Händelser
9 apr. 15 - 10 apr. 12
Koda framtiden med AI och anslut med Java-kollegor och experter på JDConf 2025.
Registrera dig nuFelsöka ett objekt som inte synkroniseras med Microsoft Entra-ID
Om ett objekt inte synkroniseras som förväntat med Microsoft Entra-ID kan det bero på flera orsaker. Om du får ett felmeddelande via e-post från Microsoft Entra-ID eller om du ser felet i Microsoft Entra Connect Health läser du Felsöka fel under synkroniseringen i stället. Men om du felsöker ett problem där objektet inte finns i Microsoft Entra-ID är den här artikeln till dig. Den beskriver hur du hittar fel i den lokala komponenten Microsoft Entra Connect-synkronisering.
Viktigt
För Microsoft Entra Connect-distribution med version 1.1.749.0 eller senare använder du felsökningsuppgift i guiden för att felsöka problem med objektsynkronisering.
Innan vi undersöker synkroniseringsproblem ska vi förstå synkroniseringsprocessen för Microsoft Entra Connect:
- CS: Kopplingsrymd, en tabell i en databas
- MV: Metaverse, en tabell i en databas
Synkroniseringsprocessen omfattar följande steg:
Importera från AD: Active Directory-objekt förs in i Active Directory CS.
Importera från Microsoft Entra-ID: Microsoft Entra-objekt förs in i Microsoft Entra CS.
Synkronisering: Regler för inkommande synkronisering och regler för utgående synkronisering körs i prioritetsordning, från lägre till högre. Om du vill visa synkroniseringsreglerna går du till Redigeraren för synkroniseringsregler från skrivbordsprogram. Reglerna för inkommande synkronisering tar in data från CS till MV. Reglerna för utgående synkronisering flyttar data från MV till CS.
Exportera till AD: Efter synkronisering exporteras objekt från Active Directory CS till Active Directory.
Exportera till Microsoft Entra-ID: Efter synkronisering exporteras objekt från Microsoft Entra CS till Microsoft Entra ID.
Om du vill hitta felen kan du titta på några olika platser i följande ordning:
- -åtgärdsloggarna för att hitta fel som identifierats av synkroniseringsmotorn under import och synkronisering.
- Använd kontaktytan för att hitta saknade objekt och synkroniseringsfel.
- metaversum för att hitta datarelaterade problem.
Starta Synchronization Service Manager innan du påbörjar de här stegen.
Fliken Åtgärder i Synkroniseringstjänsthanteraren är den plats där du bör starta felsökningen. På den här fliken visas resultatet från de senaste åtgärderna.
Den övre halvan av fliken Åtgärder visar alla körningar i kronologisk ordning. Som standard behåller driftloggen information om de senaste sju dagarna, men den här inställningen kan ändras med schemaläggaren. Leta efter alla körningar som inte visar en lyckades status. Du kan ändra sortering genom att välja rubrikerna.
Kolumnen Status innehåller den viktigaste informationen och visar det mest akuta problemet för en körning. Här är en snabb sammanfattning av de vanligaste statusarna efter undersökningsprioritet (där * anger flera möjliga felsträngar).
| Status | Kommentar |
|---|---|
| Stoppat-* | Körningen kunde inte slutföras. Detta kan till exempel inträffa om fjärrsystemet är nere och inte kan kontaktas. |
| stoppad-felgräns | Det finns fler än 5 000 fel. Körningen stoppades automatiskt på grund av det stora antalet fel. |
| avslutade-*-fel | Körningen slutfördes, men det finns fel (färre än 5 000) som bör undersökas. |
| avslutade-*-varningar | Körningen slutfördes, men vissa data är inte i det förväntade tillståndet. Om det finns fel är det här meddelandet bara ett symptom. Undersök inte varningar förrän du har åtgärdat fel. |
| framgång | Inga problem. |
När du väljer en rad uppdateras den nedre delen av fliken Åtgärder för att visa information om den körningen. Längst till vänster i det här området kan det finnas en lista med titeln Steg #. Den här listan visas bara om det finns flera domäner i skogen och varje domän representeras av ett steg. Domännamnet finns under rubriken Partition. Under rubriken Synkroniseringsstatistik hittar du mer information om antalet ändringar som har bearbetats. Välj länkarna för att hämta en lista över de ändrade objekten. Om det finns objekt med fel visas dessa fel under rubriken Synkroniseringsfel.
När det finns fel visar Synchronization Service Manager både objektet i fel och själva felet som länkar som ger mer information.
