Sdílet prostřednictvím

Řešení potíží se synchronizací cloudu

  • Článek

Synchronizace cloudu má mnoho různých závislostí a interakcí, což může vést k různým problémům. Tento článek vám pomůže tyto problémy vyřešit. Představuje typické oblasti, na které se můžete zaměřit, jak shromáždit další informace a různé techniky, které můžete použít ke sledování problémů.

Problémy s agenty

Při řešení potíží s agentem ověříte, zda byl agent správně nainstalován a že komunikuje s Microsoft Entra ID. Konkrétně některé z prvních věcí, které chcete ověřit u agenta, jsou:

  • Je nainstalovaná?
  • Běží agent lokálně?
  • Je agent na portálu?
  • Je agent označený jako v pořádku?

Tyto položky můžete ověřit na portálu a na místním serveru, na kterém běží agent.

Ověření agenta centra pro správu Microsoft Entra

Pokud chcete ověřit, že Azure zjistí agenta a že je agent v pořádku, postupujte takto:

  1. Přihlaste se do centra pro správu Microsoft Entra jako alespoň Hybrid Administrator.
  2. Přejděte na Identity>Hybridní správa>Microsoft Entra Connect>Cloud sync. Snímek obrazovky domovské stránky synchronizace cloudu
  1. Vyberte cloudovou synchronizaci.
  2. Měli byste vidět agenty, které jste nainstalovali. Ověřte, že existuje příslušný agent. Pokud je všechno v pořádku, zobrazí se pro agenta aktivní (zelený) stav.

Ověření požadovaných otevřených portů

Ověřte, že agent zřizování Microsoft Entra dokáže úspěšně komunikovat s datacentry Azure. Pokud je v cestě firewall, ujistěte se, že následující porty pro odchozí provoz jsou otevřené:

Číslo portu Jak se používá
80 Stahování seznamů odvolaných certifikátů (CRL) při ověřování certifikátu TLS/SSL
443 Zpracování veškeré odchozí komunikace se službou Application Proxy.

Pokud brána firewall vynucuje provoz podle uživatelského původu, otevřete také porty 80 a 443 pro provoz ze služeb Windows, které běží jako síťová služba.

Povolit přístup k adresám URL

Povolte přístup k následujícím adresám URL:

Adresa URL Přístav Jak se používá
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS Komunikace mezi konektorem a cloudovou službou proxy aplikací
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP Konektor používá tyto adresy URL k ověření certifikátů.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS Konektor používá tyto adresy URL během procesu registrace.
ctldl.windowsupdate.com 80/HTTP Konektor používá tuto adresu URL během procesu registrace.

Pokud brána firewall nebo proxy server umožňují konfigurovat pravidla přístupu na základě přípon domény, můžete povolit připojení k *.msappproxy.net, *.servicebus.windows.neta ostatním URL z předchozího seznamu. Pokud ne, musíte povolit přístup k rozsahům IP adres Azure a značkám služeb, veřejný cloud. Rozsahy IP adres se aktualizují každý týden.

Důležitý

Vyhněte se všem formám zabudované kontroly a ukončování odchozí komunikace TLS mezi konektory privátní sítě Microsoft Entra a cloudovými službami proxy aplikací Microsoft Entra.

Řešení názvů DNS pro koncové body proxy aplikací Microsoft Entra

Veřejné záznamy DNS pro koncové body proxy aplikací Microsoft Entra jsou zřetězené záznamy CNAME odkazující na záznam A. To zajišťuje odolnost proti chybám a flexibilitu. Je zaručeno, že konektor privátní sítě Microsoft Entra vždy přistupuje k hostitelským názvům s doménovými příponami *.msappproxy.net nebo *.servicebus.windows.net.

Během překladu názvů však záznamy CNAME mohou obsahovat záznamy DNS s různými názvy hostitelů a příponami. Z tohoto důvodu musíte zajistit, aby zařízení přeložila všechny záznamy v řetězu a umožňovala připojení k přeloženým IP adresám. Vzhledem k tomu, že záznamy DNS v řetězu se můžou občas změnit, nemůžeme vám poskytnout žádný seznam DNS záznamů.

Na místním serveru

Pokud chcete ověřit, že je agent spuštěný, postupujte takto:

  1. Na serveru, kde je nainstalovaný agent, otevřete Services. Uděláte to tak, že přejdete na Spustit>Spustit>Services.msc.

  2. V části Servicesse ujistěte, že Microsoft Entra Connect Agent Updater a Microsoft Entra Provisioning Agent jsou přítomny. Také potvrďte, že jejich stav je Běží.

    Snímek obrazovky místních služeb a jejich stavu

Běžné problémy s instalací agenta

Následující části popisují některé běžné problémy s instalací agenta a typické řešení těchto problémů.

