Устранение ошибок синхронизации

  • 10 мин

Ошибки могут возникать при синхронизации данных удостоверений из Windows Server Active Directory (AD DS) с идентификатором Microsoft Entra. В этом разделе приводится обзор различных типов ошибок синхронизации, некоторые из возможных сценариев, которые вызывают эти ошибки, и возможные способы устранения ошибок. Здесь содержатся сведения о распространенных типах ошибок, хотя возможно, что рассматриваются не все возможные ошибки.

С последней версией Microsoft Entra Подключение отчет об ошибках синхронизации доступен в портал Azure в составе Microsoft Entra Подключение Health для синхронизации.

Microsoft Entra Подключение выполняет три типа операций из каталогов, которые он сохраняет в синхронизации: импорт, синхронизация и экспорт. В ходе всех операций могут возникать ошибки. В этом разделе основное внимание уделяется ошибкам при экспорте в идентификатор Microsoft Entra.

Ошибки во время экспорта в идентификатор Microsoft Entra

В следующем разделе описаны различные типы ошибок синхронизации, которые могут возникать во время операции экспорта в идентификатор Microsoft Entra с помощью соединителя Microsoft Entra. Этот соединитель можно определить по формату имени contoso.onmicrosoft.com. Ошибки при экспорте в идентификатор Microsoft Entra указывают, что операция (добавление, обновление, удаление и т. д.), предпринятая microsoft Entra Подключение (обработчик синхронизации) в каталоге Microsoft Entra не удалось.

Screenshot of the Export Errors Overview page in Microsoft Entra Connect.

Ошибки несовпадения данных

InvalidSoftMatch

Description

  • Когда Microsoft Entra Подключение (подсистема синхронизации) указывает каталогу добавлять или обновлять объекты, идентификатор Microsoft Entra соответствует входящему объекту с помощью атрибута sourceAnchor атрибуту immutableId объектов в идентификаторе Microsoft Entra ID. Это сопоставление называется жестким.
  • Если идентификатор Microsoft Entra не находит объект, соответствующий атрибуту immutableId с атрибутом sourceAnchor входящего объекта, перед подготовкой нового объекта он возвращается к использованию атрибутов ProxyAddresses и UserPrincipalName для поиска совпадения. Такое сопоставление называется мягким. Soft Match предназначен для сопоставления объектов, уже присутствующих в идентификаторе Microsoft Entra, с новыми объектами, добавляемыми или обновляемыми во время синхронизации, которые представляют ту же сущность (пользователи, группы) локальной.
  • Ошибка InvalidSoftMatch возникает, если при жестком сопоставлении не удалось найти соответствующий объект, А при мягком сопоставлении он найден, но при этом значение immutableId этого объекта и sourceAnchor входящего объекта отличаются, предполагая что совпадающий объект синхронизирован с другим объектом из локального каталога AD.

Другими словами, чтобы выполнить мягкое сопоставление, для атрибута immutableId объекта, с которым выполняется сопоставление, не должно быть указано значение. Если для объекта с атрибутом immutableId задать значение, которое не соответствует условиям жесткого сопоставления, но соответствует условиям мягкого, при синхронизации возникнет ошибка InvalidSoftMatch.

Схема каталога Microsoft Entra не позволяет двум или нескольким объектам иметь одно и то же значение следующих атрибутов. (Это не исчерпывающий список.)

