Share via

Диагностика и устранение ошибок синхронизации повторяющихся атрибутов

  • Статья

Обзор

Шаг дальше, чтобы выделить ошибки синхронизации, Microsoft Entra Подключение Health представляет самостоятельное исправление. Он устраняет ошибки синхронизации повторяющихся атрибутов и устраняет объекты, потерянные из идентификатора Microsoft Entra. Функция диагностики имеет следующие преимущества:

  • Она предоставляет диагностическую процедуру, которая позволяет сузить сведения об ошибках синхронизации повторяющихся атрибутов. И обеспечивает соответствующие исправления.
  • Она применяет исправление для выделенных сценариев из идентификатора Microsoft Entra, чтобы устранить ошибку на одном шаге.
  • для включения этой функции не требуется обновление или настройка Дополнительные сведения об идентификаторе Microsoft Entra см. в разделе "Синхронизация удостоверений" и устойчивость повторяющихся атрибутов.

Проблемы

Стандартный сценарий

При возникновении ошибок синхронизации В карантинеAttributeValueMustBeUnique и AttributeValueMustBeUnique часто отображается конфликт userPrincipalName или proxy-адресов в идентификаторе Microsoft Entra. Вы можете устранить ошибки синхронизации, обновив конфликтующий исходный объект в локальном расположении. Ошибка синхронизации будет устранена после следующей синхронизации. Например, на этом изображении указано, что у двух пользователей есть конфликт userPrincipalName. Оба являются Joe.J@contoso.com. Конфликтующие объекты помещаются в карантин в идентификаторе Microsoft Entra.

Diagnose sync error common scenario

Сценарий с потерянным объектом

Иногда можно обнаружить, что текущий пользователь теряет привязку к источнику. В локальном каталоге Active Directory произошло удаление исходного объекта. Но изменение сигнала удаления никогда не синхронизировано с идентификатором Microsoft Entra. Это может произойти из-за проблем механизма синхронизации или из-за переноса домена. Когда тот же объект восстанавливается или повторно создается, по логике для текущего пользователя должна выполняться синхронизация из привязки к источнику.

Если существующий пользователь является объектом только в облаке, можно также увидеть конфликтующего пользователя, синхронизированного с идентификатором Microsoft Entra. Пользователя невозможно сопоставить при синхронизации с существующим объектом. Прямого способа переназначить привязку к источнику нет. Узнайте больше из базы знаний.

Например, существующий объект в идентификаторе Microsoft Entra сохраняет лицензию Джо. Недавно синхронизированный объект с другой привязкой источника возникает в дубликатном состоянии атрибута в идентификаторе Microsoft Entra ID. Изменения для Джо в локальная служба Active Directory не будут применяться к исходному пользователю Джо (существующему объекту) в идентификаторе Microsoft Entra.

Diagnose sync error orphaned object scenario

Шаги по диагностике и устранению неполадок в Connect Health

Функция диагностики поддерживает объекты-пользователи со следующими повторяющимися атрибутами.

Attribute name Типы ошибок синхронизации
UserPrincipalName QuarantinedAttributeValueMustBeUnique или AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique или AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

Важно!

Для доступа к этой функции требуется разрешение глобального Администратор istrator или разрешение участника из Azure RBAC.

Выполните действия из Центра администрирования Microsoft Entra, чтобы сузить сведения об ошибке синхронизации и предоставить более конкретные решения:

Sync error diagnosis steps

В Центре администрирования Microsoft Entra выполните несколько действий, чтобы определить конкретные исправляемые сценарии:

  1. Просмотрите столбец Diagnose status (Состояние диагностики). Состояние показывает, есть ли возможный способ исправить ошибку синхронизации непосредственно из идентификатора Microsoft Entra. Другими словами, существует ли процедура устранения неполадок, позволяющая уточнить ошибку и потенциально устранить ее.
Состояние Что это означает?
Не начата Вы не рассмотрели этот процесс диагностики. В зависимости от результата диагностики, может существовать возможность исправить ошибку синхронизации напрямую с портала.
Требуется исправление вручную Ошибка не подпадает под критерии доступного исправления с портала. Возможно, конфликтующие типы объектов не являются пользователями или вы уже выполнили диагностику, а на портале нет доступных исправлений. В последнем случае одним из решений является исправление из локальной среды. Дополнительные сведения об исправлении в локальной среде.
Ожидается синхронизация Исправление было применено. Портал ожидает следующего цикла синхронизации для устранения ошибки.

Важно!

Данные в столбце состояния диагностики будут сбрасываться после каждого цикла синхронизации.

  1. Нажмите кнопку Диагностика под сведениями об ошибке. Можно ответить на несколько вопросов и получить сведения об ошибке синхронизации. Ответы на вопросы помогают идентифицировать сценарий с потерянным объектом.

  2. Если после окончания диагностики появляется кнопка Закрыть, это означает, что на основе данных ответов на портале нет способов быстрого устранения неполадок. Выберите решение, показанное на последнем шаге. По-прежнему доступно устранение из локальной среды. Нажмите кнопку Закрыть. Состояние текущей ошибки синхронизации изменится на Требуется исправление вручную. Это состояние сохранится на протяжении текущего цикла синхронизации.

  3. После определения сценария с потерянным объектом вы сможете исправить ошибки синхронизации повторяющихся атрибутов напрямую с портала. Нажмите кнопку Применить исправление, чтобы активировать процесс. Состояние текущей ошибки синхронизации обновится и изменится на Ожидается синхронизация.

