下表列出了 Microsoft Identity Manager 2016 中 Synchronization Service Manager 用户界面的错误代码。 提供了详细说明来解释每个错误。
连接错误
| 错误 | 说明 |
|---|---|
| failed-connection | 由于身份验证以外的原因,与连接的目录的连接失败。 例如,网络不可用,或者目标服务器处于脱机状态。 |
| dropped-connection | 管理代理与连接的目录之间的连接不再存在。 在许多情况下,管理代理会尝试重新连接到连接的目录。 |
| failed-authentication | 无法使用提供的凭据进行身份验证。 |
| failed-permission | 没有足够的权限访问连接的目录中的容器。 此错误仅适用于搜索不同连接的目录容器的轻型目录访问协议(LDAP)管理代理。 |
| failed-search | 容器或表搜索失败,出现意外错误。 |
| warning-no-watermark | 执行完全导入时,管理代理无法读取水印。 仅当初始管理代理配置完成且连接目录已启用更改日志时,Sun ONE Directory Server 5.1(前 iPlanet Directory Server)的管理代理才会出现此错误。 稍后,当连接目录更改日志关闭时,如果未更新管理代理配置,则会在完全导入完成后发出警告。 |
| no-start-partition-delete | 最初为此管理代理配置的 LDAP 分区不再存在。 删除分区或删除分区并使用相同的名称重新创建分区时,将返回此错误。 在后一种情况下,即使名称相同,错误分区 GUID 也已更改。 |
发现错误
| 错误 | 说明 |
|---|---|
| missing-change-type | 当更改类型列值(添加、修改、删除)不存在时,基于文件的代理和数据库管理代理以及 Sun 和 Netscape 目录服务器的增量导入期间返回此错误。 |
| invalid-change-type | 当更改类型列值与有效更改类型列表不匹配时,基于文件的代理和数据库管理代理运行增量导入期间,以及 Sun 和 Netscape 目录服务器的管理代理将返回此错误。 当存在更改类型字段并且具有非添加值时,它还从 LDAP 数据交换格式(LDIF)完全导入返回。 |
| multi-valued-change-type | 当存在更改类型的多个值时,基于文件的和 Sun 和 Netscape 目录服务器管理代理在增量导入期间返回此错误。 |
| need-full-object | 此错误是在基于文件的管理代理的增量导入运行期间返回的,或者在从基于文件的管理代理恢复时返回。 它指示管理代理已提交对不能位于连接器空间中的对象的修改。 同步引擎正在请求对象上所有属性的当前值。 由于这是从文件导入的信息,因此该信息不可用。 完全导入应解决此问题。 |
| missing-dn | 如果没有域名值,则会为基于文件的管理代理(即 LDIF、DSML 的管理代理或具有已配置的域名属性的平面文件)返回此错误。 对于缺少域名属性的损坏的 Sun ONE Directory 服务器更改日志,也会返回此日志。 它指示管理代理可以读取元素并对其进行分析,但对象没有域名值。 |
| dn-not-ldap-conformant | 如果 LDAP、LDIF、DSML 的管理代理或具有配置的域名属性的平面文件报告不符合 LDAP 规范的域名值,则会返回此错误。 |
| invalid-dn | 当管理代理报告域名不符合 FIM 约束时,将返回此错误,其中包括:
|
| missing-anchor-component | 当无法构造定位点时,基于文件的代理和数据库管理代理以及 Sun 和 Netscape 目录服务器的管理代理将返回此错误,因为一个或多个定位点构造规则属性没有值。 |
| multi-valued-anchor-component | 如果 Sun 和 Netscape 目录服务器无法构造定位点,则此错误由 Sun 和 Netscape 目录服务器的管理代理返回,因为定位点构造规则属性具有多个值。 |
| anchor-too-long | 当定位点构造生成超过 FIM 最大大小限制的定位点时,基于文件的代理和数据库管理代理以及 Sun 和 Netscape 目录服务器的管理代理将返回此错误。 |
| duplicate-object | 当运行期间已向同步引擎报告具有相同定位点的对象时,基于文件的代理和数据库管理代理在完全导入时会返回此错误。 注意:仅当当前运行步骤已完成且成功、同步失败完成、警告完成或暂时性完成时,才会发生连接器空间对象的过时。 |
