針對未與 Microsoft Entra ID 同步處理的物件進行疑難排解
如果物件未如預期般與 Microsoft Entra ID 同步,可能是因為數個原因。 如果您收到來自 Microsoft Entra ID 的錯誤電子郵件,或您在 Microsoft Entra 連線 Health 中看到錯誤,請改為在同步 處理期間讀取 疑難排解錯誤。 但是,如果您要針對物件不在 Microsoft Entra ID 中的問題進行疑難排解,本文就適合您。 它描述如何在內部部署元件 Microsoft Entra 連線同步處理中尋找錯誤。
重要
針對具有 1.1.749.0 版或更高版本的 Microsoft Entra 連線部署,請使用 精靈中的疑難排解工作 來針對物件同步問題進行疑難排解。
同步處理常式
在調查同步處理問題之前,讓我們先瞭解 Microsoft Entra 連線同步處理常式:
詞彙
- CS: 連線or 空間,資料庫中的資料表
- MV: Metaverse,資料庫中的資料表
同步處理步驟
同步處理常式牽涉到下列步驟:
從 AD 匯入: Active Directory 物件會帶入 Active Directory CS。
從 Microsoft Entra 識別碼匯入: Microsoft Entra 物件會帶入 Microsoft Entra CS。
同步處理: 輸入同步處理規則和輸出同步處理規則會依優先順序循序執行,從較低到更高。 若要檢視同步處理規則,請從傳統型應用程式移至同步處理規則編輯器。 輸入同步處理規則會將資料從 CS 帶入 MV。 輸出同步處理規則會將資料從 MV 移至 CS。
匯出至 AD: 同步處理之後,物件會從 Active Directory CS 匯出至 Active Directory。
匯出至 Microsoft Entra 識別碼: 同步處理之後,物件會從 Microsoft Entra CS 匯出至 Microsoft Entra ID。
疑難排解
若要尋找錯誤,請依下列順序查看幾個不同的位置:
- 作業 會記錄 ,以在匯入和同步處理期間尋找同步處理引擎所識別的錯誤。
- 尋找 遺漏物件和同步處理錯誤的連接器空間 。
- 尋找 資料相關問題的 Metaverse 。
開始這些步驟之前,請先啟動 Synchronization Service Manager 。
Operations
Synchronization Service Manager 中的 [ 作業] 索引標籤是您應該開始疑難排解的位置。 此索引標籤會顯示最新作業的結果。
[作業 ] 索引標籤的 上半部會依時間順序顯示所有執行。 根據預設,作業記錄會保留過去七天的相關資訊,但此設定可以使用排程器 來變更 。 尋找未顯示 成功 狀態的任何執行。 您可以按一下標頭來變更排序。
[狀態 ] 資料 行包含最重要的資訊,並顯示執行的最嚴重問題。 以下是調查優先順序最常見的狀態快速摘要(其中 * 表示數個可能的錯誤字串)。
| 狀態 | 註解 |
|---|---|
| 停止-* | 執行無法完成。 例如,如果遠端系統已關閉且無法連絡,就可能會發生這種情況。 |
| stopped-error-limit | 錯誤超過 5,000 個。 因為發生大量錯誤,所以會自動停止執行。 |
| completed-*-errors | 回合已完成,但應該調查的錯誤(少於 5,000 個)。 |
| completed-*-warnings | 執行已完成,但某些資料未處於預期狀態。 如果您有錯誤,此訊息通常只是徵兆。 在您解決錯誤之前,請勿調查警告。 |
| success | 沒有問題。 |
當您選取資料列時,[作業 ] 索引標籤底部 會更新以顯示該執行的詳細資料。 在此區域最左邊,您可能會有標題為 [步驟] 的清單 # 。 只有在樹系中有多個網域,且每個網域都以步驟表示時,才會顯示此清單。 您可以在 [分割 區] 標題 下找到功能變數名稱。 在 [ 同步處理統計資料 ] 標題下,您可以找到已處理之變更數目的詳細資訊。 選取連結以取得已變更物件的清單。 如果您有發生錯誤的物件,這些錯誤會顯示在 [同步處理錯誤 ] 標題底下。
作業索引標籤上的錯誤
