Поделиться через

Устранение неполадок с облачной синхронизацией

  • Статья

Облачная синхронизация имеет множество различных зависимостей и взаимодействий, что может привести к различным проблемам. Эта статья поможет устранить эти проблемы. В ней представлены типичные области, на которые вы можете сосредоточиться, как собрать дополнительную информацию и различные методы, которые можно использовать для отслеживания проблем.

Проблемы агента

При устранении неполадок агента убедитесь, что агент был установлен правильно, и что он взаимодействует с идентификатором Microsoft Entra. В частности, некоторые из первых вещей, которые необходимо проверить с помощью агента:

  • Установлен ли он?
  • Работает ли агент локально?
  • Агент находится на портале?
  • Отмечен ли агент как здоров?

Эти элементы можно проверить на портале и на локальном сервере, где запущен агент.

Проверка агента в центре администрирования Microsoft Entra

Чтобы убедиться, что Azure обнаруживает агент и что агент работоспособен, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Гибридный Администратор.
  2. Перейдите к идентичности>управления гибридной инфраструктурой>Microsoft Entra Connect>облачной синхронизации. снимок экрана домашней страницы облачной синхронизации.
  1. Выберите облачную синхронизацию.
  2. Вы должны видеть установленных агентов. Убедитесь, что рассматриваемый агент присутствует. Если все хорошо, вы увидите статус активного агента (зеленый).

Проверка необходимых открытых портов

Убедитесь, что агент подключения Microsoft Entra может успешно взаимодействовать с дата-центрами Azure. Если в пути есть брандмауэр, убедитесь, что открыты следующие порты для исходящего трафика:

Номер порта Как оно используется
80 Скачивание списков отзыва сертификатов (CRLS) при проверке TLS/SSL-сертификата.
443 Обработка всех исходящих сообщений с помощью службы прокси приложения.

Если брандмауэр применяет трафик в соответствии с пользователями-источниками, также откройте порты 80 и 443 для трафика из служб Windows, действующих как сетевая служба.

Разрешить доступ к URL-адресам

Разрешить доступ к следующим URL-адресам:

URL-адрес Порт Как оно используется
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Обмен данными между соединителем и облачной службой Application Proxy.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Соединитель использует эти URL-адреса для проверки сертификатов.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS Соединитель использует эти URL-адреса во время регистрации.
ctldl.windowsupdate.com 80/HTTP Соединитель использует этот URL-адрес во время регистрации.

Можно разрешить подключениям *.msappproxy.net, *.servicebus.windows.netи другим приведенным выше URL-адресам, если брандмауэр или прокси-сервер позволяет настраивать правила доступа на основе суффиксов домена. В противном случае вы должны разрешить доступ к диапазонам IP-адресов Azure и тегам службы - общедоступному облаку. Диапазоны IP-адресов обновляются каждую неделю.

Важный

Избегайте всех форм инспекций в реальном времени и прерывания исходящих TLS-сообщений между соединителями частной сети Microsoft Entra и облачными службами прокси-сервера приложений Microsoft Entra.

Разрешение DNS-имен для конечных точек прокси приложения Microsoft Entra

Общедоступные записи DNS для конечных точек прокси приложения Microsoft Entra являются цепочками записей CNAME, указывающих на запись A. Это обеспечивает отказоустойчивость и гибкость. Гарантируется, что соединитель частной сети Microsoft Entra всегда обращается к именам узлов с доменными суффиксами *.msappproxy.net или *.servicebus.windows.net.

Однако во время разрешения имени записи CNAME могут содержать записи DNS с различными именами узлов и суффиксами. Из-за этого необходимо убедиться, что устройство может обрабатывать все записи в цепочке и разрешает подключение к полученным IP-адресам. Из-за того, что записи DNS в цепочке могут время от времени изменяться, мы не можем предоставить вам список этих записей.

На локальном сервере

Чтобы убедиться, что агент работает, выполните следующие действия.

  1. На сервере с установленным агентом откройте служб. Для этого перейдите к запустить>запустить>Services.msc.

  2. В разделе службубедитесь, что Агент обновления Microsoft Entra Connect и Агент подготовки Microsoft Entra присутствуют. Также убедитесь, что их статус выполняется.

    снимок экрана локальных служб и их состояние.

Распространенные проблемы с установкой агента

В следующих разделах описываются некоторые распространенные проблемы установки агента и типичные решения этих проблем.

Не удалось запустить агент

Может появиться сообщение об ошибке, которое указывает:

Не удалось запустить службу Microsoft Entra Provisioning Agent. Убедитесь, что у вас есть достаточные привилегии для запуска системных служб.

Эта проблема обычно вызвана групповой политикой. Политика предотвратила применение разрешений к локальной учетной записи входа службы NT, созданной установщиком (NT SERVICE\AADConnectProvisioningAgent). Эти разрешения необходимы для запуска службы.

Чтобы устранить эту проблему, выполните следующие действия.