| missing-object-class | 如果存在损坏的更改日志,则由基于文件的管理代理(即 DSML、LDIF 的管理代理或具有已配置的对象类属性的平面文件)或 Sun 和 Netscape 目录服务器的管理代理返回此错误。 这表示管理代理无法读取对象类属性的值。 |
| missing-object-type | 执行从损坏的放置文件恢复导入时,将返回此错误。 在正常作期间不会遇到此错误。 |
| unmappable-object-type | 当基于文件的管理代理读取具有一组无法与任何前缀映射匹配的对象类值时,将返回此错误。 |
| parse-error | 当无法分析条目时,Sun 和 Netscape 目录服务器的管理代理以增量模式和基于文件的管理代理返回此错误。 存在 <entry-number> 元素(在大多数情况下 <line-number> 和 <column-number>),以帮助查找错误。
<attribute-name> 元素可能存在。 遇到此问题时,Sun 和 Netscape 目录服务器的管理代理将终止运行。 基于文件的管理代理记录发现错误并继续。 |
| read-error | 读取特定对象的泛型错误时,基于调用的管理代理将返回此错误。 这通常会导致运行终止。 连接数据源错误元素存在,可用于排查问题。 |
| staging-error | 大多数管理代理都返回此错误。 它表示同步引擎无法在连接器空间中暂存增量。 服务器创建一个事件日志,该事件日志提供有关问题的信息,并可用于故障排除。 大多数管理代理在记录错误时继续导入运行,但 Sun 和 Netscape 增量运行的管理代理将停止。 更改日志处理中的间隙可能会导致连接器空间中出现不一致的状态。 在正常作期间不会遇到此错误。 |
| invalid-modification-type | 当对象级别修改类型不是标准 LDIF 修改类型之一,或者对象类上存在 nonreplace 修改类型(如 add: objectclass 或 delete: objectclass)时,在 LDIF 管理代理上返回此错误。 |
| conflicting-modification-types | LDIF 管理代理返回此错误,指示在同一记录中遇到不同的属性级别修改类型(在这种情况下,报告生成冲突类型的属性名称)或在同一文件中看到多个替换 LDIF 增量,例如: LDIF 文件示例 |
| 多单不匹配 | 当基于文件的管理代理报告多个值添加或多个值删除 FIM 中定义为单个值属性的属性时,将返回此错误。 此错误可能指示使用 FIM 存储的连接数据源架构未正确指定(基于文件的管理代理),或者与当前架构过期。 包括一个 <attribute-name> 元素,用于提供错误的上下文。 |
| invalid-attribute-value | 读取不符合架构中声明的属性类型的属性值时,基于调用的管理代理将返回此错误。 包括一个 <attribute-name> 元素,用于提供错误的上下文。 |
| invalid-base64-value | 当 LDIF、DSML、Sun 和 Netscape 目录服务器遇到无效的 base64 字符串时,管理代理会返回此错误。 |
| invalid-numeric-value | 当 LDAP 无法分析数值时,基于文件的管理代理和 LDAP 的管理代理将返回此错误。 包括一个 <attribute-name> 元素,用于提供错误的上下文。 |
| invalid-boolean-value | 当基于文件的管理代理和 LDAP 管理代理无法分析布尔值时,会返回此错误。 包括一个 <attribute-name> 元素,用于提供错误的上下文。 |
| reference-value-not-ldap-conformant | 当域名值不符合 LDAP 规范时,LDAP、LDIF 和 DSML 或平面文件(具有配置的域名属性)的管理代理将返回此错误。 此错误消息包含一个 <attribute-name> 元素,用于提供错误的上下文。 |
| invalid-reference-value | 当域名不符合 FIM 约束时,管理代理将返回此错误,其中包括:
|
| unsupported-value-type | 当文件中给定的值类型与属性类型不兼容时,DSML 或 LDIF 管理代理将返回此错误,包括:
|
同步错误
| 错误 | 说明 |
|---|---|
| extension-dll-exception | 如果规则扩展导致异常,则会发生此错误。 如果遇到此错误,请查看 <异常-错误信息> 元素来检查异常的调用堆栈。 在某些情况下,存在 <rule-error-info>,并提供有关发生错误时正在处理的规则的其他信息。 |
| extension-dll-crash | 当执行规则扩展的进程意外终止时,会发生此错误。 只有在进程外执行规则扩展时,才会发生此错误。 此错误值的可能原因是规则扩展调用导致访问冲突的代码。 |
