Önceki

Sonraki

Sorun giderme eşitleme hataları

Tamamlandı

Kimlik verileri Windows Server Active Directory'den (AD DS) Microsoft Entra Id'ye eşitlendiğinde hatalar oluşabilir. Bu bölümde, farklı eşitleme hataları türlerine, bu hatalara neden olan olası senaryolardan bazılarına ve hataları düzeltmenin olası yollarına genel bir bakış sağlanır. Bu bölüm yaygın hata türlerini içerir ve tüm olası hataları kapsamayabilir.

Microsoft Entra Bağlan'nin en son sürümüyle eşitleme için Microsoft Entra Bağlan Health'in bir parçası olarak Azure portalında Eşitleme Hataları raporu sağlanır.

Microsoft Entra Bağlan, eşitlemede tuttuğu dizinlerden üç tür işlem gerçekleştirir: İçeri Aktarma, Eşitleme ve Dışarı Aktarma. Hatalar tüm işlemlerde gerçekleşebilir. Bu bölüm temel olarak Microsoft Entra Id'ye Dışarı Aktarma sırasındaki hatalara odaklanır.

Microsoft Entra Id'ye dışarı aktarma sırasında oluşan hatalar

Aşağıdaki bölümde, Microsoft Entra bağlayıcısı kullanılarak Microsoft Entra Id'ye dışarı aktarma işlemi sırasında oluşabilecek farklı eşitleme hataları açıklanmaktadır. Bu bağlayıcı, olan ad biçimiyle contoso.onmicrosoft.comtanımlanabilir. Microsoft Entra Kimliği'ne dışarı aktarma sırasında oluşan hatalar, Microsoft Entra Bağlan (Eşitleme Altyapısı) tarafından Microsoft Entra dizininde denenen işlemin (ekleme, güncelleştirme, silme vb.) başarısız olduğunu gösterir.

Veri uyuşmazlığı hataları

InvalidSoftMatch

Açıklama

• Microsoft Entra Bağlan (eşitleme altyapısı) dizine nesneleri ekleme veya güncelleştirme talimatını verdiğinde, Microsoft Entra Kimliği, sourceAnchor özniteliğini kullanarak gelen nesneyle Microsoft Entra ID'deki nesnelerin sabitId özniteliğiyle eşleşir. Bu eşleşmeye Sabit Eşleşme adı verilir.
• Microsoft Entra Id, gelen nesnenin sourceAnchor özniteliğiyle immutableId özniteliğiyle eşleşen herhangi bir nesne bulamazsa, yeni bir nesne sağlamadan önce, bir eşleşme bulmak için ProxyAddresses ve UserPrincipalName özniteliklerini kullanmaya geri döner. Bu eşleşmeYeni Eşleşme olarak adlandırılır. Geçici Eşleştirme, Microsoft Entra Id'de zaten mevcut olan nesneleri, şirket içinde aynı varlığı (kullanıcılar, gruplar) temsil eden eşitleme sırasında eklenen/güncelleştirilen yeni nesnelerle eşleşecek şekilde tasarlanmıştır.
• InvalidSoftMatch hatası, sabit eşleşme eşleşen bir nesne bulamadıysa ve yumuşak eşleşme eşleşen bir nesne bulduğunda, ancak bu nesnenin gelen nesnenin SourceAnchor değerinden farklı bir sabitId değerine sahip olması, eşleşen nesnenin şirket içi Active Directory'deki başka bir nesneyle eşitlendiğini düşündürüyorsa oluşur.

Başka bir deyişle, yumuşak eşleşmenin çalışması için, yumuşak eşleştirilecek nesnenin immutableId değeri olmamalıdır. SabitId değeri ayarlanmış herhangi bir nesne sabit eşleşmeyi başarısız oluyor ancak yumuşak eşleşme ölçütlerini karşılarsa, işlem InvalidSoftMatch eşitleme hatasına neden olur.

Microsoft Entra dizin şeması, iki veya daha fazla nesnenin aşağıdaki özniteliklerle aynı değere sahip olmasını sağlamaz. (Bu kapsamlı bir liste değildir.)

