.
  • Marcas d'água.

Use a seguinte solicitação:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Reparar a conta do serviço de sincronização na nuvem

Se precisar reparar a conta do serviço de sincronização na nuvem, você pode usar o Repair-AADCloudSyncToolsAccount comando.

  1. Instale o módulo AADCloudSyncTools PowerShell.

  2. Em uma sessão do PowerShell com privilégios administrativos, digite ou copie e cole, o seguinte:

    Connect-AADCloudSyncTools

  3. Insira suas credenciais de Administrador Global do Microsoft Entra.

  4. Digite ou copie e cole o seguinte:

    Repair-AADCloudSyncToolsAccount

  5. Depois que isso for concluído, deve dizer que a conta foi reparada com sucesso.

Repetição de escrita de palavras-passe

Para habilitar e usar o write-back de senha com a sincronização na nuvem, lembre-se do seguinte:

  • Se você precisar atualizar as permissões gMSA, pode levar uma hora ou mais para que essas permissões sejam replicadas para todos os objetos em seu diretório. Se você não atribuir essas permissões, o write-back pode parecer estar configurado corretamente, mas os usuários podem encontrar erros quando atualizam suas senhas locais da nuvem. As permissões devem ser aplicadas a Este objeto e a todos os objetos descendentes para que Unexpire Password apareça.
  • Se as senhas de algumas contas de usuário não forem gravadas de volta no diretório local, verifique se a herança não está desabilitada para a conta no ambiente local dos Serviços de Domínio Ative Directory (AD DS). As permissões de gravação para senhas devem ser aplicadas a objetos descendentes para que o recurso funcione corretamente.
  • As políticas de senha no ambiente AD DS local podem impedir que as redefinições de senha sejam processadas corretamente. Se você estiver testando esse recurso e quiser redefinir senhas para usuários mais de uma vez por dia, a política de grupo para a idade mínima da senha deve ser definida como 0. Você pode encontrar essa configuração no seguinte local: Políticas de Configuração do>Computador Configurações>do Windows>Configurações de Segurança>Diretivas de Conta, em gpmc.msc.
    • Se você atualizar a política de grupo, aguarde até que a política atualizada seja replicada ou use o gpupdate /force comando.
    • Para que as senhas sejam alteradas imediatamente, a idade mínima da senha deve ser definida como 0. No entanto, se os usuários aderirem às políticas locais e a idade mínima da senha for definida como um valor maior que 0, o write-back de senha não funcionará depois que as políticas locais forem avaliadas.

Próximos passos