Sdílet prostřednictvím


Řešení potíží se zřizováním místních aplikací

Řešení potíží s testovacím připojením

Po konfiguraci agenta zřizování a hostitele ECMA (Extensible Connectivity) je čas otestovat připojení ze služby Microsoft Entra provisioning k agentovi zřizování, hostiteli ECMA a aplikaci. Pokud chcete provést tento kompletní test, vyberte test připojení v aplikaci na webu Azure Portal. Před testováním připojení počkejte 10 až 20 minut po přiřazení počátečního agenta nebo změně agenta. Pokud se po této době testovací připojení nezdaří, vyzkoušejte následující kroky pro řešení potíží:

  1. Zkontrolujte, že je spuštěný agent a hostitel ECMA:

    1. Na serveru s nainstalovaným agentem otevřete služby tak, že přejdete na SpustitServices.msc>>.

    2. V části Služby se ujistěte, že jsou k dispozici agenta zřizování Microsoft Entra Connect a služby Microsoft ECMA2Host a jejich stav je spuštěný.

      Snímek obrazovky, který ukazuje, že je spuštěná služba ECMA

  2. Zkontrolujte, jestli hostitelská služba konektoru ECMA reaguje na požadavky.

    1. Na serveru s nainstalovaným agentem spusťte PowerShell.
    2. Přejděte do složky, ve které byl nainstalován hostitel ECMA, například C:\Program Files\Microsoft ECMA2Host.
    3. Přejděte do podadresáře Troubleshooting.
    4. Spusťte skript TestECMA2HostConnection.ps1 v daném adresáři. Po zobrazení výzvy zadejte jako argumenty název konektoru a token tajného kódu.
      PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1
      Supply values for the following parameters:
      ConnectorName: CORPDB1
      SecretToken: ************
      
    5. Tento skript odešle požadavek SCIM GET nebo POST, který ověří, že hostitel konektoru ECMA pracuje a reaguje na požadavky. Pokud se ve výstupu nezobrazí úspěšné připojení HTTP, zkontrolujte, jestli je služba spuštěná a jestli byl poskytnut správný token tajného kódu.
  3. Ujistěte se, že je agent aktivní, a to tak, že přejdete do vaší aplikace na webu Azure Portal, vyberete připojení správce, vyberete rozevírací seznam agenta a zajistíte, že je váš agent aktivní.

  4. Zkontrolujte, jestli je zadaný tajný token stejný jako místní tajný token. Přejděte do místního prostředí, zadejte token tajného kódu znovu a pak ho zkopírujte na web Azure Portal.

  5. Ujistěte se, že jste k aplikaci na webu Azure Portal přiřadili jednoho nebo více agentů.

  6. Po přiřazení agenta musíte počkat 10 až 20 minut, než se registrace dokončí. Test připojení nebude fungovat, dokud se registrace nedokončí.

  7. Ujistěte se, že používáte platný certifikát, jehož platnost nevypršela. Přejděte na kartu Nastavení hostitele ECMA a zobrazte datum vypršení platnosti certifikátu. Pokud vypršela platnost certifikátu, kliknutím Generate certificate vygenerujte nový certifikát.

  8. Restartujte agenta zřizování tak, že na virtuálním počítači přejdete na hlavní panel vyhledáním zřizovacího agenta Microsoft Entra Connect. Klikněte pravým tlačítkem myši na Zastavit a pak vyberte Spustit.

  9. Pokud se i po restartování hostitele konektoru ECMA a agenta zřizování stále zobrazuje The ECMA host is currently importing data from the target application a čeká se na dokončení počátečního importu, možná budete muset zrušit a začít s konfigurací zřizování pro aplikaci na webu Azure Portal.