  • ProxyAddresses
  • UserPrincipalName
  • onPremisesSecurityIdentifier;
  • ObjectId

Функция устойчивости повторяющихся атрибутов Microsoft Entra также развертывается в качестве поведения по умолчанию идентификатора Microsoft Entra. Это уменьшит количество ошибок синхронизации, которые были замечены microsoft Entra Подключение (а также другими клиентами синхронизации), что делает идентификатор Microsoft Entra более устойчивым таким образом, как он обрабатывает повторяющиеся атрибуты ProxyAddresses и UserPrincipalName, присутствующих в локальных средах AD. Эта функция не исправляет ошибки дублирования, поэтому данные все равно необходимо исправлять. Но он позволяет подготавливать новые объекты, которые в противном случае заблокированы из-за повторяющихся значений в идентификаторе Microsoft Entra. Это также позволит снизить количество ошибок синхронизации, возвращаемых клиенту синхронизации. После включения в клиенте функции устойчивости повторяющихся атрибутов при подготовке новых объектов не будет отображаться ошибка синхронизации InvalidSoftMatch.

Примеры сценариев для InvalidSoftMatch

  • В локальном каталоге AD есть несколько объектов с одинаковым значением атрибута proxyAddresses. Только один подготавливается в идентификаторе Microsoft Entra.
  • В локальном каталоге AD есть несколько объектов с одинаковым значением атрибута userPrincipalName. Только один подготавливается в идентификаторе Microsoft Entra.
  • Объект был добавлен в локальную службу Active Directory с тем же значением атрибута ProxyAddresses, что и существующий объект в каталоге Microsoft Entra. Объект, добавленный в локальную среду, не подготавливается в каталоге Microsoft Entra.
  • Объект был добавлен в локальную службу Active Directory с тем же значением атрибута userPrincipalName, что и учетная запись в идентификаторе Microsoft Entra. Объект не подготавливается в идентификаторе Microsoft Entra.
  • Синхронизированная учетная запись была перемещена из леса A в лес B. Microsoft Entra Подключение (подсистема синхронизации) использовала атрибут ObjectGUID для вычисления SourceAnchor. После перемещения леса значение sourceAnchor изменилось. Новый объект (из леса B) не синхронизируется с существующим объектом в идентификаторе Microsoft Entra.
  • Синхронизированный объект был случайно удален из локальной службы Active Directory, а новый объект был создан в Active Directory для той же сущности (например, пользователя), не удаляя учетную запись в идентификаторе Microsoft Entra. Новая учетная запись не синхронизируется с существующим объектом Microsoft Entra.
  • Microsoft Entra Подключение был удален и переустановлен. При переустановке вместо атрибута sourceAnchor выбран другой атрибут. Синхронизация всех синхронизированных ранее объектов будет остановлена. Отобразится ошибка InvalidSoftMatch.

Пример

  1. Боб Смит — это синхронизированный пользователь в идентификаторе Microsoft Entra из локальной среды Active Directory contoso.com

  2. Для атрибута userPrincipalName Григория задано значение bobs@contoso.com.

  3. "abcdefghijklmnopqrstuv=" — это sourceAnchor, вычисляемый Microsoft Entra Подключение с помощью объекта Bob Smith в локальной среде Active Directory, который является неизменяемым Идентификатором для Боба Смита в идентификаторе Microsoft Entra ID.

  4. Для атрибута proxyAddresses Григория используются следующие значения.

    • smtp: bobs@contoso.com.
    • smtp: bob.smith@contoso.com.
    • smtp: bob@contoso.com

  5. В локальный каталог AD добавлен новый пользователь Артем Кузнецов.

  6. Для атрибута userPrincipalName Артема задано значение bobt@contoso.com.

  7. "abcdefghijkl0123456789="" — это sourceAnchor, вычисляемый Microsoft Entra Подключение с помощью объекта Bob Тейлора из локальной среды Active Directory. Объект Боба Тейлора еще не синхронизирован с идентификатором Microsoft Entra.

  8. Для атрибута proxyAddresses Артема используются следующие значения:

    • smtp: bobt@contoso.com.
    • smtp: bob.taylor@contoso.com.
    • smtp: bob@contoso.com

  9. Во время синхронизации Microsoft Entra Подключение распознает добавление Боба Тейлора в локальной среде Active Directory и попросите Идентификатор Microsoft Entra сделать то же изменение.