  1. Войдите на сервер с учетной записью администратора.

  2. Откройте служб, перейдя запустить>запустить>Services.msc.

  3. В разделе Службыдважды щелкните Агент подготовки Microsoft Entra.

  4. На вкладке Вход в систему измените Эта учетная запись на администратора домена. Затем перезапустите службу.

    снимок экрана, на котором показаны параметры, доступные на вкладке

Время ожидания агента истекает или сертификат недействителен

При регистрации агента может появиться следующее сообщение об ошибке.

Снимок экрана, показывающий сообщение об ошибке тайм-аута.

Эта проблема обычно вызвана тем, что агент не может подключиться к службе гибридных удостоверений. Чтобы устранить эту проблему, настройте исходящий прокси-сервер.

Агент подготовки поддерживает использование исходящего прокси-сервера. Его можно настроить, изменив следующий файл агента .config: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Добавьте в него следующие строки в конце файла непосредственно перед закрывающим тегом </configuration>. Замените переменные [proxy-server] и [proxy-port] именем прокси-сервера и значениями порта.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Регистрация агента не удаётся из-за ошибки безопасности

При установке агента подготовки облака может появиться сообщение об ошибке. Эта проблема обычно вызвана тем, что агент не может запускать сценарии регистрации PowerShell из-за локальных политик выполнения PowerShell.

Чтобы устранить эту проблему, измените политики выполнения PowerShell на сервере. Необходимо задать политики компьютера и пользователя как Undefined или RemoteSigned. Если они заданы как Unrestricted, вы увидите эту ошибку. Дополнительные сведения см. в политиках исполнения PowerShell.

Файлы журнала

По умолчанию агент выдает минимальные сообщения об ошибках и информацию о трассировке стека. Эти журналы трассировки можно найти в следующей папке: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Чтобы получить дополнительные сведения об устранении неполадок, связанных с агентом, выполните следующие действия.

  1. установите модуль AADCloudSyncTools PowerShell.
  2. Используйте командлет PowerShell Export-AADCloudSyncToolsLogs для сбора информации. Для точной настройки сбора данных можно использовать следующие параметры.
    • SkipVerboseTrace экспортировать только текущие журналы без записи подробных журналов (по умолчанию = false).
    • TracingDurationMins указать другую длительность записи (по умолчанию = 3 минуты).
    • OutputPath указать другой выходной путь (по умолчанию = папка документов пользователя).

Проблемы с синхронизацией объектов

На портале можно использовать журналы настройки для выявления и устранения проблем синхронизации объектов. Чтобы просмотреть журналы, выберите .

снимок экрана, на котором показана кнопка

Журналы настройки предоставляют множество сведений о состоянии объектов, синхронизируемых между локальной средой Active Directory и Azure.

снимок экрана, показывающий сведения о журналах конфигурирования.

Вы можете отфильтровать представление, чтобы сосредоточиться на конкретных проблемах, таких как даты. Вы также можете искать журналы действий, связанных с объектом Active Directory, с помощью ObjectGuidActive Directory. Дважды щелкните отдельное событие, чтобы просмотреть дополнительные сведения.

снимок экрана, показывающий информацию о раскрывающемся списке журналов подготовки.

Эта информация содержит подробные инструкции и место возникновения проблемы синхронизации. Таким образом, можно определить точное место проблемы.

Пропущенные объекты

Если вы синхронизировали пользователей и группы из Active Directory, возможно, не удается найти одну или несколько групп в идентификаторе Microsoft Entra ID. Это может быть вызвано тем, что синхронизация еще не завершена или не успела синхронизироваться с созданием объекта в Active Directory, ошибкой синхронизации, которая блокирует создание объекта в Microsoft Entra ID, или правило области синхронизации может быть применено, исключая объект.

После перезапуска синхронизации и завершения цикла подготовки выполните поиск в журнале развертывания для поиска действий, связанных с объектом Active Directory ObjectGuid. Если событие с удостоверением, содержащим только исходный идентификатор и статус Skipped, присутствует в журнале, это может указывать на то, что агент отфильтровал объект Active Directory, так как он находился за пределами области.

По умолчанию правила области исключают следующие объекты из синхронизации с идентификатором Microsoft Entra.

  • пользователи, группы и контакты, у которых параметр IsCriticalSystemObject установлен в значение TRUE, включая многих встроенных пользователей и групп в Active Directory
  • Объекты жертв репликации

Дополнительные ограничения могут присутствовать в схеме синхронизации .

Пороговое значение удаления объектов Microsoft Entra

Если у вас есть топология реализации с Microsoft Entra Connect и Microsoft Entra Cloud Sync, обе системы экспортируют в одного и того же клиента Microsoft Entra, или если вы полностью перешли с использования Microsoft Entra Connect на Microsoft Entra Cloud Sync, при удалении или перемещении нескольких объектов из определенной области, у вас может появиться следующее сообщение об ошибке экспорта:

снимок экрана, показывающий ошибку экспорта.

