Řešení potíží se zřizováním místních aplikací
Řešení potíží s testovacím připojením
Po konfiguraci agenta zřizování a hostitele ECMA (Extensible Connectivity) je čas otestovat připojení ze služby Microsoft Entra provisioning k agentovi zřizování, hostiteli ECMA a aplikaci. Pokud chcete provést tento kompletní test, vyberte test připojení v aplikaci na webu Azure Portal. Před testováním připojení počkejte 10 až 20 minut po přiřazení počátečního agenta nebo změně agenta. Pokud se po této době testovací připojení nezdaří, vyzkoušejte následující kroky pro řešení potíží:
Zkontrolujte, že je spuštěný agent a hostitel ECMA:
Na serveru s nainstalovaným agentem otevřete služby tak, že přejdete na SpustitServices.msc>>.
V části Služby se ujistěte, že jsou k dispozici agenta zřizování Microsoft Entra Connect a služby Microsoft ECMA2Host a jejich stav je spuštěný.
Zkontrolujte, jestli hostitelská služba konektoru ECMA reaguje na požadavky.
- Na serveru s nainstalovaným agentem spusťte PowerShell.
- Přejděte do složky, ve které byl nainstalován hostitel ECMA, například
C:\Program Files\Microsoft ECMA2Host
. - Přejděte do podadresáře
Troubleshooting
. - Spusťte skript
TestECMA2HostConnection.ps1
v daném adresáři. Po zobrazení výzvy zadejte jako argumenty název konektoru a token tajného kódu.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 Supply values for the following parameters: ConnectorName: CORPDB1 SecretToken: ************
- Tento skript odešle požadavek SCIM GET nebo POST, který ověří, že hostitel konektoru ECMA pracuje a reaguje na požadavky. Pokud se ve výstupu nezobrazí úspěšné připojení HTTP, zkontrolujte, jestli je služba spuštěná a jestli byl poskytnut správný token tajného kódu.
Ujistěte se, že je agent aktivní, a to tak, že přejdete do vaší aplikace na webu Azure Portal, vyberete připojení správce, vyberete rozevírací seznam agenta a zajistíte, že je váš agent aktivní.
Zkontrolujte, jestli je zadaný tajný token stejný jako místní tajný token. Přejděte do místního prostředí, zadejte token tajného kódu znovu a pak ho zkopírujte na web Azure Portal.
Ujistěte se, že jste k aplikaci na webu Azure Portal přiřadili jednoho nebo více agentů.
Po přiřazení agenta musíte počkat 10 až 20 minut, než se registrace dokončí. Test připojení nebude fungovat, dokud se registrace nedokončí.
Ujistěte se, že používáte platný certifikát, jehož platnost nevypršela. Přejděte na kartu Nastavení hostitele ECMA a zobrazte datum vypršení platnosti certifikátu. Pokud vypršela platnost certifikátu, kliknutím
Generate certificate
vygenerujte nový certifikát.Restartujte agenta zřizování tak, že na virtuálním počítači přejdete na hlavní panel vyhledáním zřizovacího agenta Microsoft Entra Connect. Klikněte pravým tlačítkem myši na Zastavit a pak vyberte Spustit.
Pokud se i po restartování hostitele konektoru ECMA a agenta zřizování stále zobrazuje
The ECMA host is currently importing data from the target application
a čeká se na dokončení počátečního importu, možná budete muset zrušit a začít s konfigurací zřizování pro aplikaci na webu Azure Portal.Když zadáte adresu URL tenanta na webu Azure Portal, ujistěte se, že se řídí následujícím vzorem. Název hostitele můžete nahradit
localhost
, ale není to nutné. NahraďteconnectorName
názvem konektoru, který jste zadali v hostiteli ECMA. Chybová zpráva "neplatný prostředek" obecně značí, že adresa URL neodpovídá očekávanému formátu.https://localhost:8585/ecma2host_connectorName/scim
Přejděte do následující složky a zkontrolujte protokoly agenta zřizování: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace
- Pokud se zobrazí následující chyba, přidejte účet služby NT SERVICE\AADConnectProvisioningAgent do místní skupiny s názvem Uživatelé protokolu výkonu. Tím se eliminuje chyba "Nelze inicializovat kolektor metriky" tím, že účtu povolíte přístup k požadovanému klíči registru: HKLM\SOFTWARE\Microsoft\systém Windows NT\CurrentVersion\Perflib.
