Aracılığıyla paylaş

Bulut eşitleme sorunlarını giderme

Bulut eşitleme birçok farklı bağımlılık ve etkileşime sahiptir ve bu da çeşitli sorunlara yol açabilir. Bu makale bu sorunları gidermenize yardımcı olur. Odaklanmanız için tipik alanları, ek bilgi toplamayı ve sorunları izlemek için kullanabileceğiniz çeşitli teknikleri tanıtır.

Temsilci sorunları

Aracı sorunlarını giderdiğinizde, aracının doğru yüklendiğini ve Microsoft Entra Kimliği ile iletişim kurduğunu doğrularsınız. Özellikle, aracıyla doğrulamak istediğiniz bazı ilk şeyler şunlardır:

  • Yüklü mü?
  • Aracı yerel olarak mı çalışıyor?
  • Temsilci portalda mı?
  • Ajan sağlıklı olarak işaretlendi mi?

Bu öğeleri portalda ve aracıyı çalıştıran yerel sunucuda doğrulayabilirsiniz.

Microsoft Entra yönetim merkezi etken doğrulaması

Azure'ın aracıyı algıladığını ve aracının iyi durumda olduğunu doğrulamak için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en azından karma kimlik yöneticisi olarak oturum açın.

  2. Entra ID>Entra Connect>Cloud sync konumuna gidin.

    Microsoft Entra Connect Cloud Sync giriş sayfasını gösteren ekran görüntüsü.

  1. Bulut eşitleme'yi seçin.
  2. Yüklediğiniz aracıları görmeniz gerekiyor. Söz konusu temsilcinin orada olduğunu doğrulayın. Her şey yolundaysa, ajan için etkin (yeşil) durumunu görürsünüz.

Gerekli açık bağlantı noktalarını doğrulama

Microsoft Entra sağlama aracısının Azure veri merkezleriyle başarıyla iletişim kurabildiğinden emin olun. Yolda bir güvenlik duvarı varsa, giden trafiğe yönelik aşağıdaki bağlantı noktalarının açık olduğundan emin olun:

Bağlantı noktası numarası Nasıl kullanılır?
80 TLS/SSL sertifikası doğrulanırken sertifika iptal listeleri (CRL) indirilir.
443 Uygulama Ara Sunucusu hizmetiyle tüm giden iletişimi işleme.

Güvenlik duvarınız trafiği kaynak kullanıcılara göre zorlarsa, ağ hizmeti olarak çalışan Windows hizmetlerinden gelen trafik için 80 ve 443 bağlantı noktalarını da açın.

URL'lere erişime izin ver

Aşağıdaki URL'lere erişime izin verin:

URL Liman Nasıl kullanılır?
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS adresi Bağlayıcı ile Uygulama Ara Sunucusu bulut hizmeti arasındaki iletişim.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Bağlayıcı sertifikaları doğrulamak için bu URL'leri kullanır.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS adresi Bağlayıcı, kayıt işlemi sırasında bu URL'leri kullanır.
ctldl.windowsupdate.com 80/HTTP Bağlayıcı, kayıt işlemi sırasında bu URL'yi kullanır.

Güvenlik duvarınız veya ara sunucunuz etki alanı soneklerini temel alarak erişim kurallarını yapılandırmanıza izin veriyorsa, *.msappproxy.net, *.servicebus.windows.netve önceki URL'lerden birine izin verebilirsiniz. Aksi takdirde Azure IP aralıklarına ve hizmet etiketlerine (genel bulut) erişime izin vermeniz gerekir. IP aralıkları her hafta güncelleştirilir.

Önemli

Microsoft Entra özel ağ bağlayıcıları ile Microsoft Entra uygulaması ara sunucusu bulut hizmetleri arasındaki giden TLS iletişimlerinde tüm satır içi inceleme ve sonlandırma biçimlerinden kaçının.

Microsoft Entra uygulaması proxy uç noktaları için DNS ad çözümlemesi

Microsoft Entra uygulama ara sunucu uç noktaları için genel DNS kayıtları, A kaydına işaret eden zincirlenmiş CNAME kayıtlarıdır. Bu, hataya dayanıklılık ve esneklik sağlar. Microsoft Entra özel ağ konektörünün her zaman *.msappproxy.net veya *.servicebus.windows.netetki alanı soneklerine sahip konak adlarına kesinlikle eriştiği garanti edilir.

Ancak, ad çözümlemesi sırasında CNAME kayıtları farklı ana bilgisayar adları ve sonekleri olan DNS kayıtları içerebilir. Bu nedenle, cihazın zincirdeki tüm kayıtları çözümleyebildiğinden ve çözümlenen IP adreslerine bağlantı sağlanmasına izin verdiğinden emin olmanız gerekir. Zincirdeki DNS kayıtları zaman zaman değiştirilebileceği için size herhangi bir liste DNS kaydı sağlayamıyoruz.