• ProxyAddresses
• UserPrincipalName
• onPremisesSecurityIdentifier
• ObjectId

Microsoft Entra Özniteliği Yinelenen Öznitelik Dayanıklılığı özelliği, Microsoft Entra Id'nin varsayılan davranışı olarak da kullanıma sunulmaktadır. Bu, Microsoft Entra Id'yi şirket içi AD ortamlarında bulunan yinelenen ProxyAddresses ve UserPrincipalName özniteliklerini işleme yönteminde daha dayanıklı hale getirerek Microsoft Entra Bağlan (ve diğer eşitleme istemcileri) tarafından görülen eşitleme hatalarının sayısını azaltır. Bu özellik yineleme hatalarını düzeltmez. Bu nedenle verilerin yine de düzeltilmesi gerekir. Ancak, Microsoft Entra Id'deki yinelenen değerler nedeniyle başka türlü sağlanması engellenen yeni nesnelerin sağlanmasına izin verir. Bu, eşitleme istemcisine döndürülen eşitleme hatalarının sayısını da azaltır. Bu özellik Kiracınız için etkinleştirildiyse, yeni nesnelerin sağlanması sırasında Görülen InvalidSoftMatch eşitleme hatalarını görmezsiniz.

InvalidSoftMatch için örnek senaryolar

• ProxyAddresses özniteliği için aynı değere sahip iki veya daha fazla nesne şirket içi Active Directory. Microsoft Entra Id'de yalnızca biri sağlanıyor.
• userPrincipalName özniteliği için aynı değere sahip iki veya daha fazla nesne şirket içi Active Directory. Microsoft Entra Id'de yalnızca biri sağlanıyor.
• Şirket içi Active Directory'ye, Microsoft Entra dizinindeki mevcut bir nesneyle aynı ProxyAddresses özniteliği değerine sahip bir nesne eklendi. Şirket içinde eklenen nesne Microsoft Entra dizininde sağlanmıyor.
• Şirket içi Active Directory'de, Microsoft Entra Id'deki bir hesapla aynı userPrincipalName özniteliği değerine sahip bir nesne eklendi. Nesne Microsoft Entra Kimliği'nde sağlanmıyor.
• Eşitlenmiş bir hesap Orman A'dan Orman B'ye taşındı. Microsoft Entra Bağlan (eşitleme altyapısı), SourceAnchor'u hesaplamak için ObjectGUID özniteliğini kullanıyordu. Orman taşındıktan sonra SourceAnchor değeri farklıdır. Yeni nesne (Orman B'den) Microsoft Entra Id'deki mevcut nesneyle eşitlenmiyor.
• Eşitlenen bir nesne yanlışlıkla şirket içi Active Directory'den silindi ve Microsoft Entra Id'de hesabı silmeden aynı varlık (kullanıcı gibi) için Active Directory'de yeni bir nesne oluşturuldu. Yeni hesap mevcut Microsoft Entra nesnesiyle eşitlenemiyor.
• Microsoft Entra Bağlan kaldırıldı ve yeniden yüklendi. Yeniden yükleme sırasında SourceAnchor olarak farklı bir öznitelik seçildi. Daha önce eşitlenmiş olan tüm nesneler InvalidSoftMatch hatasıyla eşitlemeyi durdurdu.

Örnek olay:

1. Bob Smith, contoso.com şirket içi Active Directory'den Microsoft Entra Kimliği'nde eşitlenmiş bir kullanıcıdır

2. Bob Smith'in UserPrincipalName değeri olarak bobs@contoso.comayarlanır.

3. "abcdefghijklmnopqrstuv==", Microsoft Entra Bağlan tarafından Bob Smith'in Microsoft Entra Kimliği'ndeki Bob Smith için sabitId olan şirket içi Active Directory'deki objectGUID kullanılarak hesaplanan SourceAnchor'dur.