  10. Když zadáte adresu URL tenanta na webu Azure Portal, ujistěte se, že se řídí následujícím vzorem. Název hostitele můžete nahradit localhost , ale není to nutné. Nahraďte connectorName názvem konektoru, který jste zadali v hostiteli ECMA. Chybová zpráva "neplatný prostředek" obecně značí, že adresa URL neodpovídá očekávanému formátu.

    https://localhost:8585/ecma2host_connectorName/scim
    
  11. Přejděte do následující složky a zkontrolujte protokoly agenta zřizování: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace

    1. Pokud se zobrazí následující chyba, přidejte účet služby NT SERVICE\AADConnectProvisioningAgent do místní skupiny s názvem Uživatelé protokolu výkonu. Tím se eliminuje chyba "Nelze inicializovat kolektor metriky" tím, že účtu povolíte přístup k požadovanému klíči registru: HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Perflib.
Unable to initialize metrics collector, exception: 'System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
  1. Při konfiguraci hostitele ECMA se ujistěte, že jste zadali certifikát s předmětem, který odpovídá názvu hostitele vašeho windows serveru. Certifikát vygenerovaný hostitelem ECMA to udělá automaticky, ale měl by se používat jenom pro účely testování.
Error code: SystemForCrossDomainIdentityManagementCredentialValidationUnavailable

Details: We received this unexpected response from your application: Received response from Web resource. Resource: https://localhost/Users?filter=PLACEHOLDER+eq+"8646d011-1693-4cd3-9ee6-0d7482ca2219" Operation: GET Response Status Code: InternalServerError Response Headers: Response Content: An error occurred while sending the request. Please check the service and try again.

Nejde nakonfigurovat hostitele ECMA, zobrazit protokoly v Prohlížeč událostí nebo spustit hostitelskou službu ECMA

Pokud chcete vyřešit následující problémy, spusťte průvodce konfigurací hostitele ECMA jako správce:

  • Při otevření průvodce hostitelem ECMA se zobrazí chyba.

    Snímek obrazovky znázorňující chybu průvodce ECMA

  • Můžu nakonfigurovat průvodce hostitelem ECMA, ale nemůžu zobrazit protokoly hostitelů ECMA. V takovém případě musíte otevřít průvodce konfigurací hostitele ECMA jako správce a nastavit konec konektoru. Tento krok můžete zjednodušit exportem existujícího konektoru a opětovným importem.

    Snímek obrazovky znázorňující protokoly hostitele

  • Můžu nakonfigurovat průvodce hostitelem ECMA, ale nemůžu spustit hostitelskou službu ECMA.

    Snímek obrazovky znázorňující hostitelskou službu

Zapnutí podrobného protokolování

Ve výchozím nastavení switchValue je hostitel konektoru ECMA nastavený na Verbosehodnotu . Toto nastavení vygeneruje podrobné protokolování, které vám pomůže s řešením problémů. Úroveň podrobností můžete změnit, Error pokud chcete omezit počet protokolů vygenerovaných pouze na chyby. Použití konektoru SQL bez integrovaného ověřování Systému Windows doporučujeme nastavit switchValue tak, aby Error se zajistilo, že se v protokolech nevygeneruje připojovací řetězec. Pokud chcete změnit úroveň podrobností na chybu, aktualizujte switchValue na obou místech hodnotu Chyba, jak je znázorněno níže.

Umístění souboru pro podrobné protokolování služby je C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.

<?xml version="1.0" encoding="utf-8"?> 
<configuration> 
    <startup>  
        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> 
    </startup> 
    <appSettings> 
      <add key="Debug" value="true" /> 
    </appSettings> 
    <system.diagnostics> 
      <sources> 
    <source name="ConnectorsLog" switchValue="Error"> 
          <listeners> 
            <add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack"> 
              <filter type=""/> 
            </add> 
          </listeners> 
        </source> 
        <!-- Choose one of the following switchTrace:  Off, Error, Warning, Information, Verbose --> 
        <source name="ECMA2Host" switchValue="Error"> 
          <listeners>  
            <add initializeData="ECMA2Host" type="System.Diagnos

Umístění souboru pro protokolování průvodce je C:\Program Files\Microsoft ECMA2Host\Wizard\Microsoft.ECMA2Host.ConfigWizard.exe.config.

      <source name="ConnectorsLog" switchValue="Error"> 
        <listeners> 
          <add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack"> 
            <filter type=""/> 
          </add> 
        </listeners> 
      </source> 
      <!-- Choose one of the following switchTrace:  Off, Error, Warning, Information, Verbose --> 
      <source name="ECMA2Host" switchValue="Error"> 
        <listeners> 
          <add initializeData="ECMA2Host" type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ECMA2HostListener" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack" /> 

Dotazování na mezipaměť hostitele ECMA

Hostitel ECMA má mezipaměť uživatelů ve vaší aplikaci, která se aktualizuje podle plánu, který zadáte na stránce vlastností průvodce hostitelem ECMA. Pokud chcete dotazovat mezipaměť, proveďte následující kroky:

  1. Nastavte příznak Ladění na truehodnotu .

    Mějte na paměti, že nastavení příznaku ladění tak, aby true zakázalo ověřování na hostiteli ECMA. Jakmile dokončíte dotazování mezipaměti, budete ho muset nastavit zpátky na false hostitelskou službu ECMA a restartovat ji.

