Solução de problemas de ponta a ponta de objetos e atributos do Microsoft Entra Connect

Este artigo destina-se a estabelecer uma prática comum de como solucionar problemas de sincronização em Microsoft Entra ID. Esse método se aplica a situações em que um objeto ou atributo não é sincronizado com o Azure Active AD e não exibe nenhum erro no mecanismo de sincronização, nos logs do visualizador de aplicativos ou nos logs de Microsoft Entra. É fácil se perder nos detalhes se não houver nenhum erro óbvio. No entanto, usando práticas recomendadas, você pode isolar o problema e fornecer insights para engenheiros Suporte da Microsoft.

Ao aplicar esse método de solução de problemas ao seu ambiente, ao longo do tempo, você poderá executar as seguintes etapas:

• Solucionar problemas da lógica do mecanismo de sincronização de ponta a ponta.
• Resolva problemas de sincronização com mais eficiência.
• Identifique os problemas mais rapidamente prevendo a etapa em que eles ocorrerão.
• Identifique o ponto de partida para revisar dados.
• Determine a resolução ideal.

As etapas fornecidas aqui começam no nível do Active Directory local e progridem em direção a Microsoft Entra ID. Essas etapas são a direção mais comum de sincronização. No entanto, os mesmos princípios se aplicam à direção inversa (por exemplo, para writeback de atributo).

Pré-requisitos

Para obter uma melhor compreensão deste artigo, primeiro leia os seguintes artigos de pré-requisito para obter uma melhor compreensão de como pesquisar um objeto em diferentes fontes (AD, AD CS, MV e assim por diante) e entender como marcar os conectores e a linhagem de um objeto.

• Microsoft Entra Conectar: Contas e permissões
• Solucionar problemas de um objeto que não está sincronizando com Microsoft Entra ID
• Solucionar problemas de sincronização de objetos com Microsoft Entra Connect Sync

Más práticas de solução de problemas

O sinalizador DirSyncEnabled no Microsoft Entra ID controla se o locatário está preparado para aceitar a sincronização de objetos do AD local. Vimos muitos clientes se enquadram no hábito de desabilitar o DirSync no locatário enquanto solucionam problemas de sincronização de objeto ou atributo. É fácil desativar a sincronização de diretório executando o seguinte cmdlet do PowerShell:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Observação

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre substituição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para obter respostas para perguntas de migração comuns, consulte as perguntas frequentes sobre migração. Observação: as versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

No entanto, isso pode ser catastrófico porque dispara uma operação de back-end complexa e longa para transferir o SoA do Active Directory local para Microsoft Entra ID/Exchange Online para todos os objetos sincronizados no locatário. Essa operação é necessária para converter cada objeto de DirSyncEnabled em somente nuvem e limpo todas as propriedades de sombra sincronizadas do AD local (por exemplo, ShadowUserPrincipalName e ShadowProxyAddresses). Dependendo do tamanho do locatário, essa operação pode levar mais de 72 horas. Além disso, não é possível prever quando a operação será concluída. Nunca use esse método para solucionar problemas de sincronização porque isso causará danos adicionais e não corrigirá o problema. Você será impedido de habilitar o DirSync novamente até que essa operação desabilitadora seja concluída. Além disso, depois de habilitar novamente o DirSync, o AADC deve corresponder novamente todos os objetos locais com objetos Microsoft Entra existentes. Esse processo pode ser disruptivo.

Os únicos cenários em que esse comando tem suporte para desabilitar DirSync são os seguintes:

• Você está desativando seu servidor de sincronização local e deseja continuar gerenciando suas identidades inteiramente da nuvem, em vez de de identidades híbridas.
• Você tem alguns objetos sincronizados no locatário que deseja manter como somente nuvem em Microsoft Entra ID e remover do AD local permanentemente.
• Atualmente, você está usando um atributo personalizado como SourceAnchor no AADC (por exemplo, employeeId) e está reinstalando o AADC para começar a usar ms-Ds-Consistency-Guid/ObjectGuid como o novo atributo SourceAnchor (ou vice-versa).
• Você tem alguns cenários que envolvem estratégias de migração de caixa de correio e locatários arriscadas.

Em algumas situações, talvez seja necessário interromper temporariamente a sincronização ou controlar manualmente os ciclos de sincronização do AADC. Por exemplo, talvez seja necessário interromper a sincronização para poder executar uma etapa de sincronização por vez. No entanto, em vez de desabilitar o DirSync, você pode parar apenas o agendador de sincronização executando o seguinte cmdlet:

Set-ADSyncScheduler -SyncCycleEnabled $false

E quando estiver pronto, inicie manualmente um ciclo de sincronização executando o seguinte cmdlet:

Start-ADSyncSyncCycle

Glossário

Sigla/abreviação	Nome/descrição
AADC	Microsoft Entra Connect
AADCA	Microsoft Entra Conta do Conector
AADCS	Microsoft Entra Espaço do Conector
AADCS:AttributeA	Atributo 'A' no Espaço do Conector Microsoft Entra
Acls	Controle de Acesso Listas (também conhecidas como permissões ADD)
ADCA	Conta do Conector do AD
ADCS	Espaço do Conector do Active Directory
ADCS:AttributeA	Atributo 'A' no Espaço do Conector do Active Directory
ADDS ou AD	Serviços de Domínio do Active Directory
CS	Espaço do Conector
MV	Metaverso
Conta MSOL	Conta do Conector do AD gerada automaticamente (MSOL_########)
MV:AttributeA	Atributo 'A' no objeto Metaverso
SoA	Fonte de autoridade

Etapa 1: sincronização entre ADDS e ADCS

Objetivo da Etapa 1

Determine se o objeto ou atributo está presente e consistente no ADCS. Se você puder localizar o objeto no ADCS e todos os atributos tiverem os valores esperados, vá para a Etapa 2.

Descrição da Etapa 1

A sincronização entre ADDS e ADCS ocorre na etapa de importação e é o momento em que o AADC lê do diretório de origem e armazena dados no banco de dados. Ou seja, quando os dados são encenados no espaço do conector. Durante uma importação delta do AD, o AADC solicita todas as novas alterações que ocorreram após uma determinada marca d'água do diretório. Essa chamada é iniciada pelo AADC usando o Controle DirSync dos Serviços de Diretório em relação ao Serviço de Replicação do Active Directory. Esta etapa fornece a última marca d'água como a última importação bem-sucedida do AD e fornece ao AD a referência pontual de quando todas as alterações (delta) devem ser recuperadas. Uma importação completa é diferente porque o AADC importará do AD todos os dados (em escopo de sincronização) e marcará como obsoletos (e excluirão) todos os objetos que ainda estão no ADCS, mas não foram importados do AD. Todos os dados entre a AD e o AADC são transferidos por LDAP e criptografados por padrão.

Se a conexão com o AD for bem-sucedida, mas o objeto ou atributo não estiver presente no ADCS (supondo que o domínio ou objeto esteja no escopo de sincronização), o problema provavelmente envolverá permissões ADD. O ADCA requer permissões de leitura mínimas no objeto no AD para importar dados para o ADCS. Por padrão, a conta MSOL tem permissões explícitas de leitura/gravação para todas as propriedades de usuário, grupo e computador. No entanto, essa situação ainda poderá ser problemática se as seguintes condições forem verdadeiras:

• O AADC usa um ADCA personalizado, mas não foi fornecida permissões suficientes no AD.
• Uma OU pai bloqueou a herança, o que impede a propagação de permissões da raiz do domínio.
• O objeto ou atributo em si bloqueou a herança, o que impede a propagação de permissões.
• O objeto ou atributo tem uma permissão deny explícita que impede o ADCA de lê-lo.

Solução de problemas do Active Directory

Conectividade com o AD

No Service Manager de sincronização, a etapa "Importar do AD" mostra qual controlador de domínio é contatado em Status de Conexão. Você provavelmente verá um erro aqui quando houver um problema de conectividade que afeta o AD.

Se você precisar solucionar ainda mais problemas de conectividade para o AD, especialmente se não surgirem erros no servidor Microsoft Entra Connect ou se você ainda estiver no processo de instalar o produto, comece usando o ADConnectivityTool.

Os problemas de conexão com o ADDS têm as seguintes causas:

• Credenciais inválidas do AD. Por exemplo, o ADCA expirou ou a senha foi alterada.
• Um erro de "pesquisa com falha", que ocorre quando o Controle DirSync não se comunica com o Serviço de Replicação do AD, normalmente devido à fragmentação de pacotes de alta rede.
• Um erro "no-start-ma", que ocorre quando há problemas de resolução de nomes (DNS) no AD.
• Outros problemas que podem ser causados por problemas de resolução de nomes, problemas de roteamento de rede, portas de rede bloqueadas, fragmentação de pacotes de rede alta, sem DCs graváveis disponíveis e assim por diante. Nesses casos, é provável que você tenha que envolver os Serviços de Diretório ou as equipes de suporte de rede para ajudar a solucionar problemas.

Solução de problemas de resumo

• Identifique qual controlador de domínio é usado.
• Use controladores de domínio preferenciais para atingir o mesmo controlador de domínio.
• Identifique corretamente o ADCA.
• Use o ADConnectivityTool para identificar o problema.
• Use a ferramenta LDP para tentar associar-se ao controlador de domínio com o ADCA.
• Entre em contato com os Serviços de Diretório ou uma equipe de suporte de rede para ajudá-lo a solucionar problemas.

Executar a solução de problemas de sincronização

Depois de solucionar problemas de conectividade do AD, execute a ferramenta Solução de Problemas de Sincronização de Objetos porque isso por si só pode detectar os motivos mais óbvios para um objeto ou atributo não sincronizar.

