Поделиться через

Устранение неполадок облачной синхронизации

  • Статья

Синхронизация с облаком касается многих различных аспектов и имеет много различных зависимостей, поэтому может быть связана с возникновением разных проблем. Эта статья поможет вам устранить эти проблемы. В ней представлены типичные области, на которых следует сосредоточиться, рекомендации по сбору дополнительных сведений и различные методы, которые можно использовать для выявления проблем.

Проблемы с агентом

При устранении неполадок агента убедитесь, что агент был установлен правильно, и что он взаимодействует с идентификатором Microsoft Entra. В первую очередь необходимо проверить следующее.

  • Агент установлен?
  • Агент запущен локально?
  • Агент находится на портале?
  • Агент помечен как работоспособный?

Эти элементы можно проверить на портале и на локальном сервере, на котором выполняется агент.

Проверка агента Центра администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы убедиться, что Azure видит агент, и что агент работоспособен, выполните приведенные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный Администратор istrator.
  2. Перейдите к синхронизации Microsoft Entra для гибридного управления удостоверениями>>Подключение> Cloud.Снимок экрана: домашняя страница облачной синхронизации.
  1. Выберите облачную синхронизацию.
  2. Вы должны увидеть установленные агенты. Убедитесь, что нужный агент присутствует в этом списке. Если все в порядке, состояние агента отображается как Активно (помечено зеленым цветом).

Проверка, открыты ли требуемые порты

Убедитесь, что агент подготовки Microsoft Entra может успешно взаимодействовать с центрами обработки данных Azure. Если на пути есть брандмауэр, убедитесь, что открыты следующие порты для исходящего трафика.

Номер порта Как он используется
80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
443 Обработке всей исходящий связи со службой Application Proxy.

Если брандмауэр инициирует трафик в соответствии с отправляющими его пользователями, откройте порты 80 и 443 для трафика, поступающего от служб Windows, которые работают как сетевая служба.

Разрешение доступа к URL-адресам

Разрешите доступ к следующим URL-адресам.

URL Порт Как он используется
*.msappproxy.net
*.servicebus.windows.net		 HTTPS 443 Связь между соединителем и облачной службой Application Proxy.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 HTTP 80 Соединитель использует эти URL-адреса для проверки сертификатов.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 HTTPS 443 Соединитель использует эти URL-адреса во время регистрации.
ctldl.windowsupdate.com HTTP 80 Соединитель использует этот URL-адрес во время регистрации.

Вы можете разрешить подключения к *.msappproxy.net, *.servicebus.windows.net, а также другим приведенным выше URL-адресам, если ваш брандмауэр или прокси-сервер позволяет настраивать правила доступа на основе суффиксов домена. В противном случае необходимо разрешить доступ к диапазонам IP-адресов Azure и тегам служб в общедоступном облаке. Список диапазонов IP-адресов обновляется еженедельно.

Внимание

Избегайте всех форм встроенной проверки и завершения исходящих подключений TLS между соединителями частной сети Microsoft Entra и облачными службами прокси приложения Microsoft Entra.

Разрешение DNS-имен для конечных точек прокси приложения Microsoft Entra

Общедоступные записи DNS для конечных точек прокси приложения Microsoft Entra являются цепочками записей CNAME, указывающих на запись A. Этим обеспечивается отказоустойчивость и гибкость. Гарантируется, что соединитель частной сети Microsoft Entra всегда обращается к именам узлов с помощью суффиксов *.msappproxy.net домена или *.servicebus.windows.net.

Однако во время разрешения имен записи CNAME могут содержать записи DNS с разными именами узлов и суффиксами. По этой причине необходимо убедиться, что устройство может разрешить все записи в цепочке и позволяет подключиться к разрешенным IP-адресам. Поскольку записи DNS в цепочке иногда могут изменяться, мы не можем предоставить вам список записей DNS.

На локальном сервере

Чтобы убедиться, что агент выполняется, сделайте следующее.

  1. На сервере с установленным агентом откройте экран Службы. Для этого последовательно выберите Пуск>Выполнить>Services.msc.

  2. В разделе "Службы" убедитесь, что Microsoft Entra Подключение Agent Updater и Microsoft Entra Provisioning Agent есть. Также убедитесь, что они находятся в состоянии Выполняется.

    Снимок экрана: локальные службы и их состояние.

Распространенные проблемы при установке агента

В следующих разделах описаны некоторые распространенные проблемы установки агентов и приведены типичные способы их устранения.

Агент не запускается

Может появиться следующее сообщение об ошибке:

Не удалось запустить службу Microsoft Entra Provisioning Agent. Проверьте наличие необходимых привилегий для запуска системных служб.

Эта проблема обычно вызвана групповой политикой. Политика не позволила применить разрешения к локальной учетной записи входа службы NT, созданной установщиком (NT SERVICE\AADConnectProvisioningAgent). Эти разрешения необходимы для запуска службы.

Устранить проблему можно так:

  1. Войдите на сервер, используя учетную запись администратора.