4. Bob ayrıca proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:

   • Smtp: bobs@contoso.com
   • Smtp: bob.smith@contoso.com
   • Smtp: bob@contoso.com

5. Şirket içi Active Directory'ye yeni bir kullanıcı (Bob Taylor) eklenir.

6. Bob Taylor'ın UserPrincipalName değeri olarak bobt@contoso.comayarlanır.

7. "abcdefghijkl0123456789=="", Microsoft Entra Bağlan tarafından şirket içi Active Directory'den Bob Taylor'ın objectGUID'i kullanılarak hesaplanan sourceAnchor'dur. Bob Taylor'ın nesnesi henüz Microsoft Entra Kimliği ile eşitlenmedi.

8. Bob Taylor proxyAddresses özniteliği için aşağıdaki değerlere sahiptir

   • Smtp: bobt@contoso.com
   • Smtp: bob.taylor@contoso.com
   • Smtp: bob@contoso.com

9. Eşitleme sırasında, Microsoft Entra Bağlan Bob Taylor'ın şirket içi Active Directory'ye eklenmesini tanıyacak ve Microsoft Entra Id'nin de aynı değişikliği yapmasını isteyecektir.

10. Microsoft Entra Id ilk olarak sabit eşleşme gerçekleştirir. Yani, "abcdefghijkl0123456789==" değerine eşit sabitId değerine sahip bir nesne olup olmadığını arar. Sabit Eşleştirme başarısız olur çünkü Microsoft Entra Id'deki başka hiçbir nesne bu sabit kimliğine sahip olmayacaktır.

11. Microsoft Entra Id daha sonra Bob Taylor'ı yazılımdan eşleştirmeye çalışır. Yani, smtp de dahil olmak üzere üç değere eşit proxyAddresses içeren bir nesne olup olmadığını arar: bob@contoso.com

12. Microsoft Entra Id, Bob Smith'in yumuşak eşleşme ölçütlerine uyan nesnesini bulur. Ancak bu nesne immutableId = "abcdefghijklmnopqrstuv==" değerine sahiptir. bu nesnenin şirket içi Active Directory'den başka bir nesneden eşitlendiğini gösterir. Bu nedenle, Microsoft Entra Id bu nesneleri geçici olarak eşleştiremez ve InvalidSoftMatch eşitleme hatasıyla sonuçlanır.

InvalidSoftMatch hatasını düzeltme

InvalidSoftMatch hatasının en yaygın nedeni, Farklı SourceAnchor (immutableId) değerine sahip iki nesnenin, Microsoft Entra Id'de geçici eşleştirme işlemi sırasında kullanılan ProxyAddresses ve/veya UserPrincipalName öznitelikleri için aynı değere sahip olmasıdır. Geçersiz Geçici Eşleşmeyi düzeltmek için

1. Hataya neden olan yinelenen proxyAddresses, userPrincipalName veya diğer öznitelik değerini bulun. Ayrıca çakışmaya hangi iki (veya daha fazla) nesnenin dahil olduğunu belirleyin. Eşitleme için Microsoft Entra Bağlan Health tarafından oluşturulan rapor, iki nesneyi tanımlamanıza yardımcı olabilir.
2. Hangi nesnenin yinelenen değere sahip olmaya devam etmesi gerektiğini ve hangi nesnenin etmemesi gerektiğini belirleyin.
3. Bu değere sahip OLMAMASı gereken nesneden yinelenen değeri kaldırın. Bu değişikliği nesnenin kaynağı olan dizinde yapmanız gerekir. Bazı durumlarda çakışmaya konu olan nesnelerden birini silmeniz gerekebilir.
4. Değişikliği şirket içi AD'de yaptıysanız Microsoft Entra'nın değişikliği eşitlemesine Bağlan izin verin.

Eşitleme için Microsoft Entra Bağlan Health içindeki eşitleme hata raporları her 30 dakikada bir güncelleştirilir ve en son eşitleme girişimindeki hataları içerir.