當您發生錯誤時,Synchronization Service Manager 會將錯誤中的 物件和錯誤本身顯示為提供詳細資訊的連結。
從選取錯誤字串開始。 (在上圖中,錯誤字串為 sync-rule-error-function-triggered 。)您首先會看到 物件的概觀。 若要查看實際錯誤,請選取 [堆疊追蹤 ]。 此追蹤會提供錯誤的偵錯層級資訊。
以滑鼠右鍵按一下 [ 呼叫堆疊資訊] 方塊,按一下 [ 全 選],然後選取 [ 複製 ]。 然後複製堆疊並查看您最愛編輯器中的錯誤,例如記事本。
如果錯誤來自 SyncRulesEngine ,呼叫堆疊資訊會先列出物件上的所有屬性。 向下捲動,直到您看到標題 InnerException = > 。
標題後面的行會顯示錯誤。 在上圖中,錯誤來自 Fabrikam 建立的自訂同步處理規則。
如果錯誤沒有提供足夠的資訊,是時候查看資料本身了。 選取具有物件識別碼的連結,並繼續針對連接器空間匯入的物件 進行疑難排解 。
連線or space 物件屬性
如果 [ 作業] 索引標籤未顯示任何錯誤,請遵循從 Active Directory 到 Metaverse 到 Microsoft Entra ID 的連接器空間物件。 在此路徑中,您應該會找出問題所在之處。
在 CS 中搜尋物件
在 [同步處理服務管理員] 中,選取 [連線ors ]、選取 [Active Directory 連線or],然後選取 [ 搜尋連線or 空間 ]。
在 [ 範圍 ] 方塊中,當您想要搜尋 CN 屬性時,請選取 [RDN ],或選取 [DN] 或 [錨點 ] 以搜尋 distinguishedName 屬性。 輸入值,然後選取 [搜尋 ]。
如果您找不到您要尋找的物件,可能已使用 網域型篩選 或 OU 型篩選來篩選 。 若要確認篩選已如預期般設定,請閱讀 Microsoft Entra 連線 Sync:設定篩選 。
您可以選取 Microsoft Entra 連線or 來執行另一個有用的搜尋。 在 [ 範圍] 方塊中,選取 [擱置匯入 ],然後選取 [ 新增 ] 核取方塊。 此搜尋會提供 Microsoft Entra ID 中無法與內部部署物件相關聯的所有同步物件。
這些物件是由另一個同步處理引擎或具有不同篩選組態的同步處理引擎所建立。 這些孤立物件不再受到管理。 檢閱此清單,並考慮使用 Microsoft Graph PowerShell Cmdlet 移除這些物件。
CS 匯入
當您開啟 CS 物件時,頂端有數個索引標籤。 [匯 入] 索引 標籤會顯示匯入之後暫存的資料。
[舊值] 資料 行會顯示目前儲存在連線的內容,[ 新增值 ] 資料行會顯示從來源系統接收的內容,但尚未套用。 如果物件發生錯誤,則不會處理變更。
只有在物件發生問題時,[同步處理錯誤 ] 索引標籤才會顯示在 [連線or Space 物件屬性 ] 視窗中。 如需詳細資訊,請檢閱如何在 [ 作業 ] 索引標籤上針對同步處理錯誤進行疑難排解。
CS 譜系
[連線or Space 物件屬性 ] 視窗中的 [譜系] 索引標籤會顯示連接器空間物件與 Metaverse 物件相關的方式。 您可以看到連接器上次從連接的系統匯入變更,以及套用哪些規則以填入 Metaverse 中的資料。
在上圖中, [動作] 資料 行會顯示具有 「布 建」動作 的輸入同步處理規則。 這表示只要此連接器空間物件存在,Metaverse 物件就會保留。 如果同步處理規則清單改為顯示具有 Provision 動作的輸出同步處理規則,則會在刪除 Metaverse 物件時刪除此物件。
在上圖中,您也可以在 PasswordSync 資料行中看到 輸入連接器空間可能會對密碼造成變更,因為一個同步處理規則的值 為 True 。 此密碼會透過輸出規則傳送至 Microsoft Entra ID。
從 [ 譜系] 索引標籤 中,您可以選取 [Metaverse 物件屬性 ] 來移至 Metaverse。
預覽
在 [連線or Space 物件屬性 ] 視窗的左下角 是 [ 預覽 ] 按鈕。 選取此按鈕以開啟 [預覽 ] 頁面,您可以在其中同步處理單一物件。 如果您要針對某些自訂同步處理規則進行疑難排解,而且想要查看變更對單一物件的影響,此頁面會很有用。 您可以選取 [完整同步處理 ] 或 [差異同步]。 您也可以選取 [ 產生預覽 ],這只會保留記憶體中的變更。 或選取 [ 認可預覽 ],以更新 Metaverse 並階段所有目標連接器空間的變更。