  10. Идентификатор Microsoft Entra сначала выполнит жесткий матч. Другими словами, выполнит поиск объектов, у которых для атрибута immutableId задано значение abcdefghijkl0123456789==. Жесткое совпадение завершится ошибкой, так как ни один другой объект в идентификаторе Microsoft Entra id не будет иметь неизменяемый Идентификатор.

  11. Затем идентификатор Microsoft Entra попытается выполнить мягкий матч Боб Тейлор. То есть Azure AD выполнит поиск объектов, у которых для атрибута proxyAddresses задано три значения, в том числе smtp: bob@contoso.com.

  12. Идентификатор Microsoft Entra будет находить объект Боба Смита, чтобы соответствовать критериям мягкого соответствия. Но для атрибута immutableId этого объекта задано значение abcdefghijklmnopqrstuv==. Это значит, что этот объект синхронизирован из другого объекта локального каталога AD. Таким образом, идентификатор Microsoft Entra не может мягко соответствовать этим объектам и приводит к ошибке синхронизации InvalidSoftMatch .

Как устранить ошибку InvalidSoftMatch

Наиболее распространенной причиной ошибки InvalidSoftMatch является два объекта с разными объектами SourceAnchor (immutableId) с одинаковым значением атрибутов ProxyAddresses и (или) UserPrincipalName, которые используются во время процесса обратимого сопоставления в идентификаторе Записи Майкрософт. Устранение ошибки InvalidSoft-Match

  1. Определите повторяющееся значение атрибута proxyAddresses, userPrincipalName или другого атрибута, вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Подключение Health для синхронизации, поможет определить два объекта.
  2. Определите объекты, для которых требуется повторяющееся значение.
  3. Удалите из объекта ненужное повторяющееся значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если вы внесли изменения в локальную службу AD, позвольте Microsoft Entra Подключение синхронизировать это изменение.

Отчеты об ошибках синхронизации в Microsoft Entra Подключение Работоспособности для синхронизации обновляются каждые 30 минут и включают ошибки из последней попытки синхронизации.

Примечание.

По сути атрибут immutableId не должен изменяться в течение времени существования объекта. Если microsoft Entra Подключение не настроены с некоторыми сценариями из приведенного выше списка, вы можете в конечном итоге в ситуации, когда Microsoft Entra Подключение вычисляет другое значение SourceAnchor для объекта AD, представляющего ту же сущность (ту же сущность (один и тот же пользователь/ группа или контакт и т. д.), которая имеет существующий объект Microsoft Entra, который вы хотите продолжить использовать.

ObjectTypeMismatch

Description

Если идентификатор Microsoft Entra id пытается мягко сопоставить два объекта, возможно, что два объекта разных типов объектов (например, user, group, Contact и т. д.) имеют одинаковые значения атрибутов, используемых для выполнения обратимого сопоставления. Так как дублирование этих атрибутов запрещено в Microsoft Entra, операция может привести к ошибке синхронизации ObjectTypeMismatch.

Примеры сценариев ошибки ObjectTypeMismatch

  • Группа безопасности с включенной поддержкой электронной почты создается в Microsoft 365. Администратор добавляет нового пользователя или контакт в локальной службе AD (это еще не синхронизировано с идентификатором Microsoft Entra ID) с тем же значением атрибута ProxyAddresses, что и для группы Microsoft 365.

Примеры

  1. Администратор создал для налогового департамента в Office 365 группу безопасности, поддерживающую почту, а в качестве адреса электронной почты указал tax@contoso.com. Этой группе назначается значение атрибута ProxyAddresses smtp: tax@contoso.com
  2. К домену contoso.com присоединился новый пользователь, для которого в локальном каталоге создана учетная запись с атрибутом proxyAddress. Значение этого атрибута — smtp: tax@contoso.com.
  3. Когда microsoft Entra Подключение синхронизирует новую учетную запись пользователя, она получит ошибку ObjectTypeMismatch.