Not

ImmutableId, tanımına göre nesnenin ömründe değişmemelidir. Microsoft Entra Bağlan yukarıdaki listeden bazı senaryolar göz önünde bulundurularak yapılandırılmadıysa, Microsoft Entra Bağlan'ın kullanmaya devam etmek istediğiniz mevcut bir Microsoft Entra Nesnesine sahip aynı varlığı (aynı kullanıcı/grup/kişi vb.) temsil eden AD nesnesi için SourceAnchor'un farklı bir değerini hesapladığı bir duruma gelebilirsiniz.

ObjectTypeMismatch

Açıklama

Microsoft Entra ID iki nesneyi geçici olarak eşleştirmeye çalıştığında, farklı "nesne türündeki" iki nesnenin (Kullanıcı, Grup, Kişi vb.) yumuşak eşleşmeyi gerçekleştirmek için kullanılan öznitelikler için aynı değerlere sahip olması mümkündür. Microsoft Entra'da bu özniteliklerin çoğaltilmesine izin verilmediğinden, işlem "ObjectTypeMismatch" eşitleme hatasına neden olabilir.

ObjectTypeMismatch hatası için örnek senaryolar

• Microsoft 365'te posta etkin bir güvenlik grubu oluşturulur. Yönetici, Şirket içi AD'de (henüz Microsoft Entra Kimliği ile eşitlenmemiş) Microsoft 365 grubunun ProxyAddresses özniteliğiyle aynı değere sahip yeni bir kullanıcı veya kişi ekler.

Örnek olay seti

1. Yönetici, Microsoft 365'te Vergi departmanı için yeni bir posta etkin güvenlik grubu oluşturur ve olarak tax@contoso.combir e-posta adresi sağlar. Bu gruba smtp ProxyAddresses öznitelik değeri atanır: tax@contoso.com
2. yeni bir kullanıcı Contoso.com katılır ve şirket içi kullanıcı için proxyAddress smtp olarak bir hesap oluşturulur: tax@contoso.com
3. Microsoft Entra Bağlan yeni kullanıcı hesabını eşitlediğinde , "ObjectTypeMismatch" hatası alır.

ObjectTypeMismatch hatasını düzeltme

ObjectTypeMismatch hatasının en yaygın nedeni, farklı türde iki nesnenin (Kullanıcı, Grup, Kişi vb.) ProxyAddresses özniteliği için aynı değere sahip olmasıdır. ObjectTypeMismatch'i düzeltmek için:

1. Hataya neden olan yinelenen proxyAddresses (veya başka bir öznitelik) değerini belirleyin. Ayrıca çakışmaya hangi iki (veya daha fazla) nesnenin dahil olduğunu belirleyin. Eşitleme için Microsoft Entra Bağlan Health tarafından oluşturulan rapor, iki nesneyi tanımlamanıza yardımcı olabilir.
2. Hangi nesnenin yinelenen değere sahip olmaya devam etmesi gerektiğini ve hangi nesnenin etmemesi gerektiğini belirleyin.
3. Bu değere sahip OLMAMASı gereken nesneden yinelenen değeri kaldırın. Bu değişikliği nesnenin kaynağı olan dizinde yapmanız gerekir. Bazı durumlarda çakışmaya konu olan nesnelerden birini silmeniz gerekebilir.
4. Değişikliği şirket içi AD'de yaptıysanız Microsoft Entra'nın değişikliği eşitlemesine Bağlan izin verin. Eşitleme için Microsoft Entra Bağlan Health içindeki eşitleme hata raporu her 30 dakikada bir güncelleştirilir ve en son eşitleme girişimindeki hataları içerir.

Yinelenen öznitelikler

AttributeValueMustBeUnique

Açıklama

Microsoft Entra şeması, iki veya daha fazla nesnenin aşağıdaki özniteliklerle aynı değere sahip olmasını sağlamaz. Bu, Microsoft Entra Id içindeki her nesnenin belirli bir örnekte bu özniteliklerin benzersiz bir değerine sahip olmaya zorlanmasıdır.

