Föregående

Nästa

Felsöka synkroniseringsfel

Slutförd

Fel kan inträffa när identitetsdata synkroniseras från Windows Server Active Directory (AD DS) till Microsoft Entra-ID. Det här avsnittet innehåller en översikt över olika typer av synkroniseringsfel, några av de möjliga scenarier som orsakar dessa fel och möjliga sätt att åtgärda felen. Det här avsnittet innehåller vanliga feltyper och kanske inte täcker alla möjliga fel.

Med den senaste versionen av Microsoft Entra Anslut finns en rapport över synkroniseringsfel tillgänglig i Azure-portalen som en del av Microsoft Entra Anslut Health för synkronisering.

Microsoft Entra Anslut utför tre typer av åtgärder från de kataloger som den håller synkroniserade: Import, Synkronisering och Export. Fel kan uppstå i alla åtgärder. Det här avsnittet fokuserar främst på fel under export till Microsoft Entra-ID.

Fel vid export till Microsoft Entra-ID

I följande avsnitt beskrivs olika typer av synkroniseringsfel som kan inträffa under exportåtgärden till Microsoft Entra-ID med hjälp av Microsoft Entra-anslutningsappen. Den här anslutningsappen kan identifieras med namnformatet contoso.onmicrosoft.com. Fel vid export till Microsoft Entra-ID anger att åtgärden (lägg till, uppdatera, ta bort osv.) som försökte utföras av Microsoft Entra Anslut (Sync Engine) på Microsoft Entra-katalogen misslyckades.

Fel vid matchning av data

InvalidSoftMatch

beskrivning

• När Microsoft Entra Anslut (synkroniseringsmotor) instruerar katalogen att lägga till eller uppdatera objekt matchar Microsoft Entra-ID det inkommande objektet med attributet sourceAnchor till attributet immutableId för objekt i Microsoft Entra-ID. Den här matchning kallas hård matchning.
• När Microsoft Entra-ID :t inte hittar något objekt som matchar attributet immutableId med attributet sourceAnchor för det inkommande objektet, innan du etablerar ett nytt objekt, återgår det till att använda attributen ProxyAddresses och UserPrincipalName för att hitta en matchning. Den här matchningsmatchning kallas mjuk matchning. Mjuk matchning är utformad för att matcha objekt som redan finns i Microsoft Entra-ID med de nya objekt som läggs till/uppdateras under synkroniseringen som representerar samma entitet (användare, grupper) lokalt.
• InvalidSoftMatch-fel uppstår när den hårda matchningen inte hittar något matchande objekt OCH mjuk matchning hittar ett matchande objekt, men objektet har ett annat värde av immutableId än det inkommande objektets SourceAnchor, vilket tyder på att det matchande objektet synkroniserades med ett annat objekt från lokal Active Directory.

För att den mjuka matchningen ska fungera ska objektet med andra ord inte ha något värde för det oföränderligaId. Om ett objekt med oföränderligtId med ett värde misslyckas med den hårda matchningen men uppfyller kriterierna för mjuk matchning, skulle åtgärden resultera i ett InvalidSoftMatch-synkroniseringsfel.

Microsoft Entra-katalogschemat tillåter inte att två eller flera objekt har samma värde som följande attribut. (Detta är inte en fullständig lista.)

• ProxyAddresses
• UserPrincipalName
• onPremisesSecurityIdentifier
• ObjectId

Funktionen Microsoft Entra Attribute Duplicate Attribute Resiliency distribueras också som standardbeteende för Microsoft Entra-ID. Detta minskar antalet synkroniseringsfel som microsoft Entra Anslut (samt andra synkroniseringsklienter) genom att göra Microsoft Entra-ID mer motståndskraftigt på det sätt som det hanterar duplicerade ProxyAddresses- och UserPrincipalName-attribut som finns i lokala AD-miljöer. Den här funktionen åtgärdar inte dupliceringsfelen. Data måste därför fortfarande åtgärdas. Men det tillåter etablering av nya objekt som annars blockeras från att etableras på grund av duplicerade värden i Microsoft Entra-ID. Detta minskar också antalet synkroniseringsfel som returneras till synkroniseringsklienten. Om den här funktionen är aktiverad för din klient ser du inte de InvalidSoftMatch-synkroniseringsfel som visas under etableringen av nya objekt.