| extension-dll-timeout | 如果客户配置了扩展超时,并且对单个客户扩展代码入口点的调用超过了配置的超时,则会发生此错误。
<exception-error-info> 提供有关在超时时调用的入口点的上下文信息。在某些情况下,“<规则错误信息> 存在,并提供有关发生错误时正在处理的规则的其他信息。注意:调试执行扩展的进程时,不会强制执行超时。 |
| extension-projection-object-type-not-set | 发生此错误:规则扩展中的 IMASynchronization.ShouldProjectToMV 方法的实现未指定 metaverse 对象类型。 |
| extension-projection-invalid-object-type | 当规则扩展中的 IMASynchronization.ShouldProjectToMV 方法的实现将出站 Metaverse 对象类型的值设置为同步服务管理器 Metaverse 设计器中未列出的值时,会发生此错误。 检查该方法是否使用指定对象类型值之一。 |
| extension-join-resolution-invalid-object-type | 当规则扩展中的 IMASynchronization.ResolveJoinSearch 方法的实现将出站 Metaverse 对象类型的值设置为同步服务管理器 Metaverse 设计器中未列出的值时,会发生此错误。 检查该方法是否将出站 Metaverse 对象类型的值设置为列出的对象类型值之一。 |
| extension-join-resolution-index-out-of-bounds | 当规则扩展中的 IMASynchronization.ResolveJoinSearch 方法的实现设置一个索引值(负或大于等于 metaverse 对象的数目)时,会发生此错误。 |
| extension-provisioning-call-limit-reached | 当在单个对象的同步期间调用 IMASynchronization.Provision 方法超过 10 次时,将发生此错误。 如果 Provision 方法中的客户逻辑取消预配对象,并且存在导致对 Metaverse 对象的更改导致对 Provision 的新调用的属性召回,则可以多次调用此方法。 Provision 方法的 10 个调用限制设置为停止可能的无限预配说明。 |
| extension-deprovisioning-invalid-result | 当 IMASynchronization.Deprovision 方法的实现返回无效的 DeprovisionAction 枚举值时,会发生此错误。 验证该方法是否返回有效值。 |
| extension-entry-point-not-implemented | 当规则扩展引发 EntryPointNotImplementedException 异常时,会发生此错误。 |
| extension-unexpected-attribute-value | 当规则扩展引发 UnexpectedDataException 异常时,会发生此错误。 |
| flow-multi-values-to-single-value | 当 Synchronization Service Manager 中配置的导入或导出属性流规则尝试将具有多个值的属性流式处理到单值属性时,会发生此错误。 此错误仅针对 Synchronization Service Manager 中配置的直接流规则返回。 如果流规则使用将多个值流向单值属性的规则扩展,则会引发 TooManyValuesException 异常。 |
| cs-attribute-type-mismatch | 当导入的属性类型与管理代理架构中指定的属性类型不匹配时,会发生此错误。 此错误的一个原因是存储的已连接数据源架构已过时,并且连接数据源的实际架构已过时。 若要将存储的已连接数据源架构 up-to-date,请使用 Synchronization Service Manager 刷新架构。 |
| join-object-id-must-be-single-valued | 当用于通过 Synchronization Service Manager 中管理代理属性中指定的联接规则联接 metaverse 对象的数据源属性值包含多个值时,会发生此错误。 联接规则中使用的数据源属性值只能包含单个值。 |
| dn-index-out-of-bounds | 当在 Synchronization Service Manager 中管理代理的属性中配置的导入属性流中使用的可分辨名称组件索引值大于源对象的可分辨名称中的组件数时,会发生此错误。 |