• ProxyAddresses
• UserPrincipalName

Microsoft Entra Bağlan yeni bir nesne eklemeye veya mevcut bir nesneyi Microsoft Entra Id'de zaten başka bir nesneye atanmış olan yukarıdaki öznitelikler için bir değerle güncelleştirmeye çalışırsa, işlem "AttributeValueMustBeUnique" eşitleme hatasıyla sonuçlanır.

Olası senaryolar:

Eşitlenmiş başka bir nesneyle çakişen eşitlenmiş bir nesneye yinelenen değer atanır.

Örnek olay:

1. Bob Smith , contoso.com şirket içi Active Directory'sinden Microsoft Entra Id'de eşitlenmiş bir kullanıcıdır

2. Bob Smith'in şirket içi UserPrincipalName değeri olarak bobs@contoso.comayarlanır.

3. Bob ayrıca proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:

   • Smtp: bobs@contoso.com
   • Smtp: bob.smith@contoso.com
   • Smtp: bob@contoso.com

4. Şirket içi Active Directory'ye yeni bir kullanıcı (Bob Taylor) eklenir.

5. Bob Taylor'ın UserPrincipalName değeri olarak bobt@contoso.comayarlanır.

6. Bob Taylor, ProxyAddresses özniteliği i. smtp: ii. smtp için aşağıdaki değerlere sahiptir: bobt@contoso.combob.taylor@contoso.com

7. Bob Taylor'ın nesnesi Microsoft Entra Id ile başarıyla eşitlenir.

8. Yönetici Bob Taylor'ın ProxyAddresses özniteliği şu değere sahiptir: i. Smtp:bob@contoso.com

9. Microsoft Entra Id, Bob Taylor'ın Microsoft Entra ID'deki nesnesini yukarıdaki değerle güncelleştirmeye çalışır, ancak ProxyAddresses değeri Bob Smith'e zaten atandığından bu işlem başarısız olur ve bu da "AttributeValueMustBeUnique" hatasına neden olur.

AttributeValueMustBeUnique hatasını düzeltme

AttributeValueMustBeUnique hatasının en yaygın nedeni, farklı SourceAnchor (immutableId) değerine sahip iki nesnenin ProxyAddresses ve/veya UserPrincipalName öznitelikleri için aynı değere sahip olmasıdır. AttributeValueMustBeUnique hatasını düzeltmek için

1. Yinelenen proxyAddresses, userPrincipalName veya hataya neden olan diğer öznitelik değerini belirleyin. Ayrıca çakışmaya hangi iki (veya daha fazla) nesnenin dahil olduğunu belirleyin. Eşitleme için Microsoft Entra Bağlan Health tarafından oluşturulan rapor, iki nesneyi tanımlamanıza yardımcı olabilir.
2. Hangi nesnenin yinelenen değere sahip olmaya devam etmesi gerektiğini ve hangi nesnenin etmemesi gerektiğini belirleyin.
3. Bu değere sahip OLMAMASı gereken nesneden yinelenen değeri kaldırın. Bu değişikliği nesnenin kaynağı olan dizinde yapmanız gerekir. Bazı durumlarda çakışmaya konu olan nesnelerden birini silmeniz gerekebilir.
4. Şirket içi AD'de değişiklik yaptıysanız Microsoft Entra Bağlan hatanın düzeltilmesi için değişikliği eşitlemesine izin verin.

Veri doğrulama hataları

IdentityDataValidationFailed

Açıklama

Microsoft Entra ID, verilerin dizine yazılmasına izin vermeden önce birçok farklı kısıtlama uygular. Bu kısıtlamaların amacı, son kullanıcıların bu verilerden faydalanan uygulamaları kullanırken mümkün olan en iyi deneyimi yaşamasını sağlamaktır.

Senaryolar

UserPrincipalName öznitelik değeri geçersiz/desteklenmeyen karakterler içeriyor. b. UserPrincipalName özniteliği gerekli biçimi izlemez.

IdentityDataValidationFailed hatasını düzeltme

userPrincipalName özniteliğinin desteklenen karakterlere ve gerekli biçime sahip olduğundan emin olun.