Yerel sunucuda

Aracın çalıştığını doğrulamak için şu adımları izleyin:

  1. Aracının yüklü olduğu sunucuda Hizmetler'i açın. Bunu yapmak için Başlat>Çalıştır'a gidin ve > dosyasını açın.

  2. Hizmetler'in altında Microsoft Entra Connect Agent Updater ve Microsoft Entra Provisioning Agent'ın orada olduğundan emin olun. Ayrıca durumlarının Çalışıyor olduğunu onaylayın.

    Yerel hizmetlerin ve durumlarının ekran görüntüsü.

Yaygın aracı yükleme sorunları

Aşağıdaki bölümlerde bazı yaygın aracı yükleme sorunları ve bu sorunların tipik çözümleri açıklanmaktadır.

Aracı başlatmak başarısız oldu

Şunu belirten bir hata iletisi alabilirsiniz:

'Microsoft Entra Sağlama Aracısı' hizmeti başlatılamadı. Sistem hizmetlerini başlatmak için yeterli ayrıcalıklara sahip olduğunuzu doğrulayın.

Bu soruna genellikle bir grup ilkesi neden olur. İlke, yükleyici (NT SERVICE\AADConnectProvisioningAgent) tarafından oluşturulan yerel NT Service oturum açma hesabına izinlerin uygulanmasını engelledi. Hizmeti başlatmak için bu izinler gereklidir.

Bu sorunu çözmek için şu adımları izleyin:

  1. Sunucuda yönetici hesabıyla oturum açın.

  2. Başlat menüsüne gidip Çalıştır’a girin ve Services.msc yazılarak Hizmetler'i açın.

  3. Hizmetler'in altında Microsoft Entra Provisioning Agent'a çift tıklayın.

  4. Oturum Aç sekmesinde Bu hesabı bir etki alanı yöneticisi olarak değiştirin. Ardından hizmeti yeniden başlatın.

    Oturum açma sekmesindeki kullanılabilir seçenekleri gösteren ekran görüntüsü.

Ajan zaman aşımına uğradı veya sertifika geçerli değil

Ajanı kaydetmeye çalıştığınızda aşağıdaki hata mesajını alabilirsiniz.

Zaman aşımı hata iletisini gösteren ekran görüntüsü.

Bu sorun genellikle ajanın karma kimlik hizmetine bağlanamamasından kaynaklanır. Bu sorunu çözmek için bir giden ara sunucu yapılandırın.

Sağlama aracısı, çıkış proxy sunucusu kullanımını destekler. Şu aracı .config dosyasını düzenleyerek bunu yapılandırabilirsiniz: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Dosyanın sonuna doğru, kapanış </configuration> etiketinden hemen önce içine aşağıdaki satırları ekleyin. [proxy-server] ve [proxy-port] değişkenlerini ara sunucu adınız ve bağlantı noktası değerlerinizle değiştirin.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Ajans kaydı, güvenlik hatası nedeniyle başarısız oluyor.

Bulut sağlama aracısını yüklediğinizde bir hata iletisi alabilirsiniz. Bu sorun genellikle yerel PowerShell yürütme ilkeleri nedeniyle aracının PowerShell kayıt betiklerini çalıştıramamasından kaynaklanır.

Bu sorunu çözmek için sunucudaki PowerShell yürütme ilkelerini değiştirin. makine ve kullanıcı ilkelerinin Undefined veya RemoteSignedolarak ayarlanması gerekir. Unrestrictedolarak ayarlandıysa bu hatayı görürsünüz. Daha fazla bilgi için bkz. PowerShell yürütme ilkeleri.

Günlük dosyaları

Varsayılan olarak, aracı minimum seviyede hata iletisi ve yığın izleme bilgisi yayar. Bu izleme günlüklerini şu klasörde bulabilirsiniz: C:\ProgramData\Microsoft\Azure AD Connect Sağlama Aracısı\Trace.

Aracıyla ilgili sorunları gidermek için ek ayrıntıları toplamak üzere aşağıdaki adımları izleyin.

  1. AADCloudSyncTools PowerShell modülünü yükleyin.
  2. Bilgileri yakalamak için Export-AADCloudSyncToolsLogs PowerShell cmdlet'ini kullanın. Veri toplamanıza ince ayar yapmak için aşağıdaki seçenekleri kullanabilirsiniz.
    • SkipVerboseTrace, ayrıntılı günlükleri yakalamadan sadece mevcut günlükleri dışa aktarmak için kullanılır (varsayılan = false).
    • Farklı bir yakalama süresi belirtmek için TracingDurationMins (varsayılan = 3 dakika).
    • Farklı bir çıkış yolu belirtmek için OutputPath (varsayılan = kullanıcının Belgeler klasörü).