| connector-filter-rule-violation | 执行添加或重命名预配作或导出属性流,以及连接器对象由于连接器筛选器配置而成为筛选的断开连接器对象时,将发生此错误。 此值不会发生在显式连接器对象上。 |
| unsupported-container-delete | 管理代理正在尝试在取消预配期间删除容器对象。 FIM 管理代理无法删除具有子对象的容器对象。 |
| ambiguous-import-flow-from-multiple-connectors | 如果在源管理代理下有多个连接器连接到 metaverse 对象,并且定义了声明性导入属性流规则,则会发生此错误。 若要通过具有多个连接器的管理代理将属性导入到 metaverse 对象,请使用规则扩展来定义流规则,而不是在管理代理的属性中配置直接规则。 |
| ambiguous-export-flow-to-single-valued-attribute | 当在 Synchronization Service Manager 中管理代理的属性中配置的导出流规则尝试将多个值从 metaverse 对象流式处理到单值属性时,会发生此错误。 |
| cannot-parse-object-id | 用于在 Synchronization Service Manager 中管理代理的属性中指定的联接规则中搜索 Metaverse 对象的字符串值不采用正确的全局唯一标识符 (GUID) 格式。 GUID 格式为 {nnnn-nnnn-nn-nn},其中 n 是十六进制数。 |
| unexported-container-rename | IMVSynchronization.Provision 或 IMASynchronization.Deprovision 方法的实现尝试重命名包含一个或多个未导出的子对象的容器对象。 |
| mv-constraint-violation | 当直接导入属性流发生并且连接器空间中的属性值超过 Metaverse 属性的长度限制时,会发生此错误。 |
| locking-error-needs-retry | 多个管理代理正在尝试同步同一连接器空间对象。 再次运行管理代理。 |
| unique-index-violation | 用户在 Metaverse 表中的属性上手动设置唯一索引。 不要手动配置 Metaverse 表。 |
| encryption-key-lost | 运行 FIM 的服务器缺少加密密钥集。 |
| unexpected-error | 当同步引擎尝试对 Metaverse 应用更改(包括预配和导出属性流)时,会发生此错误。 此错误只能在对 Metaverse 应用更改的运行期间发生。 有关详细信息,请查看事件日志。 |
| exported-change-not-reimported | 在此导入管理代理运行期间,导出到管理代理的更改不会重新确认时,会发生此错误。 FIM 外部运行的用户或系统进程已更改连接的数据源中的数据,指示导出属性流规则尝试将值流式处理到连接的数据源对象时出现的配置问题,但连接的数据源会自动将值重置为不同的内容,而不会向管理代理报告错误。 <更改未重新导入> 元素指示未重新确认哪些更改。 |
| cannot-parse-dn-component | 配置 LDAP 样式的可分辨名称(也称为 DN)且从连接器空间同步到 Metaverse 的任何管理代理都返回此错误。 无法通过 dncomponent 映射分析可分辨名称组件,因为它的格式不正确,因此目标属性类型的格式不正确。 |
| missing-partition-for-run-step | 此错误表示找不到在运行配置文件中指定的分区。 验证分区是否已删除或重命名。 |
导出错误
| 错误 | 说明 |
|---|---|
| cd-missing-object | 当对象的修改导出到连接的数据源时,将返回此错误,但无法在连接的数据源中找到该对象。 它仅针对基于调用的管理代理返回。 此错误的原因是人员或外部进程已从 FIM 外部的连接数据源中删除对象。 |
| cd-existing-object | 当将添加导出到连接的数据源时,将返回此错误,但该对象已存在于连接的数据源中。 它仅针对基于调用的管理代理和关系数据库管理代理返回。 |
| duplicate-anchor | 如果新预配对象的定位点不唯一,则返回此错误。 它仅针对基于调用的代理和数据库管理代理以及 Sun 和 Netscape 目录服务器的管理代理返回。 如果遇到此错误,请检查定位点构造规则,以确保定义了每个对象的唯一定位点值。 |
| ambiguous-update | 当管理代理无法应用更新或删除增量时,将返回此错误,因为定位点不唯一。 它仅针对 Microsoft SQL Server 和 Oracle 数据库的管理代理返回。 如果遇到此错误,请检查定位点构造规则,以确保定义了每个对象的唯一定位点值。 |
