分享方式:

雲端同步疑難排解

  • 文章

雲端同步有許多不同的相依性和互動,而這些可能會導致各種問題。 本文可協助您對這些問題進行疑難排解。 其介紹了您該著重的典型領域、如何收集其他資訊,以及您可以用來追蹤問題的各種技術。

代理程式問題

當您針對代理程式問題進行疑難排解時,請確認代理程式已正確安裝,且與 Microsoft Entra ID 能進行通訊。 具體而言,下列是您想要針對代理程式確認的一些首要項目:

  • 是否已安裝代理程式嗎?
  • 代理程式是否於本機執行嗎?
  • 代理程式是位於入口網站嗎?
  • 代理程式是否標記為狀況良好嗎?

您可以在入口網站和執行代理程式的本機伺服器上驗證這些項目。

Microsoft Entra 系統管理中心代理程式驗證

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

若要確認 Azure 偵測到代理程式,而且代理程式狀況良好,請遵循下列步驟:

  1. 以至少 混合式系統管理員 身分登入 Microsoft Entra系統管理中心。
  2. 瀏覽至 [身分識別]>[混合式管理]>[Microsoft Entra Connect]>[Cloud Sync]雲端同步首頁的螢幕擷取畫面。
  1. 選取 [雲端同步]
  2. 您應該會看到已安裝的代理程式。 確認有問題的代理程式位於該處。 如果一切正常,則您會看到代理程式為「作用中」(綠色) 狀態。

確認必要開啟連接埠

確認 Microsoft Entra 佈建代理程式可以成功與 Azure 資料中心進行通訊。 如果路徑中存在防火牆,則請確定針對輸出流量開啟下列連接埠:

連接埠號碼 使用方式
80 下載憑證撤銷清單 (CRL),同時驗證 TLS/SSL 憑證。
443 處理應用程式 Proxy 服務的所有輸出通訊。

如果您的防火牆根據原始使用者來強制執行流量,則也請針對來自 Windows 服務的流量開啟連接埠 80 和 443,而這些 Windows 服務是以網路服務形式執行。

允許存取 URL

允許存取下列 URL:

URL 連接埠 使用方式
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS 連接器與應用程式 Proxy 雲端服務之間的通訊。
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP 連接器會使用這些 URL 來確認憑證。
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS 連接器會在註冊程序進行期間使用這些 URL。
ctldl.windowsupdate.com 80/HTTP 連接器會在註冊程序進行期間使用此 URL。

如果防火牆或 Proxy 可讓您根據網域尾碼來設定存取規則,則可以允許與 *.msappproxy.net*.servicebus.windows.net 和其他先前 URL 的連線。 否則,您需要允許存取 Azure IP 範圍和服務標記 - 公用雲端。 IP 範圍會每週更新。

重要

避免對 Microsoft Entra 應用程式 Proxy 連接器與 Microsoft Entra 應用程式 Proxy 雲端服務之間的輸出 TLS 通訊進行所有形式的內嵌檢查和終止。

Microsoft Entra 應用程式 Proxy 端點的 DNS 名稱解析

Microsoft Entra 應用程式 Proxy 端點的公用 DNS 記錄是指向 A 記錄的鏈結 CNAME 記錄。 如此一來可確保容錯能力和彈性。 Microsoft Entra 內部網路連接器保證一律使用網域後綴 *.msappproxy.net*.servicebus.windows.net 來存取主機名稱。

不過,在名稱解析期間,CNAME 記錄可能包含具有不同主機名稱和尾碼的 DNS 記錄。 基於此原因,您必須確定裝置可以解析鏈結中的所有記錄並允許與已解析的 IP 位址連線。 因為鏈結中的 DNS 記錄可能隨時會變更,所以無法向您提供任何的清單 DNS 記錄。

在本機伺服器上

若要確認代理程式正在執行,請遵循下列步驟:

  1. 在已安裝代理程式的伺服器上,開啟 [服務]。 做法是移至 [開始] > [執行] > [Services.msc]

  2. [服務] 下方,確定 Microsoft Entra Connect 代理程式更新程式 Microsoft Entra 佈建代理程式。 也請確認其狀態為 [執行中]

    本機服務及其狀態的螢幕擷取畫面。

常見的代理程式安裝問題

下列各節說明一些常見代理程式安裝問題以及這些問題的一般解決方式。

代理程式無法啟動

您可能會收到錯誤訊息,指出:

「Microsoft Entra 佈建代理程式」服務無法啟動。 請確認您有足夠的權限可以啟動系統服務。

此問題通常是群組原則所造成。 此原則會導致無法將權限套用至安裝程式所建立的本機 NT 服務登入帳戶 (NT SERVICE\AADConnectProvisioningAgent)。 需要有這些權限,才能啟動服務。