在預覽中,您可以檢查物件,並查看套用給特定屬性流程的規則。
記錄
在 [ 預覽] 按鈕旁,選取 [ 記錄] 按鈕以開啟 [ 記錄 ] 頁面。 您可以在這裡看到密碼同步狀態和歷程記錄。 如需詳細資訊,請參閱 使用 Microsoft Entra 連線 Sync 針對密碼雜湊同步處理進行疑難排解。
Metaverse 物件屬性
通常最好從來源 Active Directory 連接器空間開始搜尋。 但您也可以從 Metaverse 開始搜尋。
在 MV 中搜尋物件
在 [同步處理服務管理員] 中,選取 [Metaverse 搜尋 ],如下圖所示。 建立您知道找到使用者的查詢。 搜尋常見的屬性,例如 accountName ( sAMAccountName ) 和 userPrincipalName 。 如需詳細資訊,請參閱 Sync Service Manager Metaverse 搜尋 。
在 [ 搜尋結果] 視窗中,按一下 物件。
如果您找不到物件,則尚未到達 Metaverse。 繼續搜尋 Active Directory 連接器空間 中的 物件。 如果您在 Active Directory 連接器空間中找到物件,可能會發生同步錯誤,導致物件無法進入 Metaverse,或套用同步處理規則範圍篩選。
MV 中找不到物件
如果物件位於 Active Directory CS 中,但不存在於 MV 中,則會套用範圍篩選準則。 若要查看範圍篩選器,請移至桌面應用程式功能表,然後選取 [ 同步處理規則編輯器 ]。 藉由調整下列篩選準則來篩選適用于物件的規則。
檢視上述清單中的每個規則,並檢查 範圍篩選 條件。 在下列範圍篩選中,如果 isCriticalSystemObject 值為 null 或 FALSE 或空白,則會在範圍內。
移至 [CS 匯 入] 屬性清單,並檢查哪一個篩選會封鎖物件移至 MV。 連線or Space 屬性清單只會顯示非 Null 和非空白屬性。 例如,如果 isCriticalSystemObject 未顯示在清單中,則此屬性的值為 Null 或空白。
Microsoft Entra CS 中找不到物件
如果物件不存在於 Microsoft Entra ID 的連接器空間中,但存在於 MV 中,請查看對應連接器空間輸出規則的範圍篩選,並找出物件是否因為 MV 屬性 不符合準則而篩選掉 。
若要查看輸出範圍篩選準則,請藉由調整下列篩選來選取物件的適用規則。 檢視每個規則,並查看對應的 MV 屬性值 。
MV 屬性
在 [ 屬性] 索引 標籤上,您可以看到值,以及哪些連接器貢獻它們。
如果物件未同步處理,請在 Metaverse 中詢問下列有關屬性狀態的問題:
- cloudFiltered 屬性 是否存在並設定為 True ? 如果是,則會根據屬性型篩選 中的 步驟進行篩選。
- 屬性 sourceAnchor 是否存在? 如果沒有,您是否有帳戶資源樹系拓撲? 如果物件識別為連結信箱(屬性 msExchRecipientTypeDetails 具有值 2 ), sourceAnchor 是由具有已啟用 Active Directory 帳戶的樹系所貢獻。 請確定主帳戶已正確匯入並同步處理。 主帳戶必須列在 物件的連接器 中 。
MV 連接器
[ 連線ors] 索引 標籤會顯示具有 物件標記法的所有連接器空間。
您應該要有連接器:
- 使用者所代表的每個 Active Directory 樹系。 此標記法可以包含 foreignSecurityPrincipals 和 Contact 物件。
- Microsoft Entra 識別碼中的連接器。
如果您缺少 Microsoft Entra 識別碼的連接器,請檢閱 MV 屬性 上的 區段,以確認布建至 Microsoft Entra ID 的準則。
您也可以從 [連線ors] 索引 標籤移至 連接器空間物件 。 選取資料列,然後按一下 [ 屬性 ]。
下一步
- 深入瞭解 Microsoft Entra 連線 Sync 。
- 深入瞭解 混合式身分識別 。