Permissões do AD

A falta de permissões do AD pode afetar ambas as direções da sincronização:

• Quando você importa do ADDS para o ADCS, a falta de permissões pode fazer com que o AADC ignore objetos ou atributos para que o AADC não possa obter atualizações de ADI no fluxo de importação. Esse erro ocorre porque o ADCA não tem permissões suficientes para ler o objeto.
• Quando você exporta do ADCS para o ADDS, a falta de permissões gera um erro de exportação "problema de permissão".

Para marcar permissões, abra a janela Propriedades de um objeto AD, selecione Segurança>Avançada e examine as ACLs de permissão/negação do objeto selecionando o botão Desabilitar Herança (se a herança estiver habilitada). Você pode classificar o conteúdo da coluna por Tipo para localizar todas as permissões de "negar". As permissões do AD podem variar bastante. No entanto, por padrão, você pode ver apenas um "Negar ACL" para "Subsistema Confiável do Exchange". A maioria das permissões será marcada como Permitir.

As seguintes permissões padrão são as mais relevantes:

• Usuários Autenticados

  

• Todos

  

• Conta ADCA ou MSOL personalizada

  

• Acesso compatível pré-Windows 2000

  

• SELF

  

A melhor maneira de solucionar problemas de permissões é usar o recurso "Acesso Efetivo" no console de Usuários e Computadores do AD . Esse recurso verifica as permissões efetivas de uma determinada conta (a ADCA) no objeto ou atributo de destino que você deseja solucionar problemas.

Importante

A solução de problemas de permissões do AD pode ser complicada porque uma alteração nas ACLs não tem efeito imediato. Considere sempre que essas alterações estão sujeitas à replicação do AD.

Por exemplo:

• Verifique se você está fazendo as alterações necessárias diretamente no controlador de domínio mais próximo (consulte a seção "Conectividade com AD"):
• Aguarde a ocorrência de replicações do ADDS.
• Se possível, reinicie o serviço ADSync para limpar o cache.

Solução de problemas de resumo

• Identifique qual controlador de domínio é usado.
• Use controladores de domínio preferenciais para atingir o mesmo controlador de domínio.
• Identifique corretamente o ADCA.
• Use a ferramenta Configurar permissões de conta do conector do AD DS .
• Use o recurso "Acesso Efetivo" em Usuários e Computadores do AD.
• Use a ferramenta LDP para associar-se ao controlador de domínio que tem o ADCA e tente ler o objeto ou atributo com falha.
• Adicione temporariamente o ADCA aos administradores enterprise ou administradores de domínio e reinicie o serviço ADSync.

Importante: Não use isso como uma solução.

• Depois de verificar o problema das permissões, remova o ADCA de grupos altamente privilegiados e forneça as permissões do AD necessárias diretamente para o ADCA.
• Engage Serviços de Diretório ou uma equipe de suporte de rede para ajudá-lo a solucionar a situação.

Replicações do AD

Esse problema é menos provável que afete Microsoft Entra Connect porque causa problemas maiores. No entanto, quando Microsoft Entra Connect está importando dados de um controlador de domínio usando replicação atrasada, ele não importará as informações mais recentes do AD, o que causa problemas de sincronização nos quais um objeto ou atributo que foi criado ou alterado recentemente no AD não sincroniza com Microsoft Entra ID porque não foi replicado para o controlador de domínio que Microsoft Entra Connect está entrando em contato. Para verificar se esse é o problema, marcar o controlador de domínio que o AADC usa para importação (consulte "Conectividade com o AD") e use o console usuários e computadores do AD para se conectar diretamente a esse servidor (consulte Alterar Controlador de Domínio na próxima imagem). Em seguida, verifique se os dados neste servidor correspondem aos dados mais recentes e se são consistentes com os respectivos dados do ADCS. Nesta fase, o AADC gerará uma carga maior no controlador de domínio e na camada de rede.

Outra abordagem é usar a ferramenta RepAdmin para marcar os metadados de replicação do objeto em todos os controladores de domínio, obter o valor de todos os controladores de domínio e marcar status de replicação entre controladores de domínio:

• Valor de atributo de todos os controladores de domínio:

  repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

  

• Metadados de objeto de todos os DCs:

  repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

  

• Resumo da Replicação do AD

  repadmin /replsummary

  

Solução de problemas de resumo

• Identifique qual controlador de domínio é usado.
• Compare dados entre controladores de domínio.
• Analise os resultados do RepAdmin.
• Entre em contato com os Serviços de Diretório ou a equipe de suporte à rede para ajudar a solucionar o problema.

Alterações de domínio e OU e tipos de objeto ou atributos filtrados ou excluídos no CONECTOR DO ADDS

• Alterar o domínio ou a filtragem de OU requer uma importação completa

  Tenha em mente que, mesmo que a filtragem de domínio ou OU seja confirmada, qualquer alteração no domínio ou na filtragem de OU só entrará em vigor depois de executar uma etapa de importação completa.