若要解決此問題,請遵循下列步驟:

  1. 使用管理員帳戶登入伺服器。

  2. 移至 [開始] > [執行] > [Services.msc],以開啟 [服務]

  3. [服務] 下方,按一下 [Microsoft Entra 佈建代理程式]

  4. [登入] 索引標籤上 ,將 [此帳戶] 變更為網域管理員。然後重新啟動服務。

    此螢幕擷取畫面顯示 [登入] 索引標籤中的可用選項。

代理程式逾時,或憑證無效

當您嘗試註冊代理程式時,可能會收到下列錯誤訊息。

此螢幕擷取畫面顯示逾時錯誤訊息。

此問題通常是代理程式無法連線至混合式身分識別服務所造成。 若要解決此問題,請設定輸出 Proxy。

佈建代理程式支援使用輸出 Proxy。 設定方式是編輯下列代理程式 .config 檔案:C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config

請將下列各行新增至該檔案中靠近檔案結尾處的 </configuration> 結尾標記正前方。 將變數 [proxy-server][proxy-port] 更換成您的 Proxy 伺服器名稱和連接埠值。

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

代理程式註冊失敗,發生安全性錯誤

當您安裝雲端佈建代理程式時,可能會收到錯誤訊息。 此問題通常是本機 PowerShell 執行原則導致代理程式無法執行 PowerShell 註冊指令碼所造成。

若要解決此問題,請變更伺服器上的 PowerShell 執行原則。 您需要將機器和使用者原則設定為 UndefinedRemoteSigned。 如果將其設定為 Unrestricted,則您將會看到此錯誤。 如需詳細資訊,請參閱 PowerShell 執行原則

記錄檔

根據預設,代理程式會發出最少的錯誤訊息和堆疊追蹤資訊。 您可以在下列資料夾中找到這些追蹤記錄:C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace

若要收集針對代理程式相關問題進行疑難排解的其他詳細資料,請遵循下列步驟。

  1. 安裝 AADCloudSyncTools PowerShell 模組
  2. 使用 Export-AADCloudSyncToolsLogs PowerShell Cmdlet 來擷取資訊。 您可使用下列選項來微調資料收集。
    • SkipVerboseTrace 只會匯出目前記錄,而不會擷取詳細資訊記錄 (預設值 = false)。
    • TracingDurationMins 可指定不同的擷取期間 (預設值 = 3 分鐘)。
    • OutputPath 可指定不同的輸出路徑 (預設值 = 使用者的「文件」資料夾)。

物件同步處理問題

在入口網站中,您可以使用佈建記錄來協助追蹤物件同步問題,並對其進行疑難排解。 若要查看記錄,請選取 [記錄]

此螢幕擷取畫面顯示 [記錄] 按鈕。

佈建記錄可為您提供內部部署的 Active Directory 環境和 Azure 間,進行同步處理的物件狀態豐富資訊。

此螢幕擷取畫面顯示佈建記錄相關資訊。

您也可以篩選檢視,使其聚焦於特定問題,例如日期。 您也可以使用其 Active Directory ObjectGuid 來搜尋與 Active Directory 物件相關的活動記錄。 按兩下個別事件以查看其他資訊。

此螢幕擷取畫面顯示佈建記錄的下拉式清單資訊。

這項資訊會提供詳細的步驟,以及發生同步處理問題的位置。 如此一來,您就可以找出發生問題的確切點。

略過的物件

如果您已從 Active Directory 同步處理使用者和群組,則可能無法在 Microsoft Entra ID 中找到一或多個群組。 這可能是因為同步處理尚未完成或尚未趕上 Active Directory 中的物件建立、封鎖在 Microsoft Entra ID 中建立物件的同步錯誤,或是套用了排除物件的同步處理規則範圍規則。

如果您重新啟動同步處理,然後在佈建週期完成時,請使用該物件的 Active Directory ObjectGuid 來搜尋與物件相關的活動佈建記錄。 如果身分識別只包含來源識別碼,且 Skipped 的狀態存在於記錄中,這表示代理程式已篩選 Active Directory 物件,因為它不在範圍內。

根據預設,範圍規則會排除下列物件,使其無法同步至 Microsoft Entra ID:

  • IsCriticalSystemObject 設定為 TRUE 的使用者、群組和連絡人,包括 Active Directory 中的許多內建使用者和群組
  • 複寫受害者物件

同步處理方案 中可能會有其他限制。

Microsoft Entra 物件刪除閾值

如果您有 Microsoft Entra Connect 和 Microsoft Entra Cloud Sync 兩者均匯出至相同 Microsoft Entra 租用戶的實作拓撲,或如果您已從使用 Microsoft Entra Connect 完全移至 Microsoft Entra Cloud Sync,當您刪除或將多個物件移出定義的範圍時,可能會收到下列匯出錯誤訊息:

此螢幕擷取畫面顯示匯出錯誤。

此錯誤與 Microsoft Entra Connect 雲端同步的 意外刪除防止功能 無關。它會由 Microsoft Entra Connect 的 Microsoft Entra 目錄中設定的 意外刪除防護功能 所觸發。 如果您還沒有安裝可讓您切換功能的 Microsoft Entra Connect 伺服器,您可以使用隨附 Microsoft Entra Connect 雲端同步代理程式一起安裝的 「AADCloudSyncTools」 PowerShell 模組來停用租用戶的設定,並允許被封鎖的刪除在確認其為預期中且應該允許之後進行匯出。 使用下列命令:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

在下一個佈建週期中,標示要刪除的物件應該已從 Microsoft Entra 目錄成功刪除。

佈建已隔離問題

雲端同步會監視設定的健康情況,並讓狀況不良的物件進入隔離狀態。 如果對目標系統進行的大部分或所有呼叫持續因錯誤而失敗 (例如,系統管理員認證無效),則會將同步工作標記為隔離。

此螢幕擷取畫面顯示隔離狀態。

您可以選取狀態來查看隔離項目的其他相關資訊。 您也可以取得錯誤碼和訊息。

此螢幕快照顯示隔離的其他資訊。

以滑鼠右鍵按一下狀態時,將會顯示其他選項,以:

  • 檢視佈建記錄。
  • 檢視代理程式。
  • 清除隔離。

此螢幕擷取畫面顯示快顯功能表選項。

解決隔離

有兩種不同的方式可解決隔離。 您可以清除隔離區,也可以重新啟動佈建工作。

清除隔離

若要清除浮水印,並在驗證完成後於佈建工作上執行差異同步,只需要以滑鼠右鍵按一下狀態,然後選取 [清除隔離] 即可。

您應該會看到正在清除隔離的通知。

此螢幕擷取畫面顯示隔離已清除通知。

然後,您應該會看到代理程式的狀態良好。

此螢幕擷取畫面顯示代理程序狀態狀況良好。

重新啟動佈建作業

使用入口網站重新啟動佈建作業。 在 [代理程式設定] 頁面上,選取 [重新啟動同步]

此螢幕擷取畫面顯示代理程式設定頁面上的選項。

或者,您可以使用 Microsoft Graph 來重新啟動佈建工作。 您可以完全控制想要重新啟動的項目。 您可以選擇清除下列項目:

  • 第三方託管,來重新啟動用於計算累計隔離狀態的第三方託管計數器。
  • 隔離,來從隔離中移除應用程式。
  • 浮水印。

使用下列要求:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

修復雲端同步服務帳戶

如果您需要修復雲端同步服務帳戶,則可以使用 Repair-AADCloudSyncToolsAccount 命令。

  1. 安裝 AADCloudSyncTools PowerShell 模組

  2. 從具有系統管理權限的 PowerShell 工作階段中,輸入或複製並貼上下列內容:

    Connect-AADCloudSyncTools

  3. 輸入您的 Microsoft Entra 全域管理員認證。

  4. 輸入或複製並貼上下列內容:

    Repair-AADCloudSyncToolsAccount

  5. 完成此作業之後,就應該表示已成功修復帳戶。

密碼回寫

若要啟用密碼回寫,並將其與雲端同步搭配使用,則請記住下列事項:

  • 如果您需要更新 gMSA 權限,則最多可能需要一小時以上的時間,這些權限才會複寫至您目錄中的所有物件。 如果您未指派這些權限,則雖然看起來像已經正確設定回寫,但使用者可能會在透過雲端更新其內部部署密碼時遇到錯誤。 您必須將權限套用至 [此物件和所有子系物件],才會出現 [未到期密碼]
  • 如果某些使用者帳戶的密碼未寫回內部部署目錄,則請確定未停用內部部署 Active Directory Domain Services (AD DS) 環境中帳戶的繼承。 密碼的寫入權限必須套用至子系物件,功能才能正常運作。
  • 內部部署 AD DS 環境中的密碼原則可能會導致無法正確處理密碼重設。 如果您要測試此功能,而且想要一天多次重設使用者的密碼,則 [密碼最短使用期限] 群組原則必須設定為 0。 您可以在 gpmc.msc 的下列位置找到此設定:[電腦設定] > [原則] > [Windows 設定] > [安全性設定] > [帳戶原則]
    • 如果您更新群組原則,請等候更新原則進行複寫,或使用 gpupdate /force 命令。
    • 若要立即變更密碼,[密碼最短使用期限] 必須設定為 0。 不過,如果使用者遵循內部部署原則,而且 [密碼最短使用期限] 設定為大於 0 的值,則密碼回寫無法在評估內部部署原則之後運作。

下一步