    Umístění souboru pro podrobné protokolování služby je C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.

    <?xml version="1.0" encoding="utf-8"?>
    <configuration>
       <startup>  
           <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> 
       </startup> 
       <appSettings> 
         <add key="Debug" value="true" /> 
       </appSettings> 
    
    
  2. Microsoft ECMA2Host Restartujte službu.

  3. Počkejte, až se hostitel ECMA připojí k cílovým systémům a znovu načte mezipaměť z každého připojeného systému. Pokud v těchto připojených systémech existuje mnoho uživatelů, může tento proces importu trvat několik minut.

  4. Zadejte dotaz na tento koncový bod ze serveru, na který je nainstalovaný hostitel ECMA, a nahraďte {connector name} ho názvem vašeho konektoru zadaným na stránce vlastností hostitele ECMA: https://localhost:8585/ecma2host_{connectorName}/scim/cache

    1. Na serveru s nainstalovaným agentem spusťte PowerShell.
    2. Přejděte do složky, ve které byl nainstalován hostitel ECMA, například C:\Program Files\Microsoft ECMA2Host.
    3. Přejděte do podadresáře Troubleshooting.
    4. Spusťte skript TestECMA2HostConnection.ps1 v daném adresáři a zadejte jako argumenty název konektoru ObjectTypePath a hodnotu cache. Po zobrazení výzvy zadejte tajný token nakonfigurovaný pro tento konektor.
      PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 -ConnectorName CORPDB1 -ObjectTypePath cache
      Supply values for the following parameters:
      SecretToken: ************
      
    5. Tento skript odešle požadavek SCIM GET, který ověří, že hostitel konektoru ECMA pracuje a reaguje na požadavky. Pokud se ve výstupu nezobrazí úspěšné připojení HTTP, zkontrolujte, jestli je služba spuštěná a jestli byl poskytnut správný token tajného kódu.
  5. Jakmile dokončíte dotazování mezipaměti, nastavte příznak Ladění zpět false nebo ho odeberte.

  6. Microsoft ECMA2Host Restartujte službu.

Chybí cílový atribut.

Služba zřizování automaticky zjišťuje atributy v cílové aplikaci. Pokud vidíte, že v seznamu cílových atributů na webu Azure Portal chybí cílový atribut, proveďte následující krok řešení potíží:

  1. Zkontrolujte stránku Vybrat atributy konfigurace hostitele ECMA a zkontrolujte, jestli je atribut vybraný, aby byl zpřístupněn na webu Azure Portal.
  2. Ujistěte se, že je spuštěná hostitelská služba ECMA.
  3. Po přiřazení agentů k podnikové aplikaci proveďte testovací krok připojení a uložte přihlašovací údaje správce, aktualizujte prohlížeč. Tím se vynutí, aby služba zřizování vynutil požadavek /schemas a zjistil cílové atributy.
  4. Zkontrolujte protokoly hostitele ECMA a zkontrolujte, jestli byl proveden požadavek /schemas, a zkontrolujte atributy v odpovědi. Tyto informace budou užitečné pro podporu při řešení tohoto problému.

Shromažďování protokolů z Prohlížeč událostí jako souboru ZIP

Zahrnutý skript můžete použít k zachycení protokolů událostí v souboru ZIP a jejich exportu.

  1. Na serveru s nainstalovaným agentem klikněte pravým tlačítkem na PowerShell v nabídka Start a vyberte možnost Run as administrator.
  2. Přejděte do složky, ve které byl nainstalován hostitel ECMA, například C:\Program Files\Microsoft ECMA2Host.
  3. Přejděte do podadresáře Troubleshooting.
  4. Spusťte skript CollectTroubleshootingInfo.ps1 v daném adresáři.
  5. Skript vytvoří v daném adresáři soubor ZIP obsahující protokoly událostí.