Эта ошибка не связана с функцией предотвращения случайного удаления облачной синхронизации Microsoft Entra Connect. Она активируется функцией предотвращения случайного удаления в каталоге Microsoft Entra от Microsoft Entra Connect. Если у вас нет установленного сервера Microsoft Entra Connect, из которого можно переключать эту функцию, вы можете использовать модуль PowerShell "AADCloudSyncTools", установленный с агентом облачной синхронизации Microsoft Entra Connect, чтобы отключить этот параметр клиента и разрешить заблокированные удаления для экспорта после подтверждения, что они ожидаемы и должны быть разрешены. Используйте следующую команду:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Во время следующего цикла подготовки объекты, помеченные для удаления, должны быть успешно удалены из каталога Microsoft Entra.

Решение проблем в карантине

Облачная синхронизация отслеживает работоспособность конфигурации и помещает неработоспособные объекты в состояние карантина. Если большинство или все вызовы, совершенные в целевой системе, постоянно завершаются сбоем из-за ошибки (например, неверных учетных данных администратора), задание синхронизации помечается на карантин.

снимок экрана, показывающий состояние карантина.

Выбрав состояние, можно просмотреть дополнительные сведения о карантине. Вы также можете получить код ошибки и сообщение.

снимок экрана с дополнительными сведениями о карантине.

Щелкните правой кнопкой мыши на статусе, чтобы открыть дополнительные параметры.

  • Посмотреть журналы настройки.
  • Посмотрите агентов.
  • Снять карантин.

снимок экрана с параметрами меню правой кнопкой мыши.

Разрешение карантина

Существует два разных способа решения карантина. Вы можете очистить карантин или перезапустить процесс настройки.

Очистка карантина

Чтобы очистить водяной знак и запустить разностную синхронизацию для задания подготовки после его проверки, просто щелкните правой кнопкой мыши на статусе и выберите Очистить карантин.

Должно появиться уведомление о том, что карантин отменяется.

снимок экрана с оповещением о том, что карантин снимается.

Затем вы увидите, что состояние вашего агента - в норме.

снимок экрана, показывающий, что состояние агента здоровое.

Перезапустите задание подготовки

Используйте портал для перезапуска задачи подготовки. На странице конфигурации агента выберите "Перезапустите синхронизацию".

снимок экрана, на котором показаны параметры на странице конфигурации агента.

Альтернативно, можно использовать Microsoft Graph для перезапуска задания подготовки. У вас есть полный контроль над тем, что вы перезапускаете. Вы можете очистить следующее:

  • Escrows, чтобы перезапустить счетчик депонирования, который учитывается для перехода в состояние карантина.
  • Карантин — можно удалить приложение из карантина.
  • Водяные знаки.

Используйте следующий запрос:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Восстановление учетной записи службы облачной синхронизации

Если необходимо восстановить учетную запись службы облачной синхронизации, можно использовать команду Repair-AADCloudSyncToolsAccount.

  1. установите модуль AADCloudSyncTools PowerShell.

  2. В сеансе PowerShell с правами администратора введите или скопируйте и вставьте следующее:

    Connect-AADCloudSyncTools

  3. Введите учетные данные глобального администратора Microsoft Entra.

  4. Введите или скопируйте и вставьте следующее:

    Repair-AADCloudSyncToolsAccount

  5. После завершения работы следует сказать, что учетная запись была успешно восстановлена.

Обратная запись паролей

Чтобы включить и использовать обратную запись паролей с облачной синхронизацией, помните следующее:

  • Если необходимо обновить разрешения gMSA, их репликация на все объекты каталога может занять час или более. Если эти разрешения не назначены, обратная запись может быть настроена правильно, но пользователи могут столкнуться с ошибками при обновлении локальных паролей из облака. Разрешения следует применить к данному объекту и всем объектам-потомкам, чтобы появиться 'Unexpire Password'.
  • Если пароли для некоторых учетных записей пользователей не записываются обратно в локальный каталог, убедитесь, что наследование не отключено для учетной записи в локальной среде доменных служб Active Directory (AD DS). Разрешения на запись паролей должны применяться к объектам-потомкам, чтобы функция работала правильно.
  • Политики паролей в локальной среде AD DS могут препятствовать корректному выполнению сброса пароля. Если вы тестируете эту функцию и хотите сбросить пароли для пользователей более одного раза в день, групповая политика для минимального возраста пароля должна иметь значение 0. Этот параметр можно найти в следующем расположении: конфигурация компьютера>политики>параметры Windows>параметры безопасности>политики учетных записейв gpmc.msc.
    • Если вы обновляете групповую политику, дождитесь репликации обновленной политики или используйте команду gpupdate /force.
    • Для немедленного изменения паролей необходимо установить минимальный срок действия пароля на 0. Однако если пользователи соответствуют локальным политикам, а минимальный возраст пароля имеет значение больше 0, обратная запись паролей не работает после оценки локальных политик.

Дальнейшие действия