Unable to initialize metrics collector, exception: 'System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
- Při konfiguraci hostitele ECMA se ujistěte, že jste zadali certifikát s předmětem, který odpovídá názvu hostitele vašeho windows serveru. Certifikát vygenerovaný hostitelem ECMA to udělá automaticky, ale měl by se používat jenom pro účely testování.
Error code: SystemForCrossDomainIdentityManagementCredentialValidationUnavailable
Details: We received this unexpected response from your application: Received response from Web resource. Resource: https://localhost/Users?filter=PLACEHOLDER+eq+"8646d011-1693-4cd3-9ee6-0d7482ca2219" Operation: GET Response Status Code: InternalServerError Response Headers: Response Content: An error occurred while sending the request. Please check the service and try again.
Nejde nakonfigurovat hostitele ECMA, zobrazit protokoly v Prohlížeč událostí nebo spustit hostitelskou službu ECMA
Pokud chcete vyřešit následující problémy, spusťte průvodce konfigurací hostitele ECMA jako správce:
Při otevření průvodce hostitelem ECMA se zobrazí chyba.
Můžu nakonfigurovat průvodce hostitelem ECMA, ale nemůžu zobrazit protokoly hostitelů ECMA. V takovém případě musíte otevřít průvodce konfigurací hostitele ECMA jako správce a nastavit konec konektoru. Tento krok můžete zjednodušit exportem existujícího konektoru a opětovným importem.
Můžu nakonfigurovat průvodce hostitelem ECMA, ale nemůžu spustit hostitelskou službu ECMA.
Zapnutí podrobného protokolování
Ve výchozím nastavení switchValue
je hostitel konektoru ECMA nastavený na Verbose
hodnotu . Toto nastavení vygeneruje podrobné protokolování, které vám pomůže s řešením problémů. Úroveň podrobností můžete změnit, Error
pokud chcete omezit počet protokolů vygenerovaných pouze na chyby. Použití konektoru SQL bez integrovaného ověřování Systému Windows doporučujeme nastavit switchValue
tak, aby Error
se zajistilo, že se v protokolech nevygeneruje připojovací řetězec. Pokud chcete změnit úroveň podrobností na chybu, aktualizujte switchValue
na obou místech hodnotu Chyba, jak je znázorněno níže.
Umístění souboru pro podrobné protokolování služby je C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<startup>
<supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />
</startup>
<appSettings>
<add key="Debug" value="true" />
</appSettings>
<system.diagnostics>
<sources>
<source name="ConnectorsLog" switchValue="Error">
<listeners>
<add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack">
<filter type=""/>
</add>
</listeners>
</source>
<!-- Choose one of the following switchTrace: Off, Error, Warning, Information, Verbose -->
<source name="ECMA2Host" switchValue="Error">
<listeners>
<add initializeData="ECMA2Host" type="System.Diagnos
Umístění souboru pro protokolování průvodce je C:\Program Files\Microsoft ECMA2Host\Wizard\Microsoft.ECMA2Host.ConfigWizard.exe.config.
<source name="ConnectorsLog" switchValue="Error">
<listeners>
<add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack">
<filter type=""/>
</add>
</listeners>
</source>
<!-- Choose one of the following switchTrace: Off, Error, Warning, Information, Verbose -->
<source name="ECMA2Host" switchValue="Error">
<listeners>
<add initializeData="ECMA2Host" type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ECMA2HostListener" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack" />
Dotazování na mezipaměť hostitele ECMA
Hostitel ECMA má mezipaměť uživatelů ve vaší aplikaci, která se aktualizuje podle plánu, který zadáte na stránce vlastností průvodce hostitelem ECMA. Pokud chcete dotazovat mezipaměť, proveďte následující kroky:
Nastavte příznak Ladění na
true
hodnotu .Mějte na paměti, že nastavení příznaku ladění tak, aby
true
zakázalo ověřování na hostiteli ECMA. Jakmile dokončíte dotazování mezipaměti, budete ho muset nastavit zpátky nafalse
hostitelskou službu ECMA a restartovat ji.Umístění souboru pro podrobné protokolování služby je
C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config
.<?xml version="1.0" encoding="utf-8"?> <configuration> <startup> <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> </startup> <appSettings> <add key="Debug" value="true" /> </appSettings>
Microsoft ECMA2Host
Restartujte službu.Počkejte, až se hostitel ECMA připojí k cílovým systémům a znovu načte mezipaměť z každého připojeného systému. Pokud v těchto připojených systémech existuje mnoho uživatelů, může tento proces importu trvat několik minut.