• Filtragem de atributos com Microsoft Entra aplicativo e filtragem de atributos

  Um cenário fácil de perder para atributos que não estão sincronizando é quando Microsoft Entra Connect é configurado com o aplicativo Microsoft Entra e o recurso de filtragem de atributos. Para marcar se o recurso está habilitado e para quais atributos, faça um Relatório Geral de Diagnóstico.

• Tipo de objeto excluído na configuração do CONECTOR DO ADDS

  Essa situação não ocorre como normalmente para usuários e grupos. No entanto, se todos os objetos de um tipo de objeto específico estiverem ausentes no ADCS, talvez seja útil examinar quais tipos de objeto habilitados na configuração do CONECTOR DO ADDS.

  Você pode usar o cmdlet Get-ADSyncConnector para recuperar os tipos de objeto habilitados no Conector, conforme mostrado na próxima imagem. A seguir estão os tipos de objeto que devem ser habilitados por padrão:

  (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

  A seguir estão os tipos de objeto que devem ser habilitados por padrão:

  

  Observação

  O tipo de objeto publicFolder só está presente quando o recurso Pasta Pública Habilitada para Email está habilitado.

• Atributo excluído no ADCS

  Da mesma maneira, se o atributo estiver ausente para todos os objetos, marcar se o atributo está selecionado no Conector do AD.

  Para marcar para atributos habilitados no ADDS Connector, use o Gerenciador de Sincronização, conforme mostrado na próxima imagem, ou execute o seguinte cmdlet do PowerShell:

  (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

  

  Observação

  Não há suporte para incluir ou excluir tipos ou atributos de objeto no Service Manager de sincronização.

Solução de problemas de resumo

• Verifique o recurso de filtragem de Microsoft Entra aplicativo e atributo
• Verifique se o tipo de objeto está incluído no ADCS.
• Verifique se o atributo está incluído no ADCS.
• Execute uma importação completa.

Recursos para a Etapa 1

Principais recursos:

• Get-ADSyncConnectorAccount - Identificar a conta correta do Conector usada pelo AADC

• ADConnectivityTool

• Identificar problemas de conectividade com o ADDS

• Trace-ADSyncToolsADImport (ADSyncTools) – Rastrear dados que estão sendo importados do ADDS

• LDIFDE – Despejar objeto de ADDS para comparar dados entre ADDS e ADCS

• LDP – Testar a conectividade do AD Bind e as permissões para ler o objeto no contexto de segurança do ADCA

• DSACLS - Comparar e avaliar permissões ADDS

• Permissões de recurso >Set-ADSync< – Aplicar permissões padrão do AADC em ADDS

• RepAdmin – Verificar metadados de objeto do AD e replicação do AD status

Etapa 2: sincronização entre ADCS e MV

Objetivo da Etapa 2

Esta etapa verifica se o objeto ou atributo flui de CS para MV (em outras palavras, se o objeto ou atributo é projetado para o MV). Nesta fase, verifique se o objeto está presente ou se o atributo está correto no ADCS (coberto na Etapa 1) e comece a examinar as regras de sincronização e a linhagem do objeto.

Descrição da Etapa 2

A sincronização entre ADCS e MV ocorre na etapa de sincronização delta/completa. Neste ponto, o AADC lê os dados encenados no ADCS, processa todas as regras de sincronização e atualiza o respectivo objeto MV. Este objeto MV conterá links CS (ou conectores) apontando para os objetos CS que contribuem para suas propriedades e a linhagem de regras de sincronização que foram aplicadas na etapa de sincronização. Durante esse estágio, o AADC gera mais carga nas camadas de SQL Server (ou LocalDB) e de rede.

Solução de problemas do ADCS > MV para objetos

• Verifique as regras de sincronização de entrada para provisionamento

  Um objeto presente no ADCS, mas ausente no MV, indica que não havia filtros de escopo em nenhuma das regras de sincronização de provisionamento aplicadas a esse objeto. Portanto, o objeto não foi projetado para MV. Esse problema poderá ocorrer se houver regras de sincronização desabilitadas ou personalizadas.

  Para obter uma lista de regras de sincronização de provisionamento de entrada, execute o seguinte comando:

  Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

  

• Verificar a linhagem do objeto ADCS

  Você pode recuperar o objeto com falha do ADCS pesquisando em "DN ou Âncora" em "Pesquisa Espaço do Conector". Na guia Linhagem, você provavelmente verá que o objeto é um Disconnector (sem links para MV) e a linhagem está vazia. Além disso, marcar se o objeto tem algum erro, caso haja uma guia de erro de sincronização.

  

• Executar uma visualização no objeto ADCS

  Selecione Visualizar>Gerar Visualizaçãode Confirmação de Visualização> para ver se o objeto está projetado para MV. Se esse for o caso, um ciclo de sincronização completa deve corrigir o problema para outros objetos na mesma situação.