Exempelscenarier för InvalidSoftMatch

• Det finns två eller flera objekt med samma värde för attributet ProxyAddresses i lokal Active Directory. Endast en etableras i Microsoft Entra-ID.
• Det finns två eller flera objekt med samma värde för attributet userPrincipalName i lokal Active Directory. Endast en etableras i Microsoft Entra-ID.
• Ett objekt har lagts till i den lokala Active Directory med samma värde som attributet ProxyAddresses som för ett befintligt objekt i Microsoft Entra-katalogen. Objektet som läggs till lokalt etableras inte i Microsoft Entra-katalogen.
• Ett objekt lades till i lokal Active Directory med samma värde för attributet userPrincipalName som för ett konto i Microsoft Entra-ID. Objektet etableras inte i Microsoft Entra-ID.
• Ett synkroniserat konto flyttades från Skog A till Skog B. Microsoft Entra Anslut (synkroniseringsmotor) använde Attributet ObjectGUID för att beräkna SourceAnchor. När skogen har flyttats skiljer sig värdet för SourceAnchor. Det nya objektet (från skog B) kan inte synkroniseras med det befintliga objektet i Microsoft Entra-ID.
• Ett synkroniserat objekt togs bort av misstag från lokal Active Directory och ett nytt objekt skapades i Active Directory för samma entitet (till exempel användare) utan att kontot tas bort i Microsoft Entra-ID. Det nya kontot kan inte synkroniseras med det befintliga Microsoft Entra-objektet.
• Microsoft Entra Anslut avinstallerades och installerades om. Under ominstallationen valdes ett annat attribut som SourceAnchor. Alla objekt som tidigare hade synkroniserats slutade synkronisera med InvalidSoftMatch-fel.

Exempel:

1. Bob Smith är en synkroniserad användare i Microsoft Entra-ID från lokal Active Directory för contoso.com

2. Bob Smiths UserPrincipalName anges som bobs@contoso.com.

3. "abcdefghijklmnopqrstuv==" är SourceAnchor som beräknas av Microsoft Entra Anslut med hjälp av Bob Smiths objectGUID från lokal Active Directory, som är oföränderligtId för Bob Smith i Microsoft Entra-ID.

4. Bob har också följande värden för attributet proxyAddresses :

   • Smtp: bobs@contoso.com
   • Smtp: bob.smith@contoso.com
   • Smtp: bob@contoso.com

5. En ny användare, Bob Taylor, läggs till i den lokala Active Directory.

6. Bob Taylors UserPrincipalName anges som bobt@contoso.com.

7. "abcdefghijkl0123456789=="" är sourceAnchor som beräknas av Microsoft Entra Anslut med hjälp av Bob Taylors objectGUID från lokal Active Directory. Bob Taylors objekt har inte synkroniserats med Microsoft Entra-ID ännu.

8. Bob Taylor har följande värden för attributet proxyAddresses

   • Smtp: bobt@contoso.com
   • Smtp: bob.taylor@contoso.com
   • Smtp: bob@contoso.com

9. Under synkroniseringen kommer Microsoft Entra Anslut att känna igen tillägget av Bob Taylor i lokal Active Directory och be Microsoft Entra-ID att göra samma ändring.

10. Microsoft Entra ID utför först hård matchning. Det innebär att den söker om det finns något objekt med det oföränderligaId som är lika med "abcdefghijkl0123456789==". Hård matchning misslyckas eftersom inget annat objekt i Microsoft Entra-ID:t har det oföränderligaId:t.