Zadejte dotaz na tento koncový bod ze serveru, na který je nainstalovaný hostitel ECMA, a nahraďte
{connector name}
ho názvem vašeho konektoru zadaným na stránce vlastností hostitele ECMA:https://localhost:8585/ecma2host_{connectorName}/scim/cache
- Na serveru s nainstalovaným agentem spusťte PowerShell.
- Přejděte do složky, ve které byl nainstalován hostitel ECMA, například
C:\Program Files\Microsoft ECMA2Host
. - Přejděte do podadresáře
Troubleshooting
. - Spusťte skript
TestECMA2HostConnection.ps1
v daném adresáři a zadejte jako argumenty název konektoruObjectTypePath
a hodnotucache
. Po zobrazení výzvy zadejte tajný token nakonfigurovaný pro tento konektor.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 -ConnectorName CORPDB1 -ObjectTypePath cache Supply values for the following parameters: SecretToken: ************
- Tento skript odešle požadavek SCIM GET, který ověří, že hostitel konektoru ECMA pracuje a reaguje na požadavky. Pokud se ve výstupu nezobrazí úspěšné připojení HTTP, zkontrolujte, jestli je služba spuštěná a jestli byl poskytnut správný token tajného kódu.
Jakmile dokončíte dotazování mezipaměti, nastavte příznak Ladění zpět
false
nebo ho odeberte.Microsoft ECMA2Host
Restartujte službu.
Chybí cílový atribut.
Služba zřizování automaticky zjišťuje atributy v cílové aplikaci. Pokud vidíte, že v seznamu cílových atributů na webu Azure Portal chybí cílový atribut, proveďte následující krok řešení potíží:
- Zkontrolujte stránku Vybrat atributy konfigurace hostitele ECMA a zkontrolujte, jestli je atribut vybraný, aby byl zpřístupněn na webu Azure Portal.
- Ujistěte se, že je spuštěná hostitelská služba ECMA.
- Po přiřazení agentů k podnikové aplikaci proveďte testovací krok připojení a uložte přihlašovací údaje správce, aktualizujte prohlížeč. Tím se vynutí, aby služba zřizování vynutil požadavek /schemas a zjistil cílové atributy.
- Zkontrolujte protokoly hostitele ECMA a zkontrolujte, jestli byl proveden požadavek /schemas, a zkontrolujte atributy v odpovědi. Tyto informace budou užitečné pro podporu při řešení tohoto problému.
Shromažďování protokolů z Prohlížeč událostí jako souboru ZIP
Zahrnutý skript můžete použít k zachycení protokolů událostí v souboru ZIP a jejich exportu.
- Na serveru s nainstalovaným agentem klikněte pravým tlačítkem na PowerShell v nabídka Start a vyberte možnost
Run as administrator
. - Přejděte do složky, ve které byl nainstalován hostitel ECMA, například
C:\Program Files\Microsoft ECMA2Host
. - Přejděte do podadresáře
Troubleshooting
. - Spusťte skript
CollectTroubleshootingInfo.ps1
v daném adresáři. - Skript vytvoří v daném adresáři soubor ZIP obsahující protokoly událostí.
Kontrola událostí v Prohlížeč událostí
Po nakonfigurování mapování schématu hostitele konektoru ECMA spusťte službu, aby naslouchala příchozím připojením. Pak monitorujte příchozí požadavky.