FederatedDomainChangeError

Açıklama

Bu durum, kullanıcının UserPrincipalName soneki bir federasyon etki alanından başka bir federasyon etki alanına değiştirildiğinde "FederatedDomainChangeError" eşitleme hatasıyla sonuçlanır.

Senaryolar

Eşitlenmiş bir kullanıcı için, UserPrincipalName soneki bir federasyon etki alanından şirket içinde başka bir federasyon etki alanına değiştirildi. Örneğin, UserPrincipalName = bob@contoso.com UserPrincipalName = bob@fabrikam.comolarak değiştirildi.

Örnek

1. Contoso.com hesabı olan Bob Smith, UserPrincipalName ile Active Directory'de yeni kullanıcı olarak eklenir bob@contoso.com
2. Bob, Fabrikam.com adlı farklı bir Contoso.com bölümüne geçer ve UserPrincipalName değeri olarak değiştirilir bob@fabrikam.com
3. Hem contoso.com hem de fabrikam.com etki alanları, Microsoft Entra Kimliği'ne sahip federasyon etki alanlarıdır.
4. Bob'un userPrincipalName öğesi güncelleştirilmiyor ve "FederatedDomainChangeError" eşitleme hatasıyla sonuçlanıyor.

LargeObject

Açıklama

Bir öznitelik Microsoft Entra şeması tarafından ayarlanan izin verilen boyut sınırını, uzunluk sınırını veya sayım sınırını aştığında, eşitleme işlemi LargeObject veya ExceededAllowedLength eşitleme hatasıyla sonuçlanır. Bu hata genellikle aşağıdaki özniteliklerde oluşur

• userCertificate
• userSMIMECertificate
• thumbnailPhoto
• proxyAddresses

Olası senaryolar

1. Bob'un userCertificate özniteliği Bob'a atanmış çok fazla sertifika depoluyor. Bunlar eski, süresi dolmuş sertifikaları içerebilir. Sabit sınır 15 sertifikadır.
2. Bob'un userSMIMECertificate özniteliği Bob'a atanmış çok fazla sertifika depoluyor. Bunlar eski, süresi dolmuş sertifikaları içerebilir. Sabit sınır 15 sertifikadır.
3. Bob'ın thumbnailPhoto set in Active Directory, Microsoft Entra ID'de eşitlenemeyecek kadar büyük.
4. Active Directory'de ProxyAddresses özniteliğinin otomatik popülasyonu sırasında, bir nesneye çok fazla ProxyAddresses atanmıştır.

Nasıl düzeltilir

Hataya neden olan özniteliğin izin verilen sınırlama içinde olduğundan emin olun.

Yönetici rol çakışması

Açıklama

Mevcut Yönetici Rol Çakışması, eşitleme sırasında kullanıcı nesnesinde şu durumlarda oluşur:

• yönetim izinleri ve
• mevcut bir Microsoft Entra nesnesiyle aynı UserPrincipalName

Microsoft Entra Bağlan'nin şirket içi AD'deki bir kullanıcı nesnesini, kendisine atanmış bir yönetici rolüne sahip Microsoft Entra Id'deki bir kullanıcı nesnesiyle geçici olarak eşleştirmesine izin verilmez.

Nasıl düzeltilir

Bu sorunu çözmek için aşağıdakileri yapın:

1. Microsoft Entra hesabını (sahip) tüm yönetici rollerinden kaldırın.
2. Sabit Bulutta Karantinaya Alınan nesneyi silme .
3. Sonraki eşitleme döngüsü, şirket içi kullanıcıyı bulut hesabıyla (bulut kullanıcısı artık genel bir GA olmadığı için) geçici olarak eşleştirmeyi üstlenir.
4. Sahip için rol üyeliklerini geri yükleyin.

Not

Şirket içi kullanıcı nesnesi ile Microsoft Entra kullanıcı nesnesi arasındaki geçici eşleşme tamamlandıktan sonra yönetim rolünü mevcut kullanıcı nesnesine yeniden atayabilirsiniz.

Devam et