  2. Откройте экран Службы, последовательно выбрав Пуск>Выполнить>Services.msc.

  3. В разделе "Службы" дважды щелкните агент подготовки Microsoft Entra.

  4. На вкладке входа измените значение в поле Эта учетная запись на учетную запись администратора домена, а затем перезапустите службу.

    Снимок экрана: параметры, доступные на вкладке

Истекло время ожидания агента или недействительный сертификат

Это сообщение может появиться при попытке регистрации агента.

Снимок экрана: сообщение об ошибке времени ожидания.

Обычно эта проблема связана с тем, что агент не может подключиться к гибридной службе удостоверений. Чтобы устранить эту проблему, настройте исходящий прокси-сервер.

Агент подготовки поддерживает использование исходящего прокси-сервера. Его можно настроить, изменив следующий файл конфигурации агента: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Добавьте в него следующие строки в конце файла непосредственно перед закрывающим тегом </configuration>. Замените переменные [proxy-server] и [proxy-port] значениями имени прокси-сервера и номера порта.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Сбой регистрации агента с ошибкой безопасности

Это сообщение об ошибке может появиться при установке агента подготовки облака. Обычно эта проблема бывает вызвана тем, что агент не может выполнить скрипты регистрации PowerShell из-за локальных политик выполнения PowerShell.

Чтобы устранить эту проблему, измените политики выполнения PowerShell на сервере. Необходимо, чтобы политики компьютера и пользователя были заданы как Undefined или RemoteSigned. Если они заданы как Unrestricted, вы увидите эту ошибку. Дополнительные сведения см. в разделе Политики выполнения PowerShell.

Файлы журналов

По умолчанию агент выдает минимальные сообщения об ошибках и сведения о трассировке стека. Эти журналы трассировки находятся в папке C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Чтобы собрать дополнительные сведения для устранения неполадок, связанных с агентом, выполните следующие действия.

  1. Установите модуль AADCloudSyncTools PowerShell.
  2. Используйте командлет PowerShell Export-AADCloudSyncToolsLogs для сбора данных. Для точной настройки сбора данных можно использовать следующие переключатели.
    • SkipVerboseTrace для экспорта только текущих журналов без записи подробных журналов (по умолчанию = false).
    • TracingDurationMins, чтобы указать другую длительность записи (по умолчанию — 3 мин);
    • OutputPath, чтобы указать другой путь для выходных данных (по умолчанию — папка Documents пользователя).

Проблемы синхронизации объектов

На портале можно использовать журналы подготовки для отслеживания и устранения неполадок синхронизации объектов. Чтобы просмотреть журналы, нажмите кнопку Logs (Журналы).

Снимок экрана: кнопка

Журналы подготовки предоставляют обширные сведения о состоянии объектов, синхронизируемых между локальной средой Active Directory и Azure.

Снимок экрана: сведения о журналах подготовки.

Чтобы сконцентрироваться на конкретных проблемах можно отфильтровать представление, например, по датам. Вы также можете искать в журналах действия, относящиеся к объекту Active Directory, с помощью его Active Directory ObjectGuid. Дважды щелкните событие, чтобы просмотреть дополнительные сведения о нем.

Снимок экрана: раскрывающийся список журналов подготовки.

Эти сведения содержат подробные инструкции и место возникновения проблемы синхронизации. Таким образом можно точно определить место возникновения проблемы.

Пропущенные объекты

Если вы синхронизировали пользователей и группы из Active Directory, возможно, не удается найти одну или несколько групп в идентификаторе Microsoft Entra ID. Это может быть вызвано тем, что синхронизация еще не завершена или еще не завершена при создании объекта в Active Directory, ошибка синхронизации, которая блокирует создание объекта в идентификаторе Microsoft Entra ID, или правило области синхронизации может быть применено, за исключением объекта.

При перезапуске синхронизации, а затем после завершения цикла подготовки выполните поиск в журнале подготовки действий, связанных с объектом, с помощью Active Directory ObjectGuidэтого объекта. Если событие с идентификатором, содержащим только исходный идентификатор и состояниеSkipped, присутствует в журнале, это может указывать на то, что агент отфильтровал объект Active Directory, так как он был не область.

По умолчанию правила области исключают следующие объекты из синхронизации с идентификатором Microsoft Entra.

  • пользователи, группы и контакты с IsCriticalSystemObject установленным значением TRUE, в том числе многие встроенные пользователи и группы в Active Directory
  • объекты жертвы реплика

Дополнительные ограничения могут присутствовать в схеме синхронизации.

Пороговое значение удаления объектов Microsoft Entra

Если у вас есть топология реализации с помощью Microsoft Entra Подключение и Microsoft Entra Cloud Sync, экспорт в один клиент Microsoft Entra или если вы полностью перешли с использования Microsoft Entra Подключение в Microsoft Entra Cloud Sync, при удалении или перемещении нескольких объектов из определенной область может появиться следующее сообщение об ошибке экспорта:

Снимок экрана: ошибка экспорта.