Kontrola událostí v Prohlížeč událostí

Po nakonfigurování mapování schématu hostitele konektoru ECMA spusťte službu, aby naslouchala příchozím připojením. Pak monitorujte příchozí požadavky.

  1. Vyberte nabídku Start, zadejte prohlížeč událostí a vyberte Prohlížeč událostí.
  2. V Prohlížeč událostí rozbalte protokoly aplikací a služeb a vyberte Protokoly Microsoft ECMA2Host.
  3. Když hostitel konektoru přijímá změny, události se zapíšou do protokolu aplikace.

Běžné chyby

Chyba Rozlišení
Nelze načíst soubor nebo sestavení file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\Cache\8b514472-c18a-4641-9a44-732c296534e8\Microsoft.IAM.Connector.GenericSql.dll nebo jednu z jejích závislostí. Přístup byl zamítnut. Ujistěte se, že účet síťové služby má oprávnění k úplnému řízení složky mezipaměti. Pokud má účet oprávnění, ale .NET se pokouší vytvořit kopii knihovny DLL konektoru, může být nutné přidat knihovnu DLL do globální mezipaměti sestavení.
Neplatný styl LDAP názvu objektu. DN: username@domain.com" nebo Target Site: ValidByLdapStyle Ujistěte se, že na stránce připojení hostitele ECMA není zaškrtnuté políčko DN is Anchor. Ujistěte se, že je na stránce Typy objektů hostitele ECMA zaškrtnuté políčko Automaticky vygenerované. Další informace naleznete v tématu o atributech ukotvení a rozlišujících názvech.
ExportErrorCustomContinueRun. objectClass: Číslo hodnoty je neplatné pro každou syntaxi. Ujistěte se, že mapování atributu zřizování na objectClass atribut obsahuje pouze názvy tříd objektů rozpoznané adresářový server.

Vysvětlení příchozích požadavků SCIM

Požadavky od Microsoft Entra ID pro zřizovacího agenta a hostitele konektoru používají protokol SCIM. Požadavky od hostitele do aplikací používají protokol, který aplikace podporuje. Požadavky z hostitele na agenta do Microsoft Entra ID závisí na SCIM. Další informace o implementaci SCIM najdete v kurzu: Vývoj a plánování zřizování pro koncový bod SCIM v Microsoft Entra ID.

Služba zřizování Microsoft Entra obvykle provádí volání get-user ke kontrole fiktivního uživatele ve třech situacích: na začátku každého cyklu zřizování před provedením zřizování na vyžádání a při výběru testovacího připojení . Tato kontrola zajišťuje dostupnost cílového koncového bodu a vrácení odpovědí kompatibilních s SCIM do služby zřizování Microsoft Entra.

Návody řešení potíží s agentem zřizování?

Může docházet k následujícím scénářům chyb.

Agent se nepodařilo spustit

Může se zobrazit chybová zpráva s informacemi:

Nepodařilo se spustit službu Microsoft Entra Connect Provisioning Agent. Zkontrolujte, jestli máte dostatečná oprávnění ke spuštění systémových služeb.

Tento problém obvykle způsobuje zásada skupiny, která bránila použití oprávnění k místnímu přihlašovacímu účtu služby NT vytvořenému instalačním programem (NT SERVICE\AADConnectProvisioningAgent). Tato oprávnění se vyžadují ke spuštění služby.

Tento problém vyřešíte takto:

  1. Přihlaste se k serveru pomocí účtu správce.
  2. Otevřete služby tak, že na něj přejdete nebo přejdete na Spustit>Services.msc.>
  3. V části Služby poklikejte na agenta zřizování Microsoft Entra Connect.
  4. Na kartě Přihlásit se změňte tento účet na správce domény. Potom službu restartujte.

Tento test ověří, že vaši agenti můžou komunikovat s Azure přes port 443. Otevřete prohlížeč a přejděte na předchozí adresu URL ze serveru, na kterém je agent nainstalovaný.

Časový limit agenta nebo certifikát je neplatný.

Při pokusu o registraci agenta se může zobrazit následující chybová zpráva.

Snímek obrazovky znázorňující vypršení časového limitu agenta

Příčinou tohoto problému je obvykle to, že se agent nemůže připojit k hybridní službě identit a vyžaduje po vás konfiguraci proxy serveru HTTP. Pokud chcete tento problém vyřešit, nakonfigurujte odchozí proxy server.