  

  

• Exportar o objeto para XML

  Para uma análise mais detalhada (ou para análise offline), você pode coletar todos os dados de banco de dados relacionados ao objeto usando o cmdlet Export-ADSyncObject . Essas informações exportadas ajudarão a determinar qual regra está filtrando o objeto. Em outras palavras, qual Filtro de Escopo de Entrada nas Regras de Sincronização de Provisionamento está impedindo que o objeto seja projetado para o MV.

  Aqui estão alguns exemplos de sintaxe Export-ADsyncObject :

  • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
  • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
  • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Solução de problemas de resumo (objetos)

• Verifique os filtros de escopo nas regras de provisionamento de entrada "In From AD".
• Create uma visualização do objeto.
• Execute um ciclo de sincronização completo.
• Exporte os dados do objeto usando o script Export-ADSyncObject .

Solução de problemas do ADCS > MV para atributos

1. Identificar as regras de sincronização de entrada e as regras de transformação do atributo

   Cada atributo tem seu próprio conjunto de regras de transformações que são responsáveis por direcionar o valor do ADCS para o MV. A primeira etapa é identificar quais regras de sincronização contêm a regra de transformação para o atributo que você está solução de problemas.

   A melhor maneira de identificar quais regras de sincronização têm uma regra de transformação para um determinado atributo é usar as funcionalidades de filtragem interna do Editor regras de sincronização.

   

2. Verificar a linhagem do objeto ADCS

   Cada conector (ou link) entre o CS e o MV terá uma linhagem que contém informações sobre as regras de sincronização aplicadas a esse objeto CS. A etapa anterior informará qual conjunto de regras de sincronização de entrada (se as regras de sincronização de provisionamento ou junção) devem estar presentes na linhagem do objeto para fluir o valor correto do ADCS para o MV. Examinando a linhagem no objeto ADCS, você poderá determinar se essa regra de sincronização foi aplicada ao objeto.

   

   Se houver vários conectores (várias florestas do AD) vinculados ao objeto MV, talvez seja necessário examinar as Propriedades do Objeto Metaverso para determinar qual conector está contribuindo com o valor de atributo para o atributo que você está tentando solucionar problemas. Depois de identificar o conector, examine a linhagem desse objeto ADCS.

   

3. Verificar os filtros de escopo na regra de sincronização de entrada

   Se uma regra de sincronização estiver habilitada, mas não estiver presente na linhagem do objeto, o objeto deverá ser filtrado pelo filtro de escopo da regra de sincronização. Ao verificar os filtros de escopo da regra de sincronização, os dados no objeto ADCS e se a regra de sincronização está habilitada ou desabilitada, você deve ser capaz de determinar por que essa regra de sincronização não foi aplicada ao objeto ADCS.

   Aqui está um exemplo de um filtro de escopo problemático comum de uma regra de sincronização responsável pela sincronização das propriedades do Exchange. Se o objeto tiver um valor nulo para mailNickName, nenhum dos atributos do Exchange nas regras de transformação fluirá para Microsoft Entra ID.

   

4. Executar uma visualização no objeto ADCS

   Se você não conseguir determinar por que a regra de sincronização ausente na linhagem do objeto ADCS, execute uma visualização usando Gerar Visualização e Confirmar Visualização para uma sincronização completa do objeto. Se o atributo for atualizado no MV e tiver uma visualização, um ciclo de sincronização completa deverá corrigir o problema para outros objetos na mesma situação.

5. Exportar o objeto para XML

   Para uma análise mais detalhada ou análise offline, você pode coletar todos os dados de banco de dados relacionados ao objeto usando o script Export-ADSyncObject . Essas informações exportadas podem ajudá-lo a determinar qual regra de sincronização ou regra de transformação está ausente no objeto que está impedindo que o atributo seja projetado para o MV (consulte os exemplos Export-ADSyncObject anteriormente neste artigo).

Solução de problemas de resumo (para atributos)

• Identifique as regras de sincronização corretas e as regras de transformação responsáveis por fluir o atributo para o MV.
• Verifique a linhagem do objeto.
• Verifique se as regras de sincronização foram habilitadas.
• Verifique os filtros de escopo das regras de sincronização ausentes na linhagem do objeto.

Solução de problemas avançada do pipeline de regra de sincronização

Se você precisar depurar ainda mais o mecanismo ADSync (também conhecido como MiiServer) em termos de processamento de regra de sincronização, você poderá habilitar o rastreamento de ETW no arquivo .config (C:\Arquivos do Programa\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Esse método gera um extenso arquivo de texto verboso que mostra todo o processamento de regras de sincronização. No entanto, pode ser difícil interpretar todas as informações. Use esse método como último recurso ou se for indicado por Suporte da Microsoft.