Börja med att välja felsträngen. (I föregående figur är felsträngen sync-rule-error-function-triggered.) Du får först en översikt över objektet. Om du vill se det faktiska felet väljer du Stack Trace. Den här spårningen innehåller information på felsökningsnivå för felet.
Högerklicka på rutan Anropsstackinformation, välj Markera allaoch klicka sedan på Kopiera. Kopiera sedan stacken och titta på felet i din favoritredigerare, till exempel Anteckningar.
Om felet kommer från SyncRulesEnginevisar informationen om anropsstacken först alla attribut i objektet. Rulla nedåt tills rubriken InnerException =>.
Raden efter rubriken visar felet. I föregående bild kommer felet från en anpassad synkroniseringsregel som Fabrikam skapade.
Om felet inte ger tillräckligt med information är det dags att titta på själva data. Välj länken med objektidentifieraren och fortsätt att felsöka det anslutningsutrymme som importerats.
Om fliken Åtgärder inte visar några fel, följer du objektet för anslutningsutrymme från Active Directory till metaverse till Microsoft Entra ID. På den här vägen bör du hitta var problemet är.
I Synkroniseringstjänsthanteraren väljer du Anslutningar, väljer Active Directory Connector och väljer Sök i anslutningsutrymme.
I rutan Omfång väljer du RDN när du vill söka på CN-attributet, eller DN eller fästpunkt när du vill söka på attributet distinguishedName. Ange ett värde och välj Sök.
Om du inte hittar objektet du letar efter kan det ha filtrerats med domänbaserad filtrering eller OU-baserad filtrering. Kontrollera att filtreringen är konfigurerad som förväntat genom att läsa Microsoft Entra Connect Sync: Konfigurera filtrering.
Du kan utföra en annan användbar sökning genom att välja Microsoft Entra Connector. I rutan Omfång väljer du Väntar på importoch markerar sedan kryssrutan Lägg till. Den här sökningen ger dig alla synkroniserade objekt i Microsoft Entra-ID som inte kan associeras med ett lokalt objekt.
Dessa objekt skapades av en annan synkroniseringsmotor eller en synkroniseringsmotor med en annan filtreringskonfiguration. Dessa överblivna objekt hanteras inte längre. Granska den här listan och överväg att ta bort dessa objekt med hjälp av cmdletarna Microsoft Graph PowerShell.
När du öppnar ett CS-objekt finns det flera flikar överst. Fliken Importera visar de data som mellanlagras efter en import.
Kolumnen Gammalt värde visar vad som för närvarande lagras i Connect. Kolumnen Nytt värde visar vad som tas emot från källsystemet och tillämpas inte ännu. Om det finns ett fel på objektet bearbetas inte ändringarna.
Fliken synkroniseringsfel visas i anslutningsobjektsegenskaper enbart om det föreligger ett problem med objektet. För mer information, se hur du felsöker synkroniseringsfel på fliken Åtgärder.
Fliken Härledning i fönstret Egenskaper för objekt i anslutningsutrymmet visar hur objektet i anslutningsutrymmet är kopplat till metaversumobjektet. Du kan se när anslutningsappen senast importerade en ändring från det anslutna systemet och vilka regler som tillämpas för att fylla i data i metaversum.
I föregående bild visar kolumnen Åtgärd en regel för inkommande synkronisering med åtgärden Tilldelning. Det indikerar att så länge det här kopplingsutrymmesobjektet finns kvar finns metaversumobjektet kvar. Om listan över synkroniseringsregler i stället visar en utgående synkroniseringsregel med åtgärden Provision, tas det här objektet bort när metaverse-objektet tas bort.
I föregående bild kan du också se i kolumnen PasswordSync att det inkommande anslutningsutrymmet kan bidra med ändringar i lösenordet eftersom en synkroniseringsregel har värdet True. Det här lösenordet skickas till Microsoft Entra-ID via den utgående regeln.
På fliken Ursprung kan du komma till metaversen genom att välja Metaverse-objektegenskaper.
I det nedre vänstra hörnet i fönstret Egenskaper för anslutningsutrymmesobjekt finns knappen Förhandsgranskning. Välj den här knappen om du vill öppna sidan Förhandsversion, där du kan synkronisera ett enda objekt. Den här sidan är användbar om du felsöker vissa anpassade synkroniseringsregler och vill se effekten av en ändring på ett enskilt objekt. Du kan välja en Fullständig synkronisering eller en Delta-synkronisering. Du kan också välja Generera förhandsversion, som bara behåller ändringen i minnet. Du kan också välja Commit Preview, som uppdaterar metaversum och förbereder alla ändringar i målanslutningsmiljöer.