Nesne eşitleme sorunları

Portaldaki nesne eşitleme sorunlarını izlemek ve gidermek için sağlama günlüklerini kullanabilirsiniz. Günlükleri görüntülemek için Günlükler'i seçin.

Günlükler düğmesini gösteren ekran görüntüsü.

Sağlama günlükleri, şirket içi Active Directory ortamınızla Azure arasında eşitlenen nesnelerin durumu hakkında çok sayıda bilgi sağlar.

Günlükleri sağlama ile ilgili bilgileri gösteren ekran görüntüsü.

Tarihler gibi belirli sorunlara odaklanmak için görünümü filtreleyebilirsiniz. Ayrıca, bir Active Directory nesnesiyle ilgili etkinlikleri, Active Directory ObjectGuidkullanarak günlüklerde arayabilirsiniz. Ek bilgileri görmek için tek bir olaya çift tıklayın.

Sağlama günlükleri bilgisini gösteren açılır liste ekran görüntüsü.

Bu bilgiler ayrıntılı adımlar ve eşitleme sorununun oluştuğu yeri sağlar. Bu şekilde, sorunun tam noktasını belirleyebilirsiniz.

Geçilen nesneler

Kullanıcıları ve grupları Active Directory'den eşitlediyseniz, Microsoft Entra Id'de bir veya daha fazla grubu bulamayabilirsiniz. Bunun nedeni eşitlemenin henüz tamamlanmamış olması veya nesnenin Active Directory'de oluşturulmasını henüz yakalamamış olması, Microsoft Entra Id'de oluşturulan nesneyi engelleyen bir eşitleme hatası veya nesneyi dışlayan bir eşitleme kuralı kapsamının uygulanması olabilir.

Eşitlemeyi yeniden başlatırsanız ve sağlama döngüsü tamamlandığında, o nesneye ait Active Directory ObjectGuidkullanarak bir nesneyle ilgili etkinlikleri sağlama günlüğünde arayın. Günlükte yalnızca Kaynak Kimliği ve Skipped Durumu içeren bir Kimliğe sahip bir olay varsa, bu, aracın kapsamı dışında olduğu için Active Directory nesnesine filtre uyguladığını işaret edebilir.

Varsayılan olarak, kapsam kuralları aşağıdaki nesnelerin Microsoft Entra Id ile eşitlenmesini dışlar:

  • Active Directory'deki yerleşik kullanıcıların ve grupların birçoğu dahil olmak üzere IsCriticalSystemObject TRUE olarak ayarlanmış kullanıcılar, gruplar ve kişiler
  • çoğaltma nedeniyle etkilenen nesneler

Eşitleme şemasında ek kısıtlamalar bulunabilir.

Microsoft Entra nesnesi silme eşiği

Microsoft Entra Connect ve Microsoft Entra Cloud Sync ile bir uygulama topolojiniz varsa, her ikisi de aynı Microsoft Entra kiracısına aktarıyorsa veya Microsoft Entra Connect'i Microsoft Entra Cloud Sync'e kullanmaktan tamamen taşındıysanız, birden çok nesneyi silerken veya tanımlı kapsamın dışına taşırken aşağıdaki dışarı aktarma hata iletisini alabilirsiniz:

Dışarı aktarma hatasını gösteren ekran görüntüsü.

Bu hata, Microsoft Entra Connect bulut eşitlemesinin yanlışlıkla silmeleri önleme özelliğiyle ilgili değildir. Microsoft Entra Connect'ten Microsoft Entra dizininde ayarlanan yanlışlıkla silme önleme özelliği tarafından tetiklendi. Özelliği değiştirebileceğiniz bir Microsoft Entra Connect sunucunuz yoksa, kiracıdaki ayarı devre dışı bırakmak ve engellenen silmelerin beklendiğini ve izin verilmesi gerektiğini onayladıktan sonra dışarı aktarmaya izin vermek için Microsoft Entra Connect bulut eşitleme aracısı ile birlikte yüklenen "AADCloudSyncTools" PowerShell modülünü kullanabilirsiniz. Aşağıdaki komutu kullanın:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Sonraki sağlama döngüsü sırasında, silinmek üzere işaretlenmiş nesneler Microsoft Entra dizininden başarıyla silinmelidir.

Karantinaya alınan sorunları yönetme

Bulut eşitleme yapılandırmanızın durumunu izler ve iyi durumda olmayan nesneleri karantina durumuna yerleştirir. Hedef sistemde yapılan çağrıların çoğu veya tümü bir hata (örneğin, geçersiz yönetici kimlik bilgileri) nedeniyle sürekli başarısız olursa, eşitleme işi karantinada olarak işaretlenir.

Karantina durumunu gösteren ekran görüntüsü.

Durumu seçerek karantina hakkında ek bilgiler görebilirsiniz. Hata kodunu ve iletisini de alabilirsiniz.