Recursos para a Etapa 2

• Sincronização Service Manager interface do usuário
• Regras de sincronização Editor
• script Export-ADsyncObject
• inicial de Start-ADSyncSyncCycle -PolicyType
• EtW rastreando SyncRulesPipeline (miiserver.exe.config)

Etapa 3: sincronização entre MV e AADCS

Objetivo da Etapa 3

Esta etapa verifica se o objeto ou atributo flui de MV para AADCS. Neste ponto, verifique se o objeto está presente ou se o atributo está correto no ADCS e no MV (abordado nas Etapas 1 e 2). Em seguida, examine as regras de sincronização e a linhagem do objeto. Essa etapa é semelhante à Etapa 2, na qual a direção de entrada do ADCS para o MV foi examinada, no entanto, nesta fase, nos concentraremos nas regras de sincronização de saída e no atributo que flui de MV para AADCS.

Descrição da Etapa 3

A sincronização entre MV e AADCS ocorre na etapa de sincronização delta/completa, quando o AADC lê os dados em MV, processa todas as regras de sincronização e atualiza o respectivo objeto AADCS. Esse objeto MV conterá links CS (também conhecidos como conectores) que apontam para os objetos CS que contribuem para suas propriedades e a linhagem das regras de sincronização que foram aplicadas na etapa de sincronização. Neste ponto, o AADC gera mais carga em SQL Server (ou localDB) e na camada de rede.

Solução de problemas de MV no AADCS para objetos

1. Verifique as regras de sincronização de saída para provisionamento

   Um objeto presente no MV, mas ausente no AADCS, indica que não havia filtros de escopo em nenhuma das regras de sincronização de provisionamento aplicadas a esse objeto. Por exemplo, confira as regras de sincronização "Fora para Microsoft Entra ID" mostradas na próxima imagem. Portanto, o objeto não foi provisionado no AADCS. Esse erro poderá ocorrer se houver regras de sincronização desabilitadas ou personalizadas.

   Para obter uma lista de regras de sincronização de provisionamento de entrada, execute o seguinte comando:

   Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

   

2. Verificar a linhagem do objeto ADCS

   Para recuperar o objeto com falha do MV, use um metaverso Pesquisa e examine a guia conectores. Nesta guia, você pode determinar se o objeto MV está vinculado a um objeto AADCS. Além disso, marcar se o objeto tem algum erro, caso uma guia de erro de sincronização esteja presente.

   

   Se nenhum conector do AADCS estiver presente, o objeto provavelmente será definido como cloudFiltered=True. Você pode verificar se o objeto é filtrado pela nuvem examinando os atributos MV para os quais a regra de sincronização está contribuindo com o valor cloudFiltered .

3. Executar uma visualização no objeto AADCS

   Selecione Visualizar>Gerar Visualização>Confirmar uma Visualização para determinar se o objeto se conecta ao AADCS. Nesse caso, um ciclo de sincronização completa deve corrigir o problema para outros objetos na mesma situação.

4. Exportar o objeto para XML

   Para uma análise mais detalhada ou análise offline, você pode coletar todos os dados de banco de dados relacionados ao objeto usando o script Export-ADSyncObject . Essas informações exportadas, juntamente com a configuração de regras de sincronização (de saída), podem ajudar a determinar qual regra está filtrando o objeto e podem determinar qual filtro de escopo de saída nas regras de sincronização de provisionamento está impedindo que o objeto se conecte ao AADCS.

   Aqui estão alguns exemplos de sintaxe Export-ADsyncObject :

   • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
   • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
   • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Solução de problemas de resumo para objetos

• Verifique os filtros de escopo nas regras de provisionamento de saída "Fora para Microsoft Entra ID".
• Create uma visualização do objeto.
• Execute um ciclo de sincronização completo.
• Exporte os dados do objeto usando o script Export-ADSyncObject .

Solução de problemas de MV no AADCS para atributos

1. Identificar as regras de sincronização de saída e as regras de transformação do atributo

   Cada atributo tem seu próprio conjunto de regras de transformação que são responsáveis por fluir o valor de MV para AADCS. Comece identificando quais regras de sincronização contêm a regra de transformação para o atributo que você está solução de problemas.

   A melhor maneira de identificar quais regras de sincronização têm uma regra de transformação para um determinado atributo é usar as funcionalidades internas de filtragem do Editor regras de sincronização.

   

2. Verificar a linhagem do objeto ADCS

   Cada conector (ou link) entre o CS e o MV terá uma linhagem que contém informações sobre as regras de sincronização aplicadas a esse objeto CS. A etapa anterior informará qual conjunto de regras de sincronização de saída (se as regras de sincronização de provisionamento ou junção) devem estar presentes na linhagem do objeto para fluir o valor correto de MV para AADCS. Examinando a linhagem no objeto AADCS, você pode determinar se essa regra de sincronização foi aplicada ao objeto.

   

3. Verificar os filtros de escopo na regra de sincronização de saída

   Se uma regra de sincronização estiver habilitada, mas não estiver presente na linhagem do objeto, ela deverá ser filtrada pelo filtro de escopo da regra de sincronização. Ao verificar a presença dos filtros de escopo da regra de sincronização e os dados no objeto MV e se a regra de sincronização está habilitada ou desabilitada, você deve ser capaz de determinar por que essa regra de sincronização não foi aplicada ao objeto AADCS.