| password-policy-violation | 当密码属性设置为不符合已连接数据源的管理员定义密码策略的值时,Active Directory 和 Active Directory 全局地址列表(GAL)的管理代理将返回此错误。 |
| password-set-disallowed | 当密码加密设置为无加密或 128 位安全套接字层(SSL)时,Active Directory 应用程序模式(ADAM)的管理代理将返回此错误,并且管理员未显式进行替代以允许在此方案中设置密码集。 |
| kerberos-time-skew | 设置或更改密码属性时,Active Directory 和 Active Directory 全局地址列表(GAL)的管理代理将返回此错误,FIM 服务器计算机时间与域控制器上的时间不同超过五分钟。 |
| kerberos-no-logon-server | 尝试设置或更改密码属性时,Active Directory 和 Active Directory 全局地址列表(GAL)的管理代理将返回此错误,并且无法解析登录凭据的域部分的服务器。 这可能会导致 NetBIOS 或 DNS 配置不正确。 |
| encryption-not-enabled | 设置或更改密码属性时,Active Directory 应用程序模式(ADAM)的管理代理将返回此错误,并且管理代理用来与连接的数据源通信的连接尚未使用适当的加密机制(128 位 SSL 或 TLS)进行配置。 ADAM 需要 128 位 SSL 或 TLS 配置来设置密码。 |
| invalid-dn | 导出新预配的对象或重命名现有对象,以及当可分辨名称与连接的数据源命名要求不兼容时,LDAP 和 Windows NT 4.0 的管理代理将返回此错误。 |
| schema-violation | 导出对象修改并添加不在连接的数据源架构中的属性或从架构所需的对象中删除属性时,LDAP 的管理代理将返回此错误。 FIM 不允许执行这些作,因为其规则会检查连接的数据源架构的存储副本。 但是,如果 FIM 架构与连接的数据源架构过期,则可能会出现此问题。 如果遇到此问题,请使用用户界面刷新管理代理架构。 |
| constraint-violation | 当添加、修改或删除违反连接的数据源强制约束时,LDAP 和数据库管理代理的管理代理将返回此错误。 LDAP 管理代理的典型原因包括为单个值属性设置多个值、超过字符串和二进制属性的字段宽度约束,或违反数值属性的范围约束。 数据库管理代理有许多可能的原因,包括可能为其数据库定义的引用完整性、规则和约束。 |
| 语法冲突 | 当属性的值违反某些值约束时,LDAP 和 Windows NT 4.0 的管理代理将返回此错误。 例如,导出的值包含无效字符时。 |
| modify-naming-attribute | 当命名属性(如许多对象类型的 CN)设置为与相对可分辨名称(也称为 RDN)值冲突的值时,LDAP 的管理代理将返回此错误。 这可能发生于定义不佳的导出属性流规则或脚本代码中设置新预配对象的初始值的错误。 |
| field-width 不足 | 导出对对象的添加或修改时以及属性的值超出列宽度时,管理代理将返回固定宽度文本文件的错误。 |
| insufficient-columns | 当向对象导出添加或修改时,当多值属性的值数超过为该属性配置了多个值的列数时,固定宽度和带分隔符的文本文件的管理代理将返回此错误。 |
| permission-issue | 当添加、修改或删除作失败时,LDAP 和 Windows NT 4.0 的管理代理将返回此错误,因为管理代理没有足够的权限对连接的数据源执行作。 |
| dn-attributes-failure | 导出添加或修改设置没有相应连接的数据源对象的引用值的 Active Directory、Active Directory 全局地址列表(GAL)和 Active Directory 应用程序模式(ADAM)的管理代理将返回此错误。 如果看到此错误,请使用连接器空间对象查看器来确定未成功导出引用属性的更改。 |
| 不存在的父级 | 当添加或重命名导出失败时,LDAP 的管理代理将返回此错误,因为连接的数据源中不存在父对象。 |
| code-page-conversion | 当属性值的转换存储在运行 FIM 的服务器中的 Unicode 中时,基于文件的管理代理将返回此错误,因为转换错误导致导出文件的代码页失败。 |
| no-export-to-this-object-type | 尝试在计算机对象上执行预配作或导出属性流时,Windows NT 4.0 的管理代理将返回此错误。 不允许对此类对象执行导出作,但可以对此类型的对象执行导入。 |
| missing-provisioning-attribute | 导出新预配的对象时,Lotus Notes 的管理代理将返回此错误,以及预配新对象所需的某些属性尚未由规则扩展设置时返回。 |