Как устранить ошибку ObjectTypeMismatch

Чаще всего причина ошибки ObjectTypeMismatch заключается в наличии двух объектов разных типов (пользователь, группа, контакт и т. д.), у которых одинаковое значение атрибута proxyAddresses. Чтобы устранить ошибку ObjectTypeMismatch, выполните следующее:

  1. Определите повторяющееся значение атрибута proxyAddresses (или другого атрибута), вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Подключение Health для синхронизации, поможет определить два объекта.
  2. Определите объекты, для которых требуется повторяющееся значение.
  3. Удалите из объекта ненужное повторяющееся значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если вы внесли изменения в локальную службу AD, позвольте Microsoft Entra Подключение синхронизировать это изменение. Отчет об ошибках синхронизации в Microsoft Entra Подключение Health для синхронизации обновляется каждые 30 минут и включает ошибки из последней попытки синхронизации.

повторяющиеся атрибуты

AttributeValueMustBeUnique

Description

Схема Microsoft Entra не позволяет двум или нескольким объектам иметь одно и то же значение следующих атрибутов. Это каждый объект в идентификаторе Microsoft Entra ID вынужден иметь уникальное значение этих атрибутов в данном экземпляре.

  • ProxyAddresses
  • UserPrincipalName

Если Microsoft Entra Подключение пытается добавить новый объект или обновить существующий объект со значением для указанных выше атрибутов, которые уже назначены другому объекту в идентификаторе Microsoft Entra ID, операция приводит к ошибке синхронизации AttributeValueMustBeUnique.

Возможные сценарии:

Повторяющееся значение назначено синхронизированному объекту, конфликтующему с другим синхронизированным объектом.

Пример

  1. Боб Смит — это синхронизированный пользователь в идентификаторе Microsoft Entra из локальной среды Active Directory contoso.com

  2. Для атрибута userPrincipalName Григория в локальном каталоге задано значение bobs@contoso.com.

  3. Для атрибута proxyAddresses Григория используются следующие значения.

    • smtp: bobs@contoso.com.
    • smtp: bob.smith@contoso.com.
    • smtp: bob@contoso.com

  4. В локальный каталог AD добавлен новый пользователь Артем Кузнецов.

  5. Для атрибута userPrincipalName Артема задано значение bobt@contoso.com.

  6. Для атрибута ProxyAddressesАртема используются следующие значения: i. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com

  7. Объект Боба Тейлора успешно синхронизирован с идентификатором Microsoft Entra ID.

  8. Администратор решил заменить значение атрибута ProxyAddresses Артема на следующее: i. smtp: bob@contoso.com

  9. Идентификатор Microsoft Entra попытается обновить объект Боба Тейлора в идентификаторе Microsoft Entra с указанным выше значением, но эта операция завершится ошибкой, так как это значение ProxyAddresses уже назначено Бобу Смиту, что приводит к ошибке AttributeValueMustBeUnique.

Как устранить ошибку AttributeValueMustBeUnique

Чаще всего причина ошибки AttributeValueMustBeUnique заключается в наличии двух объектов с разными атрибутами sourceAnchor (immutableId), но одинаковым значением атрибутов proxyAddresses и (или) userPrincipalName. Чтобы устранить ошибку AttributeValueMustBeUnique, выполните следующее:

  1. Определите повторяющееся значение атрибута proxyAddresses, userPrincipalName или другого атрибута, вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Подключение Health для синхронизации, поможет определить два объекта.
  2. Определите объекты, для которых требуется повторяющееся значение.
  3. Удалите из объекта ненужное повторяющееся значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если вы внесли изменения в локальную службу AD, позвольте Microsoft Entra Подключение синхронизировать изменения для исправления ошибки.