11. Microsoft Entra ID kommer sedan att försöka matcha Bob Taylor. Det innebär att den söker om det finns något objekt med proxyAddresses som är lika med de tre värdena, inklusive smtp: bob@contoso.com

12. Microsoft Entra ID hittar Bob Smiths objekt som matchar kriterierna för mjuk matchning. Men det här objektet har värdet immutableId = "abcdefghijklmnopqrstuv==". vilket indikerar att det här objektet har synkroniserats från ett annat objekt från lokal Active Directory. Microsoft Entra-ID kan därför inte mjukmatcha dessa objekt och resulterar i ett InvalidSoftMatch-synkroniseringsfel .

Så här åtgärdar du InvalidSoftMatch-fel

Den vanligaste orsaken till Felet InvalidSoftMatch är att två objekt med olika SourceAnchor (immutableId) har samma värde för attributen ProxyAddresses och/eller UserPrincipalName, som används under mjuk matchningsprocessen på Microsoft Entra ID. För att åtgärda den ogiltiga mjukmatchningen

1. Identifiera de duplicerade proxyAddresses, userPrincipalName eller annat attributvärde som orsakar felet. Identifiera också vilka två (eller flera) objekt som är inblandade i konflikten. Rapporten som genereras av Microsoft Entra Anslut Health för synkronisering kan hjälpa dig att identifiera de två objekten.
2. Identifiera vilket objekt som ska fortsätta att ha det duplicerade värdet och vilket objekt som inte ska det.
3. Ta bort det duplicerade värdet från objektet som INTE ska ha det värdet. Du bör göra ändringen i katalogen som objektet kommer från. I vissa fall kan du behöva ta bort ett av objekten i konflikt.
4. Om du har gjort ändringen i den lokala AD:en låter du Microsoft Entra Anslut synkronisera ändringen.

Rapporter om synkroniseringsfel i Microsoft Entra Anslut Health för synkronisering uppdateras var 30:e minut och innehåller felen från det senaste synkroniseringsförsöket.

Kommentar

OföränderligtId bör per definition inte ändras under objektets livslängd. Om Microsoft Entra Anslut inte har konfigurerats med några av scenarierna i åtanke från listan ovan kan du hamna i en situation där Microsoft Entra Anslut beräknar ett annat värde för SourceAnchor för AD-objektet som representerar samma entitet (samma användare/grupp/kontakt osv.) som har ett befintligt Microsoft Entra-objekt som du vill fortsätta använda.

ObjectTypeMismatch

beskrivning

När Microsoft Entra-ID:t försöker matcha två objekt på ett mjukt sätt är det möjligt att två objekt av olika "objekttyp" (till exempel Användare, Grupp, Kontakt osv.) har samma värden för de attribut som används för att utföra mjuk matchning. Eftersom dubblering av dessa attribut inte tillåts i Microsoft Entra kan åtgärden resultera i synkroniseringsfelet "ObjectTypeMismatch".

Exempelscenarier för ObjectTypeMismatch-fel

• En e-postaktiverad säkerhetsgrupp skapas i Microsoft 365. Administratören lägger till en ny användare eller kontakt i lokal AD (som inte har synkroniserats med Microsoft Entra-ID ännu) med samma värde för attributet ProxyAddresses som för Microsoft 365-gruppen.

Exempel

1. Administratören skapar en ny e-postaktiverad säkerhetsgrupp i Microsoft 365 för skatteavdelningen och anger en e-postadress som tax@contoso.com. Den här gruppen tilldelas attributet ProxyAddresses för smtp: tax@contoso.com
2. En ny användare ansluter Contoso.com och ett konto skapas för användaren lokalt med proxynAddress som smtp: tax@contoso.com
3. När Microsoft Entra Anslut synkroniserar det nya användarkontot får det felet "ObjectTypeMismatch".