4. Executar uma visualização no objeto AADCS

   Se você determinar por que a regra de sincronização está ausente da linhagem do objeto ADCS, execute uma visualização que usa Gerar Visualização e Confirmar Visualização para uma sincronização completa do objeto. Se o atributo for atualizado no MV com uma visualização, um ciclo de sincronização completa deverá corrigir o problema para outros objetos na mesma situação.

5. Exportar o objeto para XML

   Para uma análise mais detalhada ou análise offline, você pode coletar todos os dados de banco de dados relacionados ao objeto usando o script "Export-ADSyncObject". Essas informações exportadas, juntamente com a configuração de regras de sincronização (de saída), podem ajudar você a determinar qual regra de sincronização ou regra de transformação está ausente do objeto que está impedindo que o atributo flua para o AADCS (consulte os exemplos "Export-ADSyncObject" anteriormente).

Solução de problemas de resumo de atributos

• Identifique as regras de sincronização corretas e as regras de transformação responsáveis por fluir o atributo para o AADCS.
• Verifique a linhagem do objeto.
• Verifique se as regras de sincronização estão habilitadas.
• Verifique os filtros de escopo das regras de sincronização ausentes na linhagem do objeto.

Solucionar problemas do pipeline de regra de sincronização

Se você precisar depurar ainda mais o mecanismo ADSync (também conhecido como MiiServer) em termos de processamento de regra de sincronização, você poderá habilitar o rastreamento de ETW no arquivo .config (C:\Arquivos do Programa\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Esse método gera um extenso arquivo de texto verboso que mostra todo o processamento de regras de sincronização. No entanto, pode ser difícil interpretar todas as informações. Use esse método apenas como último recurso ou se for indicado por Suporte da Microsoft.

Recursos

• Sincronização Service Manager interface do usuário
• Regras de sincronização Editor
• script Export-ADsyncObject
• inicial de Start-ADSyncSyncCycle -PolicyType
• EtW rastreando SyncRulesPipeline (miiserver.exe.config)

Etapa 4: sincronização entre a AADCS e o AzureAD

Objetivo da Etapa 4

Esse estágio compara o objeto AADCS com o respectivo objeto provisionado em Microsoft Entra ID.

Descrição da Etapa 4

Vários componentes e processos envolvidos na importação e exportação de dados de e para Microsoft Entra ID podem causar os seguintes problemas:

• Conectividade com a Internet
• Firewalls internos e conectividade ISP (por exemplo, tráfego de rede bloqueado)
• O Gateway de Microsoft Entra na frente do DirSync Webservice (também conhecido como ponto de extremidade do AdminWebService)
• A API de Serviço Web DirSync
• O serviço de diretório do Microsoft Entra Core

Felizmente, os problemas que afetam esses componentes geralmente geram um erro em logs de eventos que podem ser rastreados por Suporte da Microsoft. Portanto, essas questões estão fora do escopo deste artigo. No entanto, ainda há algumas questões "silenciosas" que podem ser examinadas.

Solução de problemas do AADCS

• Vários servidores AADC ativos exportando para Microsoft Entra ID

  Em um cenário comum em que objetos em Microsoft Entra ID inverter valores de atributo para frente e para trás, há mais de um servidor ativo Microsoft Entra Connect, e um desses servidores perde contato com o AD local, mas ainda está conectado à Internet e capaz de exportar dados para Microsoft Entra ID. Portanto, sempre que esse servidor "obsoleto" importa uma alteração de Microsoft Entra ID em um objeto sincronizado feito pelo outro servidor ativo, o mecanismo de sincronização reverte essa alteração com base nos dados obsoletos do AD que estão no ADCS. Um sintoma típico nesse cenário é que você faz uma alteração no AD sincronizada com Microsoft Entra ID, mas a alteração reverte para o valor original alguns minutos depois (até 30 minutos). Para atenuar rapidamente esse problema, retorne a todos os servidores antigos ou máquinas virtuais que foram desativados e marcar se o serviço ADSync ainda está em execução.

• Atributo móvel com DirSyncOverrides

  Quando o Administração usa o módulo MSOnline ou o PowerShell do AzureAD ou se o usuário for ao Portal do Office e atualizar o atributo Mobile, o número de telefone atualizado será substituído no AzureAD, apesar do objeto ser sincronizado do AD local (também conhecido como DirSyncEnabled).

  Junto com essa atualização, Microsoft Entra ID também define um DirSyncOverrides no objeto para sinalizar que esse usuário tem o número de telefone celular "substituído" no Microsoft Entra ID. A partir deste ponto, qualquer atualização para o atributo móvel originário do local será ignorada porque esse atributo não será mais gerenciado pelo AD local.

  Para obter mais informações sobre o recurso BypassDirSyncOverrides e como restaurar a sincronização de atributos Mobile e outrosMobile de Microsoft Entra ID para Active Directory local, consulte Como usar o recurso BypassDirSyncOverrides de um locatário Microsoft Entra.