I förhandsversionen kan du granska objektet och se vilken regel som tillämpas för ett visst attributflöde.
Bredvid knappen Förhandsgranska väljer du knappen Logg för att öppna sidan Logg. Här kan du se status och historik för lösenordssynkronisering. För mer information, se Felsöka synkronisering av lösenordshash med Microsoft Entra Connect Sync.
Det är bättre att börja söka från källans Active Directory-anslutningsutrymme. Men du kan också börja söka från metaversum.
I Synkroniseringstjänsthanteraren väljer du Metaverse Search, som i följande bild. Skapa en fråga som du vet hittar användaren. Sök efter vanliga attribut, till exempel accountName (sAMAccountName) och userPrincipalName. Mer information finns i Sync Service Manager Metaverse search.
I fönstret Sökresultat väljer du objektet.
Om du inte hittade objektet har det inte nått metaversum. Fortsätt att söka efter objektet i active directory-anslutningsutrymmet. Om du hittar objektet i Active Directory-anslutningsutrymmet kan det finnas ett synkroniseringsfel som blockerar objektet från att komma till metaversum. Eller så kan ett omfångsfilter för synkroniseringsregel tillämpas.
Om objektet finns i Active Directory CS men inte finns i MV tillämpas ett omfångsfilter. För att granska omfångsfiltret, gå in på skrivbordsprogrammenyn och välj Redigeraren för synkroniseringsregler. Filtrera de regler som gäller för objektet genom att justera filtret nedan.
Visa varje regel i listan ovan och kontrollera avgränsningsfiltret . Om värdet för isCriticalSystemObject är null, FALSE eller tomt, omfattas det av följande omfångsfilter.
Gå till CS Import attributlistan och kontrollera vilket filter som blockerar objektet från att flyttas till MV. Attributlistan i Connector Space visar endast attribut som varken är null eller tomma. Om till exempel isCriticalSystemObject inte visas i listan är värdet för det här attributet null eller tomt.
Om objektet inte finns i anslutningsutrymmet för Microsoft Entra-ID men finns i MV kan du titta på omfångsfiltret för de utgående reglerna för motsvarande anslutningsutrymme. Kontrollera om objektet filtreras bort eftersom MV-attribut inte uppfyller kriterierna.
Om du vill titta på det utgående omfångsfiltret väljer du tillämpliga regler för objektet genom att justera följande filter. Visa varje regel och granska motsvarande MV-attribut-värde.
På fliken Attribut kan du se värdena och vilka kontakter som bidrog till dem.
Om ett objekt inte synkroniseras ställer du följande frågor om attributtillstånd i metaversum:
- Är attributet cloudFiltered närvarande och inställt på True? I så fall filtreras den enligt stegen i attributbaserad filtrering.
- Finns attributet sourceAnchor? Om inte, har du en skogstopologi för kontoresurser? Om ett objekt identifieras som en länkad postlåda (attributet msExchRecipientTypeDetails har värdet 2) är det den skog med ett aktiverat Active Directory-konto som bidrar med sourceAnchor. Kontrollera att huvudkontot har importerats och synkroniserats korrekt. Huvudkontot måste anges bland de anslutningarna för objektet.
Fliken Kontakter visar alla kontaktytor som har en representation av objektet.
Du bör ha en anslutning till:
- Varje Active Directory-skog som användaren representeras i. Den här representationen kan omfatta foreignSecurityPrincipals-- och Kontakt--objekt.
- En anslutning i Microsoft Entra ID.
Om du saknar anslutningen till Microsoft Entra ID kan du läsa avsnittet om MV-attribut för att verifiera kriterierna för tilldelning till Microsoft Entra ID.
På fliken Connectors kan du också gå till connector-utrymmesobjektet. Välj en rad och välj Egenskaper.
- Läs mer om Microsoft Entra Connect Sync.
- Läs mer om hybrididentitet.
Ytterligare resurser
Utbildning
Utbildningsväg
MS-102 Implement identity synchronization - Training
This learning path examines how organizations should plan for and implement identity synchronization in a hybrid Microsoft 365 deployment. You learn how to implement Microsoft Entra Connect Sync and Microsoft Entra Cloud Sync, and how to manage synchronized identities.
Certifiering
Microsoft-certifierad: Identitets- och åtkomstadministratör Associate - Certifications
Demonstrera funktionerna i Microsoft Entra ID för att modernisera identitetslösningar, implementera hybridlösningar och implementera identitetsstyrning.