Эта ошибка не связана с функцией предотвращения случайных удалений microsoft Entra Подключение облачной синхронизации. Он активируется функцией предотвращения случайного удаления в каталоге Microsoft Entra из Microsoft Entra Подключение. Если у вас нет сервера Microsoft Entra Подключение, с которого можно переключить эту функцию, можно использовать модуль PowerShell AADCloudSyncTools, установленный с агентом облачной синхронизации Microsoft Entra Подключение, чтобы отключить параметр в клиенте и разрешить заблокированные удаления экспортировать после подтверждения их ожидания и должно быть разрешено. Используйте следующую команду:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Во время следующего цикла подготовки объекты, помеченные для удаления, должны быть успешно удалены из каталога Microsoft Entra.

Проблемы помещения подготовки в карантин

Облачная синхронизация отслеживает работоспособность вашей конфигурации и помещает неработоспособные объекты в состояние карантина. Если большинство или все вызовы, отправленные в целевую систему, последовательно завершаются сбоем из-за ошибки (например, недопустимых учетных данных администратора), задание синхронизации отмечается как помещенное в карантин.

Снимок экрана: состояние карантина.

Выбрав состояние, можно просмотреть дополнительные сведения о карантине. Вы также можете получить код ошибки и сообщение.

Снимок экрана: дополнительные сведения о карантине.

При щелчке состояния правой кнопкой мыши отображаются дополнительные параметры:

  • Просмотреть журналы подготовки.
  • Просмотреть агенты.
  • Очистка карантина.

Снимок экрана: параметры контекстного меню.

Разрешение карантина

Существует два разных способа решения проблемы карантина. Можно очистить карантин или перезапустить задание подготовки.

Очистка карантина

Чтобы очистить предел и выполнить разностную синхронизацию для задания подготовки после его проверки, просто щелкните правой кнопкой мыши состояние и выберите Очистить карантин.

Должно появиться уведомление о том, что карантин очищен.

Снимок экрана: уведомление об очистке карантина.

После этого состояние агента должно отображаться как работоспособное.

Снимок экрана: состояние агента является работоспособным.

Перезапуск задания подготовки

Используйте портал для перезапуска задания подготовки. На странице конфигурации агента выберите Перезапустить подготовку.

Снимок экрана: параметры на странице конфигурации агента.

Кроме того, для перезапуска задания подготовки можно использовать Microsoft Graph. Вы полностью контролируете перезапуски. Вы можете очистить:

  • депонирование, чтобы перезапустить счетчик депонирования, который растет до состояния карантина;
  • карантин, чтобы удалить приложение из карантина;
  • пределы.

Используйте следующий запрос:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Восстановление учетной записи службы облачной синхронизации

Если вам нужно восстановить учетную запись службы облачной синхронизации, можно использовать командуRepair-AADCloudSyncToolsAccount.

  1. Установите модуль AADCloudSyncTools PowerShell.

  2. В сеансе PowerShell с правами администратора введите или скопируйте и вставьте следующий текст:

    Connect-AADCloudSyncTools

  3. Введите учетные данные Microsoft Entra Global Администратор istrator.

  4. Введите или скопируйте и вставьте следующий текст:

    Repair-AADCloudSyncToolsAccount

  5. После завершения этого процесса должно появиться сообщение, что учетная запись успешно исправлена.

Компонент обратной записи паролей

Чтобы включить и использовать обратную запись паролей с синхронизацией в облаке, учитывайте следующее.

  • Если вам нужно обновить разрешения gMSA, для репликации этих разрешений на все объекты в вашем каталоге может потребоваться час или больше. Если эти разрешения не будут назначены, даже при кажущейся правильной настройке обратной записи паролей пользователи могут столкнуться с ошибками при попытке обновления своих локальных паролей из облака. Чтобы функция Отмена истечения срока пароля отображалась, разрешения должны распространятся на Этот объект и все дочерние объекты.
  • Если пароли для некоторых учетных записей пользователей не записываются обратно в локальный каталог, убедитесь, что наследование не отключено для учетной записи в локальной среде доменных служб Active Directory (AD DS). Чтобы функция работала правильно, разрешения на запись паролей должны быть применены к дочерним объектам.
  • Политики паролей в локальной среде AD DS могут препятствовать правильной обработке сброса паролей. Если вы тестируете эту функцию и хотите сбрасывать пароли для пользователей более одного раза в день, значение групповой политики для минимального срока действия пароля должно быть равно 0. Этот параметр можно найти в следующем расположении: Конфигурация компьютера>Политики>Параметры Windows>Параметры безопасности>Политики учетных записей в gpmc.msc.
    • При обновлении групповой политики дождитесь завершения репликации обновленной политики или используйте команду gpupdate /force.
    • Чтобы пароли изменялись немедленно, для параметра минимального срока действия пароля нужно установить значение 0. Но если пользователи придерживаются локальных политик и для минимального срока действия пароля задано значение больше 0, обратная запись паролей не будет выполняться после оценки локальных политик.

Следующие шаги