Agent zřizování podporuje použití odchozího proxy serveru. Můžete ho nakonfigurovat úpravou konfiguračního souboru agenta C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Přidejte do něj následující řádky směrem ke konci souboru těsně před pravou </configuration> značku. Nahraďte proměnné [proxy-server] a [proxy-port] nahraďte názvem proxy serveru a hodnotami portů.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Selhání registrace agenta s chybou zabezpečení

Při instalaci agenta zřizování cloudu se může zobrazit chybová zpráva.

Tento problém obvykle způsobuje, že agent nemůže spustit registrační skripty PowerShellu kvůli místním zásadám spouštění PowerShellu.

Pokud chcete tento problém vyřešit, změňte zásady spouštění PowerShellu na serveru. Musíte mít zásady počítače a uživatele nastavené jako Nedefinované nebo RemoteSigned. Pokud jsou nastavené jako neomezené, zobrazí se tato chyba. Další informace najdete v tématu Zásady spouštění PowerShellu.

Soubory protokolu

Ve výchozím nastavení agent generuje minimální množství chybových zpráv a informací o trasování zásobníku. Protokoly trasování najdete ve složce C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Další informace o řešení potíží souvisejících s agenty:

  1. Nainstalujte modul PowerShellu AADCloudSyncTools , jak je popsáno v AADCloudSyncTools modulu PowerShellu pro synchronizaci cloudu Microsoft Entra Connect.

  2. K zachycení informací použijte rutinu Export-AADCloudSyncToolsLogs PowerShellu. Pomocí následujících přepínačů můžete doladit shromažďování dat. Použijte:

    • SkipVerboseTrace umožňuje exportovat pouze aktuální protokoly bez zachycení podrobných protokolů (výchozí hodnota = false).
    • TracingDurationMins k určení jiné doby trvání zachycení (výchozí hodnota = 3 minuty).
    • OutputPath k zadání jiné výstupní cesty (výchozí = dokumenty uživatele)

Pomocí ID Microsoft Entra můžete monitorovat službu zřizování v cloudu a shromažďovat protokoly místně. Služba zřizování generuje protokoly pro každého uživatele, který byl vyhodnocen jako součást procesu synchronizace. Tyto protokoly je možné využívat prostřednictvím uživatelského rozhraní webu Azure Portal, rozhraní API a log Analytics. Hostitel ECMA také generuje protokoly místně. Zobrazuje každý přijatý požadavek zřizování a odpověď, která byla odeslána na ID Microsoft Entra.

Instalace agenta selže

  • Tato chyba System.ComponentModel.Win32Exception: The specified service already exists značí, že předchozí hostitel ECMA byl neúspěšně odinstalován. Odinstalujte hostitelskou aplikaci. Přejděte do programových souborů a odeberte hostitelskou složku ECMA. Možná budete chtít uložit konfigurační soubor pro zálohování.

  • Následující chyba značí, že požadavek nebyl splněn. Ujistěte se, že máte nainstalované rozhraní .NET 4.7.1.

      Method Name : <>c__DisplayClass0_1 : 
      RegisterNotLoadedAssemblies Error during load assembly: System.Management.Automation.resources.dll
      --------- Outer Exception Data ---------
      Message: Could not load file or assembly 'file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\System.Management.Automation.resources.dll' or one of its dependencies. The system cannot find the file specified.
    
    

Při pokusu o konfiguraci hostitele konektoru ECMA s SQL se zobrazuje chyba DN typu Neplatný styl LDAP

Ve výchozím nastavení obecný konektor SQL očekává, že se dn naplní pomocí stylu LDAP (když atribut DN je ukotvený, zůstane na první stránce připojení nezaškrtnuto). V chybové zprávě Invalid LDAP style DN nebo Target Site: ValidByLdapStylese může zobrazit, že pole DN obsahuje hlavní název uživatele (UPN) místo typu DN protokolu LDAP, který konektor očekává.

Chcete-li tuto chybovou zprávu vyřešit, ujistěte se, že je při konfiguraci konektoru vybrána možnost Automaticky vygenerovaná na stránce typů objektů.

Další informace naleznete v tématu o atributech ukotvení a rozlišujících názvech.

Další kroky