Så här åtgärdar du ObjectTypeMismatch-fel

Den vanligaste orsaken till ObjectTypeMismatch-felet är att två objekt av olika typ (användare, grupp, kontakt osv.) har samma värde för attributet ProxyAddresses. För att åtgärda ObjectTypeMismatch:

1. Identifiera det duplicerade proxyAddresses-värdet (eller något annat attribut) som orsakar felet. Identifiera också vilka två (eller flera) objekt som är inblandade i konflikten. Rapporten som genereras av Microsoft Entra Anslut Health för synkronisering kan hjälpa dig att identifiera de två objekten.
2. Identifiera vilket objekt som ska fortsätta att ha det duplicerade värdet och vilket objekt som inte ska det.
3. Ta bort det duplicerade värdet från objektet som INTE ska ha det värdet. Du bör göra ändringen i katalogen som objektet kommer från. I vissa fall kan du behöva ta bort ett av objekten i konflikt.
4. Om du har gjort ändringen i den lokala AD:en låter du Microsoft Entra Anslut synkronisera ändringen. Synkroniseringsfelrapporten i Microsoft Entra Anslut Health för synkronisering uppdateras var 30:e minut och innehåller felen från det senaste synkroniseringsförsöket.

Dubbletter av attribut

AttributeValueMustBeUnique

beskrivning

Microsoft Entra-schemat tillåter inte att två eller flera objekt har samma värde för följande attribut. Det är varje objekt i Microsoft Entra-ID som tvingas ha ett unikt värde för dessa attribut vid en viss instans.

• ProxyAddresses
• UserPrincipalName

Om Microsoft Entra Anslut försöker lägga till ett nytt objekt eller uppdatera ett befintligt objekt med ett värde för ovanstående attribut som redan har tilldelats till ett annat objekt i Microsoft Entra-ID resulterar åtgärden i synkroniseringsfelet "AttributeValueMustBeUnique".

Möjliga scenarier:

Dubblettvärdet tilldelas till ett redan synkroniserat objekt som står i konflikt med ett annat synkroniserat objekt.

Exempel:

1. Bob Smith är en synkroniserad användare i Microsoft Entra-ID från lokal Active Directory för contoso.com

2. Bob Smiths UserPrincipalName lokalt anges som bobs@contoso.com.

3. Bob har också följande värden för attributet proxyAddresses :

   • Smtp: bobs@contoso.com
   • Smtp: bob.smith@contoso.com
   • Smtp: bob@contoso.com

4. En ny användare, Bob Taylor, läggs till i den lokala Active Directory.

5. Bob Taylors UserPrincipalName anges som bobt@contoso.com.

6. Bob Taylor har följande värden för attributet ProxyAddresses i. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com

7. Bob Taylors objekt synkroniseras med Microsoft Entra ID.

8. Administratören bestämde sig för att uppdatera Bob Taylors ProxyAddresses-attribut med följande värde: i. Smtp: bob@contoso.com

9. Microsoft Entra-ID:t försöker uppdatera Bob Taylors objekt i Microsoft Entra-ID med ovanstående värde, men åtgärden misslyckas eftersom proxyaddresses-värdet redan har tilldelats Bob Smith, vilket resulterar i felet "AttributeValueMustBeUnique".

Så här åtgärdar du attributeValueMustBeUnique-fel

Den vanligaste orsaken till AttributeValueMustBeUnique-felet är att två objekt med olika SourceAnchor (immutableId) har samma värde för attributen ProxyAddresses och/eller UserPrincipalName. För att åtgärda AttributeValueMustBeUnique-fel

1. Identifiera duplicerade proxyAddresses, userPrincipalName eller annat attributvärde som orsakar felet. Identifiera också vilka två (eller flera) objekt som är inblandade i konflikten. Rapporten som genereras av Microsoft Entra Anslut Health för synkronisering kan hjälpa dig att identifiera de två objekten.
2. Identifiera vilket objekt som ska fortsätta att ha det duplicerade värdet och vilket objekt som inte ska det.
3. Ta bort det duplicerade värdet från objektet som INTE ska ha det värdet. Du bör göra ändringen i katalogen som objektet kommer från. I vissa fall kan du behöva ta bort ett av objekten i konflikt.
4. Om du har gjort ändringen i den lokala AD:en låter du Microsoft Entra Anslut synkronisera ändringen för att felet ska åtgärdas.