• As alterações de UserPrincipalName não são atualizadas no Microsoft Entra ID

  Se o atributo UserPrincipalName não for atualizado no Microsoft Entra ID, enquanto outros atributos sincronizam conforme o esperado, é possível que um recurso chamado SynchronizeUpnForManagedUsers não esteja habilitado no locatário. Esse cenário ocorre com frequência.

  Antes de esse recurso ser adicionado, todas as atualizações para o UPN provenientes do local depois que o usuário foi provisionado em Microsoft Entra ID e atribuiu uma licença foram ignoradas "silenciosamente". Um administrador teria que usar o MSOnline ou Azure AD PowerShell para atualizar o UPN diretamente no Microsoft Entra ID. Depois que esse recurso for atualizado, todas as atualizações para UPN fluirão para Microsoft Entra independentemente de o usuário ser licenciado (gerenciado).

  Observação

  Depois de habilitado, esse recurso não poderá ser desabilitado.

  As atualizações de UserPrincipalName funcionarão se o usuário NÃO estiver licenciado. No entanto, sem o recurso SynchronizeUpnForManagedUsers, UserPrincipalName muda depois que o usuário é provisionado e recebe um licenciado que NÃO será atualizado em Microsoft Entra ID. Observe que a Microsoft não desabilite esse recurso em nome do cliente.

• Caracteres inválidos e internos do ProxyCalc

  Problemas que envolvem caracteres inválidos que não produzem nenhum erro de sincronização são mais problemáticos nos atributos UserPrincipalName e ProxyAddresses devido ao efeito em cascata no processamento proxyCalc que descartará silenciosamente o valor sincronizado do AD local. Essa situação ocorre da seguinte maneira:

  1. O UserPrincipalName resultante no Microsoft Entra ID será o domínio inicial MailNickName ou CommonName @ (em). Por exemplo, em vez de John.Smith@Contoso.com, o UserPrincipalName no Microsoft Entra ID pode se tornar smithj@Contoso.onmicrosoft.com porque há um caractere invisível no valor UPN do AD local.

  2. Se um ProxyAddress contiver um caractere de espaço, o ProxyCalc o descartará e irágenerar automaticamente um endereço de email com base em MailNickName no Domínio Inicial. Por exemplo, "SMTP: John.Smith@Contoso.com" não aparecerá em Microsoft Entra ID porque contém um caractere espacial após o cólon.

  3. Um UserPrincipalName que inclui um caractere espacial ou um ProxyAddress que inclua um caractere invisível causará o mesmo problema.

     Para solucionar problemas de um caractere inválido no UserPrincipalName ou proxyAddress, examine o valor armazenado no AD local de um LDIFDE ou PowerShell exportado para um arquivo. Um truque fácil para detectar um caractere invisível é copiar o conteúdo do arquivo exportado e cole-o em uma janela do PowerShell. O caractere invisível será substituído por um ponto de interrogação (?), conforme mostrado no exemplo a seguir.

     

• Atributo ThumbnailPhoto (KB4518417)

  Há um equívoco geral de que, depois de sincronizar o ThumbnailPhoto do AD pela primeira vez, você não poderá mais atualizá-lo, o que é apenas parcialmente verdadeiro.

  Normalmente, o ThumbnailPhoto no Microsoft Entra ID é continuamente atualizado. No entanto, ocorrerá um problema se a imagem atualizada não for mais recuperada do Microsoft Entra ID pela respectiva carga de trabalho ou parceiro (por exemplo, EXO ou SfBO). Esse problema causa a falsa impressão de que a imagem não foi sincronizada do AD local para Microsoft Entra ID.

  Etapas básicas para solucionar problemas do ThumbnailPhoto

  1. Verifique se a imagem está armazenada corretamente no AD e não excede o limite de tamanho de 100 KB.

  2. Verifique a imagem no Portal de Contas ou use Get-AzureADUserThumbnailPhoto porque esses métodos leem a MiniaturaFoto diretamente do Microsoft Entra ID.

  3. Se a miniatura do AD (ou AzureAD)Photo tiver a imagem correta, mas não estiver correta em outras serviços online, as seguintes condições poderão ser aplicadas:

  • A caixa de correio do usuário contém uma imagem HD e não está aceitando imagens de baixa resolução do Microsoft Entra miniaturaPhoto. A solução é atualizar diretamente a imagem da caixa de correio do usuário.
  • A imagem da caixa de correio do usuário foi atualizada corretamente, mas você ainda está vendo a imagem original. A solução é aguardar pelo menos seis horas para ver a imagem atualizada no Portal do Usuário Office 365 ou no portal do Azure.

Recursos adicionais

• Solução de problemas de erros durante a sincronização
• Solucionar problemas de sincronização de objetos com Microsoft Entra Connect Sync
• Solucionar problemas de um objeto que não está sincronizando com Microsoft Entra ID
• Microsoft Entra conectar sincronização de objeto único

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.