  4. После следующего цикла синхронизации ошибка будет удалена из списка.

Как ответить на вопросы по диагностике

Есть ли в локальном каталоге Active Directory пользователь?

Этот вопрос позволяет идентифицировать исходный объект текущего пользователя из локального каталога Active Directory.

  1. Проверьте, имеет ли идентификатор Microsoft Entra объект с предоставленным UserPrincipalName. Если это не так, ответьте Нет.
  2. Если это так, убедитесь, что объект все еще находится в области для синхронизации.
    • Выполните поиск в пространстве соединителя Microsoft Entra с помощью DN.
    • Если состояние найденного объекта Отложенное добавление, ответьте Нет. Microsoft Entra Подключение не может подключить объект к правому объекту Microsoft Entra.
    • Если объект не найден, ответьте Да.

В этих примерах вопрос пытается определить, существует ли пользователь Joe Jackson в локальном каталоге Active Directory. Дляраспространенного сценария оба пользователя — Joe Johnson и Joe Jackson будут присутствовать в локальном каталоге Active Directory. Объектами, помещенными в карантин, являются два разных пользователя.

Diagnose sync error common scenario

Для сценария с потерянным объектом только один пользователь (Joe Johnson) будет существовать в локальном каталоге Active Directory.

Diagnose sync error orphaned object does user exist scenario

Обе эти учетные записи принадлежат одному пользователю?

Этот вопрос проверка входящий конфликтующий пользователь и существующий объект пользователя в идентификаторе Microsoft Entra, чтобы узнать, принадлежит ли он одному и тому же пользователю.

  1. Конфликтующий объект синхронизируется с идентификатором Microsoft Entra. Сравните атрибуты объектов:
    • Отображаемое имя.
    • UserPrincipalName или SignInName
    • ObjectID
  2. Если идентификатор Microsoft Entra не удается сравнить их, проверка, имеет ли Active Directory объекты с предоставленными UserPrincipalNames. Ответьте Нет, если найдете оба объекта.

В приведенном ниже примере два объекта принадлежат одному и тому же пользователю, Joe Johnson.

Diagnose sync error orphaned object same user scenario

Что происходит после того, как исправление применяется для сценария с потерянным объектом

На основе ответов на предыдущие вопросы вы увидите кнопку "Применить исправление ", когда есть исправление, доступное из идентификатора Microsoft Entra. В этом случае локальный объект синхронизируется с непредвиденным объектом Microsoft Entra. Два объекта сопоставляются с помощью привязки к источнику. При нажатии кнопки Применить исправление выполняются приведенные ниже или схожие действия:

  1. ОбновленияПривязка источника к правильному объекту в идентификаторе Microsoft Entra.
  2. Удаляет конфликтующий объект в идентификаторе Microsoft Entra, если он присутствует.

Diagnose sync error after the fix

Важно!

Действие Применить исправление применимо только к сценариям с потерянными объектами.

Выполнив описанные выше действия, пользователь может получить доступ к исходному ресурсу, который представляет собой ссылку на существующий объект. Поле Состояние диагностики в представлении списка получит новое значение Ожидание синхронизации. Ошибка синхронизации будет устранена после очередной синхронизации, после чего Connect Health больше не будет показывать эту ошибку синхронизации в представлении списка.

Ошибки и сообщения об ошибках

Пользователь с конфликтующим атрибутом обратимо удаляется в идентификаторе Microsoft Entra. Ensure the user is hard deleted before retry. (Пользователь с конфликтующим атрибутом обратимо удален из Azure Active Directory. Перед повторной попыткой убедитесь, что пользователь удален необратимо.)
Чтобы применить исправление, пользователь с конфликтующим атрибутом в идентификаторе Microsoft Entra должен быть очищен. Узнайте, как удалить пользователя безвозвратно в идентификаторе Microsoft Entra, прежде чем повторить исправление. Пользователь также будет автоматически необратимо удален через 30 дней после того, как он был обратимо удален.

Updating source anchor to cloud-based user in your tenant is not supported. (Обновление привязки к источнику в клиенте для облачного пользователя не поддерживается.)
Пользователь на основе облака в идентификаторе Microsoft Entra не должен иметь привязку источника. В этом случае обновление привязки к источнику не поддерживается. Требуется исправление вручную из локальной среды.

Процесс исправления не смог изменить значения. Определенные параметры, такие как UserWriteback в Microsoft Entra Подключение, не поддерживаются. Отключите его в параметрах.

Вопросы и ответы

В. Что происходит при сбое применения действия Применить исправление?
А. Если выполнение завершается сбоем, возможно, что microsoft Entra Подключение выполняет ошибку экспорта. Обновите страницу портала и повторите попытку после следующей синхронизации. По умолчанию цикл синхронизации составляет 30 минут.

В. Что если текущий объект является объектом, который нужно удалить?
А. Если следует удалить существующий объект, этот процесс не требует изменения привязки к источнику. Как правило, исправить проблему можно из локального каталога Active Directory.

В. Какие разрешения нужны пользователю для применения исправления?
А.Глобальный Администратор istrator или участник из Azure RBAC имеет разрешение на доступ к процессу диагностики и устранения неполадок.

В. Нужно ли настроить microsoft Entra Подключение или обновить агент Microsoft Entra Подключение Health для этой функции?
А. Нет, диагностика — это полностью облачная функция.

В. При обратимом удалении текущего объекта можно ли с помощью процесса диагностики восстановить его?
А. Нет, при исправлении атрибут объекта не обновляется, если это не привязка к источнику.