Dataverifieringsfel

IdentityDataValidationFailed

beskrivning

Microsoft Entra ID tillämpar olika begränsningar på själva data innan dessa data kan skrivas till katalogen. Dessa begränsningar är för att säkerställa att slutanvändarna får bästa möjliga upplevelse när de använder de program som är beroende av dessa data.

Scenarier

Attributet UserPrincipalName har ogiltiga/tecken som inte stöds. b. Attributet UserPrincipalName följer inte det format som krävs.

Så här åtgärdar du IdentityDataValidationFailed-fel

Kontrollera att attributet userPrincipalName har tecken som stöds och nödvändigt format.

FederatedDomainChangeError

beskrivning

Det här fallet resulterar i synkroniseringsfelet "FederatedDomainChangeError" när suffixet för en användares UserPrincipalName ändras från en federerad domän till en annan federerad domän.

Scenarier

För en synkroniserad användare ändrades suffixet UserPrincipalName från en federerad domän till en annan federerad domän lokalt. Till exempel ändrades UserPrincipalName =bob@contoso.comtill UserPrincipalName = bob@fabrikam.com.

Exempel

1. Bob Smith, ett konto för Contoso.com, läggs till som ny användare i Active Directory med UserPrincipalName bob@contoso.com
2. Bob flyttar till en annan division av Contoso.com som kallas Fabrikam.com och deras UserPrincipalName ändras till bob@fabrikam.com
3. Både contoso.com och fabrikam.com domäner är federerade domäner med Microsoft Entra-ID.
4. Bobs userPrincipalName uppdateras inte och resulterar i synkroniseringsfelet "FederatedDomainChangeError".

LargeObject

beskrivning

När ett attribut överskrider den tillåtna storleksgräns, längdgräns eller antalsgräns som angetts i Microsoft Entra-schemat resulterar synkroniseringsåtgärden i synkroniseringsfelet LargeObject eller ExceededAllowedLength . Det här felet uppstår vanligen för följande attribut

• userCertificate
• userSMIMECertificate
• thumbnailPhoto
• proxyAddresses

Möjliga scenarier

1. Bobs userCertificate-attribut lagrar för många certifikat som tilldelats Bob. Dessa kan omfatta äldre certifikat som har upphört att gälla. Den strikta gränsen är 15 certifikat.
2. Bobs userSMIMECertificate-attribut lagrar för många certifikat som tilldelats Bob. Dessa kan omfatta äldre certifikat som har upphört att gälla. Den strikta gränsen är 15 certifikat.
3. Bobs thumbnailPhoto-uppsättning i Active Directory är för stor för att synkroniseras i Microsoft Entra-ID.
4. Under den automatiska populationen av attributet ProxyAddresses i Active Directory har ett objekt för många ProxyAddresses tilldelade.

Så här löser du det

Kontrollera att attributet som orsakar felet ligger inom den tillåtna begränsningen.

Administratörsrollkonflikt

beskrivning

En befintlig administratörsrollkonflikt uppstår på ett användarobjekt under synkroniseringen när användarobjektet har:

• administrativa behörigheter och
• samma UserPrincipalName som ett befintligt Microsoft Entra-objekt

Microsoft Entra Anslut får inte mjukmatcha ett användarobjekt från lokal AD med ett användarobjekt i Microsoft Entra-ID som har en administrativ roll tilldelad till sig.

Så här löser du det

Lös problemet genom att göra följande:

1. Ta bort Microsoft Entra-kontot (ägare) från alla administratörsroller.
2. Ta bort objektet i karantän i molnet.
3. Nästa synkroniseringscykel tar hand om mjuk matchning av den lokala användaren till molnkontot (eftersom molnanvändaren nu inte längre är en global allmän tillgänglighet).
4. Återställ rollmedlemskapen för ägaren.

Kommentar

Du kan tilldela den administrativa rollen till det befintliga användarobjektet igen efter den mjuka matchningen mellan det lokala användarobjektet och Microsoft Entra-användarobjektet har slutförts.

Fortsätt