- Vyberte nabídku Start, zadejte prohlížeč událostí a vyberte Prohlížeč událostí.
- V Prohlížeč událostí rozbalte protokoly aplikací a služeb a vyberte Protokoly Microsoft ECMA2Host.
- Když hostitel konektoru přijímá změny, události se zapíšou do protokolu aplikace.
Běžné chyby
Chyba | Rozlišení |
---|---|
Nelze načíst soubor nebo sestavení file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\Cache\8b514472-c18a-4641-9a44-732c296534e8\Microsoft.IAM.Connector.GenericSql.dll nebo jednu z jejích závislostí. Přístup byl zamítnut. | Ujistěte se, že účet síťové služby má oprávnění k úplnému řízení složky mezipaměti. Pokud má účet oprávnění, ale .NET se pokouší vytvořit kopii knihovny DLL konektoru, může být nutné přidat knihovnu DLL do globální mezipaměti sestavení. |
Neplatný styl LDAP názvu objektu. DN: username@domain.com" nebo Target Site: ValidByLdapStyle |
Ujistěte se, že na stránce připojení hostitele ECMA není zaškrtnuté políčko DN is Anchor. Ujistěte se, že je na stránce Typy objektů hostitele ECMA zaškrtnuté políčko Automaticky vygenerované. Další informace naleznete v tématu o atributech ukotvení a rozlišujících názvech. |
ExportErrorCustomContinueRun. objectClass: Číslo hodnoty je neplatné pro každou syntaxi. | Ujistěte se, že mapování atributu zřizování na objectClass atribut obsahuje pouze názvy tříd objektů rozpoznané adresářový server. |
Vysvětlení příchozích požadavků SCIM
Požadavky od Microsoft Entra ID pro zřizovacího agenta a hostitele konektoru používají protokol SCIM. Požadavky od hostitele do aplikací používají protokol, který aplikace podporuje. Požadavky z hostitele na agenta do Microsoft Entra ID závisí na SCIM. Další informace o implementaci SCIM najdete v kurzu: Vývoj a plánování zřizování pro koncový bod SCIM v Microsoft Entra ID.
Služba zřizování Microsoft Entra obvykle provádí volání get-user ke kontrole fiktivního uživatele ve třech situacích: na začátku každého cyklu zřizování před provedením zřizování na vyžádání a při výběru testovacího připojení . Tato kontrola zajišťuje dostupnost cílového koncového bodu a vrácení odpovědí kompatibilních s SCIM do služby zřizování Microsoft Entra.
Návody řešení potíží s agentem zřizování?
Může docházet k následujícím scénářům chyb.
Agent se nepodařilo spustit
Může se zobrazit chybová zpráva s informacemi:
Nepodařilo se spustit službu Microsoft Entra Connect Provisioning Agent. Zkontrolujte, jestli máte dostatečná oprávnění ke spuštění systémových služeb.
Tento problém obvykle způsobuje zásada skupiny, která bránila použití oprávnění k místnímu přihlašovacímu účtu služby NT vytvořenému instalačním programem (NT SERVICE\AADConnectProvisioningAgent). Tato oprávnění se vyžadují ke spuštění služby.
Tento problém vyřešíte takto:
- Přihlaste se k serveru pomocí účtu správce.
- Otevřete služby tak, že na něj přejdete nebo přejdete na Spustit>Services.msc.>
- V části Služby poklikejte na agenta zřizování Microsoft Entra Connect.
- Na kartě Přihlásit se změňte tento účet na správce domény. Potom službu restartujte.
Tento test ověří, že vaši agenti můžou komunikovat s Azure přes port 443. Otevřete prohlížeč a přejděte na předchozí adresu URL ze serveru, na kterém je agent nainstalovaný.
Časový limit agenta nebo certifikát je neplatný.
Při pokusu o registraci agenta se může zobrazit následující chybová zpráva.
Příčinou tohoto problému je obvykle to, že se agent nemůže připojit k hybridní službě identit a vyžaduje po vás konfiguraci proxy serveru HTTP. Pokud chcete tento problém vyřešit, nakonfigurujte odchozí proxy server.