| invalid-provisioning-attribute-value | 导出新预配的对象时以及规则扩展设置的某些属性无效(例如,当它们不在特定值范围内时)时,将返回此错误。 |
| provision-to-secondary-nab | 当尝试将人员或认证者对象预配到辅助 Lotus Notes 通讯簿时,此错误特定于 Lotus Notes 的管理代理。 Lotus Notes 仅允许将联系人预配到辅助通讯簿。 |
| missing-anchor-component | 导出新预配的对象时,将返回此错误,并且无法生成定位点,因为构造定位点所需的值不可用。 在预配期间未设置属性(即,在 Sun 或 Netscape 目录服务器、数据库和基于文件的管理代理中)或无法从连接的数据源(即 Active Directory、Sun 和 Netscape 目录服务器的管理代理和数据库管理代理)读取(即从自动递增列构造定位点的管理代理中)。 |
| multi-valued-anchor-component | 当无法为新预配的对象构造定位点时,Sun 和 Netscape 目录服务器的管理代理会生成此错误,因为构造定位点时所使用的属性之一具有多个值。 定位点构造中使用的属性可以定义为连接的数据源架构中的多值,但它们必须在 FIM 中的实际对象上只有一个值。 |
| anchor-too-long | 当定位点构造生成超过 FIM 最大大小限制的定位点时,基于文件的代理和数据库管理代理以及 Sun 和 Netscape 目录服务器的管理代理将返回此错误。 连接器空间中单个属性的最大定位点值长度为 398 个字符。 如果定位点是从多个属性构造的,则为每个附加属性减去 2 个字符。 例如,构造了 3 个属性(sn+location+telephoneNumber)的定位点将限制为 392 个字符。 |
| invalid-attribute-value | 尝试流出包含连接数据源无效字符的属性值时,将发生此错误。 例如,导出到固定宽度文本文件的管理代理、带分隔符的文本文件和属性值对文本文件的属性值不能包含 CR、LF 或 EOF 字符。 |
| encryption-key-lost | 在正常作过程中,不会遇到此错误。 它表示 FIM 无法解密加载对象时存储在连接器空间中的加密属性的值。 它可能指示 FIM 使用的加密密钥集在计算机中缺失。 此错误可由包含密码属性的任何管理代理(例如 Active Directory、Active Directory 全局地址列表 (GAL)、Sun 和 Netscape 目录服务器、Lotus Notes 和 Windows NT 4.0 生成。 |
| locking-error-needs-retry | 仅当多个管理代理尝试同时同步同一连接器空间对象时,才会发生此错误。 如果遇到此错误,请尝试再次运行导出。 |
| cd-error | 当连接的数据源具有专用错误类型时,将返回此错误。 此错误伴随着 <cd-error> 元素,并且包含的信息应该有助于进行故障排除。 |
| unexpected-error | 当尝试导出更改并且作导致故障时,将返回此错误。 如果遇到此错误,请查看事件日志以了解有助于解决问题的详细信息。 |
| no-export-to-this-object-type | 尝试执行预配作或在计算机对象上导出属性流时,Windows NT 4.0 的管理代理将返回此错误。 Windows NT 4.0 的管理代理不支持对此类对象的导出作。 |
| certifier-ou-not-configured | 尝试预配新用户或容器且为 _MMS_Certifier 属性指定的认证者名称不是正确配置的认证者容器的名称时,Lotus Notes 的管理代理将返回此错误。 必须先使用 Synchronization Service Manager 配置每个认证者容器,然后才能在预配中使用。 |
| temporary-certifier-file-creation-failure | 预配新用户或容器时,Lotus Notes 的管理代理将返回此错误,并且创建认证者文件的过程因任何原因(例如磁盘空间不足、权限等)。 创建认证者文件的 FIM 过程是提取由 _MMS_Certifier 属性指定的认证者容器的认证者信息,并在 Lotus Notes 管理代理的管理代理的 MAData 文件夹中临时创建认证者文件,供 Notes API 使用。 |
| unexpected-provisioning-attribute | 导出新预配的对象和由客户扩展设置的某些属性时,Lotus Notes 的管理代理将返回此错误,因为它们与其他预配属性的值不兼容。 例如,你可能会在以下情况下看到此错误:
|