Сбой проверки данных

IdentityDataValidationFailed

Description

Перед записью данных в каталог Microsoft Entra ID применяет к ним разные ограничения. Эти ограничения улучшают работу пользователей с приложениями, которые зависят от этих данных.

Сценарии

Значение атрибута userPrincipalName содержит недопустимые или неподдерживаемые символы. b. Атрибут userPrincipalName не соответствует требуемому формату.

Как устранить ошибку IdentityDataValidationFailed

Убедитесь, что для значения атрибута userPrincipalName указаны поддерживаемые символы и значение соответствует требуемому формату.

Ошибка FederatedDomainChangeError

Description

Ошибка синхронизации FederatedDomainChangeError возникает в конкретном случае, когда суффикс атрибута userPrincipalName пользователя изменяется при переходе из одного федеративного домена в другой.

Сценарии

Суффикс атрибута userPrincipalName синхронизированного пользователя изменился при переходе из одного федеративного домена в другой локальный федеративный домен. Например, userPrincipalName = bob@contoso.com изменился на userPrincipalName = bob@fabrikam.com.

Пример

  1. Григорий Авдеев (учетная запись для contoso.com) добавлен в AD как новый пользователь. Для атрибута userPrincipalName учетной записи задано значение bob@contoso.com.
  2. Боб перемещается в другое отделение Contoso.com с именем Fabrikam.com, а их UserPrincipalName изменяется на bob@fabrikam.com
  3. Оба домена contoso.com и fabrikam.com являются федеративными доменами с идентификатором Microsoft Entra.
  4. Атрибут userPrincipalName Григория не обновляется, поэтому возникла ошибка синхронизации FederatedDomainChangeError.

LargeObject

Description

Если атрибут превышает допустимое ограничение размера, ограничение длины или ограничение количества, заданное схемой Microsoft Entra, операция синхронизации приводит к ошибке синхронизации LargeObject или ExceededAllowedLength . Как правило, эта ошибка возникает для следующих атрибутов:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto;
  • proxyAddresses

Возможные сценарии

  1. Атрибут userCertificate хранит слишком большое количество назначенных Григорию сертификатов. К ним также относятся недействительные и старые сертификаты. Жесткий предел — 15 сертификатов.
  2. Атрибут userSMIMECertificate хранит слишком большое количество назначенных Григорию сертификатов. К ним также относятся недействительные и старые сертификаты. Жесткий предел — 15 сертификатов.
  3. Набор эскизов Bob в Active Directory слишком велик, чтобы быть синхронизирован в идентификаторе Microsoft Entra.
  4. При автоматическом заполнении в Active Directory объекту назначено слишком много атрибутов ProxyAddresses.

Как исправить

Убедитесь, что атрибут, повлекший ошибку, не превысил установленное ограничение.

Конфликт ролей администратора

Description

Конфликт с существующей ролью администратора происходит в объекте пользователя во время синхронизации, если этот объект пользователя имеет следующие характеристики:

  • права администратора;
  • то же имя UserPrincipalName, что и существующий объект Microsoft Entra

Microsoft Entra Подключение не допускает обратимое сопоставление объекта пользователя из локальной службы AD с пользовательским объектом в идентификаторе Microsoft Entra ID, которому назначена административная роль.

Screenshot of the Microsoft Entra Connect screen with the Existing Admin field selected.

Как исправить

Чтобы решить эту проблему, выполните следующие действия:

  1. Удалите учетную запись Microsoft Entra (владелец) из всех ролей администратора.
  2. Жесткое удаление объекта, помещенного в карантин, в облаке.
  3. В следующем цикле синхронизации будет выполняться мягкое сопоставление локального пользователя с облачной учетной записью (так как облачный пользователь теперь больше не является глобальным общедоступным).
  4. Восстановление членства в ролях для владельца.

Примечание.

Вы можете снова назначить административную роль существующему объекту пользователя после завершения обратимого сопоставления между локальным объектом пользователя и объектом пользователя Microsoft Entra.