Agent zřizování podporuje použití odchozího proxy serveru. Můžete ho nakonfigurovat úpravou konfiguračního souboru agenta C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Přidejte do něj následující řádky směrem ke konci souboru těsně před pravou </configuration>
značku.
Nahraďte proměnné [proxy-server]
a [proxy-port]
nahraďte názvem proxy serveru a hodnotami portů.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Selhání registrace agenta s chybou zabezpečení
Při instalaci agenta zřizování cloudu se může zobrazit chybová zpráva.
Tento problém obvykle způsobuje, že agent nemůže spustit registrační skripty PowerShellu kvůli místním zásadám spouštění PowerShellu.
Pokud chcete tento problém vyřešit, změňte zásady spouštění PowerShellu na serveru. Musíte mít zásady počítače a uživatele nastavené jako Nedefinované nebo RemoteSigned. Pokud jsou nastavené jako neomezené, zobrazí se tato chyba. Další informace najdete v tématu Zásady spouštění PowerShellu.
Soubory protokolu
Ve výchozím nastavení agent generuje minimální množství chybových zpráv a informací o trasování zásobníku. Protokoly trasování najdete ve složce C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.
Další informace o řešení potíží souvisejících s agenty:
Nainstalujte modul PowerShellu
AADCloudSyncTools
, jak je popsáno vAADCloudSyncTools
modulu PowerShellu pro synchronizaci cloudu Microsoft Entra Connect.K zachycení informací použijte rutinu
Export-AADCloudSyncToolsLogs
PowerShellu. Pomocí následujících přepínačů můžete doladit shromažďování dat. Použijte:- SkipVerboseTrace umožňuje exportovat pouze aktuální protokoly bez zachycení podrobných protokolů (výchozí hodnota = false).
- TracingDurationMins k určení jiné doby trvání zachycení (výchozí hodnota = 3 minuty).
- OutputPath k zadání jiné výstupní cesty (výchozí = dokumenty uživatele)
Pomocí ID Microsoft Entra můžete monitorovat službu zřizování v cloudu a shromažďovat protokoly místně. Služba zřizování generuje protokoly pro každého uživatele, který byl vyhodnocen jako součást procesu synchronizace. Tyto protokoly je možné využívat prostřednictvím uživatelského rozhraní webu Azure Portal, rozhraní API a log Analytics. Hostitel ECMA také generuje protokoly místně. Zobrazuje každý přijatý požadavek zřizování a odpověď, která byla odeslána na ID Microsoft Entra.
Instalace agenta selže
Tato chyba
System.ComponentModel.Win32Exception: The specified service already exists
značí, že předchozí hostitel ECMA byl neúspěšně odinstalován. Odinstalujte hostitelskou aplikaci. Přejděte do programových souborů a odeberte hostitelskou složku ECMA. Možná budete chtít uložit konfigurační soubor pro zálohování.Následující chyba značí, že požadavek nebyl splněn. Ujistěte se, že máte nainstalované rozhraní .NET 4.7.1.
Method Name : <>c__DisplayClass0_1 : RegisterNotLoadedAssemblies Error during load assembly: System.Management.Automation.resources.dll --------- Outer Exception Data --------- Message: Could not load file or assembly 'file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\System.Management.Automation.resources.dll' or one of its dependencies. The system cannot find the file specified.
Při pokusu o konfiguraci hostitele konektoru ECMA s SQL se zobrazuje chyba DN typu Neplatný styl LDAP
Ve výchozím nastavení obecný konektor SQL očekává, že se dn naplní pomocí stylu LDAP (když atribut DN je ukotvený, zůstane na první stránce připojení nezaškrtnuto). V chybové zprávě Invalid LDAP style DN
nebo Target Site: ValidByLdapStyle
se může zobrazit, že pole DN obsahuje hlavní název uživatele (UPN) místo typu DN protokolu LDAP, který konektor očekává.
Chcete-li tuto chybovou zprávu vyřešit, ujistěte se, že je při konfiguraci konektoru vybrána možnost Automaticky vygenerovaná na stránce typů objektů.
Další informace naleznete v tématu o atributech ukotvení a rozlišujících názvech.