Karantina hakkında ek bilgileri gösteren ekran görüntüsü.

Duruma sağ tıklanması aşağıdakiler için ek seçenekler getirir:

  • Sağlama günlüklerini görüntüleyin.
  • Ajanları görüntüleyin.
  • Karantinayı temizleyin.

Sağ tıklama menüsü seçeneklerini gösteren ekran görüntüsü.

Karantinayı çözme

Karantinayı çözmenin iki farklı yolu vardır. Karantinayı temizleyebilir veya sağlama işini yeniden başlatabilirsiniz.

Karantinayı temizleme

Filigranı temizlemek ve doğruladıktan sonra sağlama işinde bir delta eşitlemesi çalıştırmak için duruma sağ tıklayıp Karantinayı temizle'yi seçmeniz yeterlidir.

Karantinanın temizlendiğini belirten bir bildirim görmeniz gerekir.

Karantinanın temizlendiğini belirten bildirimi gösteren ekran görüntüsü.

Ardından, ajanınızın durumunu sağlıklı olarak görmelisiniz.

Aracı durumunun iyi durumda olduğunu gösteren ekran görüntüsü.

Sağlama işini yeniden başlatma

Sağlama işini yeniden başlatmak için portalı kullanın. Aracı yapılandırma sayfasında Eşitlemeyi yeniden başlat'ı seçin.

Aracı yapılandırma sayfasındaki seçenekleri gösteren ekran görüntüsü.

Alternatif olarak, sağlama işini yeniden başlatmak için Microsoft Graph'ı kullanabilirsiniz. Yeniden başlattıklarınız üzerinde tam denetime sahipsiniz. Temizlemeyi seçebilirsiniz:

  • Escrows, karantina durumuna doğru tahakkuk eden emanet sayacını yeniden başlatmak için.
  • Uygulamayı karantinadan çıkarmak.
  • Filigran (Dijital İçerik)

Aşağıdaki isteği kullanın:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Bulut eşitleme hizmeti hesabını onarma

Bulut eşitleme hizmeti hesabını onarmanız gerekiyorsa Repair-AADCloudSyncToolsAccount komutunu kullanabilirsiniz.

  1. AADCloudSyncTools PowerShell modülünü yükleyin.

  2. Yönetim ayrıcalıklarına sahip bir PowerShell oturumunda aşağıdakileri yazın veya kopyalayıp yapıştırın:

    Connect-AADCloudSyncTools

  3. Microsoft Entra Genel Yönetici kimlik bilgilerinizi girin.

  4. Aşağıdakileri yazın veya kopyalayıp yapıştırın:

    Repair-AADCloudSyncToolsAccount

  5. Bu işlem tamamlandıktan sonra hesabın başarıyla onarıldığını belirtmelidir.

Parola geri yazma

Bulut eşitlemesi ile parola geri yazma özelliğini etkinleştirmek ve kullanmak için aşağıdakileri göz önünde bulundurun:

  • gMSA izinlerini güncelleştirmeniz gerekiyorsa, bu izinlerin dizininizdeki tüm nesnelere çoğaltılması bir saat veya daha fazla sürebilir. Bu izinleri atamazsanız, geri yazma doğru yapılandırılmış gibi görünebilir, ancak kullanıcılar şirket içi parolalarını buluttan güncelleştirdiklerinde hatalarla karşılaşabilir. Unexpire Password öğesinin görünmesi için Bu nesneye ve tüm alt nesnelere izinler uygulanmalıdır.
  • Bazı kullanıcı hesaplarının parolaları şirket içi dizine geri yazılmıyorsa, devralma işleminin şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamında hesap için devre dışı bırakılmadığından emin olun. Özelliğin düzgün çalışması için alt nesnelere parola yazma izinleri uygulanmalıdır.
  • Şirket içi AD DS ortamındaki parola ilkeleri, parola sıfırlama işlemlerinin doğru şekilde işlenmesini engelleyebilir. Bu özelliği test ediyorsanız ve kullanıcıların parolalarını günde birden fazla kez sıfırlamak istiyorsanız, en düşük parola yaşı için grup ilkesi 0 olarak ayarlanmalıdır. Bu ayarı şu konumda bulabilirsiniz: Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Hesap İlkeleri, gpmc.msc içinde.
    • Grup ilkesini güncelleştirirseniz, güncelleştirilmiş ilkenin çoğaltılması için bekleyin veya gpupdate /force komutunu kullanın.
    • Parolaların hemen değiştirilmesi için en düşük parola yaşı 0 olarak ayarlanmalıdır. Ancak, kullanıcılar şirket içi ilkelere bağlı kalırsa ve en düşük parola yaşı 0'dan büyük bir değere ayarlanırsa, şirket içi ilkeler değerlendirildikten sonra parola geri yazma çalışmaz.

Sonraki adımlar