Agent se nepodařilo spustit

Může se zobrazit chybová zpráva s informacemi:

Služba Microsoft Entra Provisioning Agent se nepodařilo spustit. Ověřte, že máte dostatečná oprávnění ke spuštění systémových služeb.

Příčinou tohoto problému jsou obvykle zásady skupiny. Tato zásada zabránila použití oprávnění pro místní přihlašovací účet služby NT Service vytvořený instalačním programem (NT SERVICE\AADConnectProvisioningAgent). Tato oprávnění jsou nutná ke spuštění služby.

Chcete-li tento problém vyřešit, postupujte takto:

  1. Přihlaste se k serveru pomocí účtu správce.

  2. Otevřete Služby tak, že přejdete na Start>Spustit>Services.msc.

  3. V části Servicespoklikejte na Microsoft Entra Provisioning Agent.

  4. Na kartě Přihlášení změňte Tento účet na účet správce domény. Poté službu restartujte.

    Snímek obrazovky, který ukazuje možnosti dostupné na kartě přihlášení.

Agent dosáhl časového limitu nebo je certifikát neplatný.

Při pokusu o registraci agenta se může zobrazit následující chybová zpráva.

snímek obrazovky s chybovou zprávou o vypršení časového limitu

Příčinou tohoto problému je obvykle to, že se agent nemůže připojit ke službě hybridní identity. Pokud chcete tento problém vyřešit, nakonfigurujte odchozí proxy server.

Agent zřizování podporuje použití odchozího proxy serveru. Můžete ho nakonfigurovat úpravou následujícího souboru .config agenta: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

Přidejte následující řádky směrem ke konci souboru, těsně před uzavírací značku </configuration>. Nahraďte proměnné [proxy-server] a [proxy-port] názvem proxy serveru a hodnotami portů.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Registrace agenta selhává kvůli chybě zabezpečení

Při instalaci agenta zřizování cloudu se může zobrazit chybová zpráva. Příčinou tohoto problému je obvykle to, že agent nemůže spustit registrační skripty PowerShellu kvůli místním zásadám spouštění PowerShellu.

Pokud chcete tento problém vyřešit, změňte zásady spouštění PowerShellu na serveru. Musíte mít zásady počítače a uživatele nastavené jako Undefined nebo RemoteSigned. Pokud jsou nastavené jako Unrestricted, zobrazí se tato chyba. Další informace najdete v tématu zásady spouštění PowerShellu.

Soubory protokolu

Ve výchozím nastavení agent generuje minimální chybové zprávy a informace o trasování zásobníku. Tyto protokoly trasování najdete v následující složce: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Pokud chcete shromáždit další podrobnosti o řešení potíží souvisejících s agenty, postupujte takto.

  1. nainstalujte modul PowerShellu AADCloudSyncTools.
  2. K zachycení informací použijte rutinu Export-AADCloudSyncToolsLogs PowerShellu. Kolekci dat můžete vyladit pomocí následujících možností.
    • SkipVerboseTrace pro export pouze aktuálních protokolů bez zaznamenání podrobných protokolů (výchozí nastavení = false).
    • TracingDurationMins určit jinou dobu trvání zachycení (výchozí hodnota = 3 minuty).
    • OutputPath zadat jinou výstupní cestu (výchozí = složka Dokumenty uživatele).

Problémy se synchronizací objektů

Na portálu můžete pomocí protokolů zřizování sledovat a řešit problémy se synchronizací objektů. Pokud chcete zobrazit protokoly, vyberte Protokoly.

Snímek obrazovky s tlačítkem záznamů

Protokoly konfigurace nabízejí rozsáhlé informace o stavu objektů, které se synchronizují mezi místním prostředím Active Directory a platformou Azure.

snímek obrazovky s informacemi o zřizovacích protokolech

Zobrazení můžete filtrovat, abyste se mohli zaměřit na konkrétní problémy, jako jsou kalendářní data. V protokolech můžete také vyhledat aktivity související s objektem služby Active Directory pomocí jeho identifikátoru ObjectGuid. Poklikáním na jednotlivé události zobrazíte další informace.

Snímek obrazovky, který zobrazuje informace rozevíracího seznamu protokolů zřizování.

Tyto informace poskytují podrobné kroky a informace o tom, kde dochází k problému se synchronizací. Tímto způsobem můžete přesně určit místo problému.

Přeskočené objekty

Pokud synchronizujete uživatele a skupiny ze služby Active Directory, možná nebudete moct najít jednu nebo více skupin v Microsoft Entra ID. Důvodem může být to, že synchronizace ještě nedokončila nebo ještě nedokončila vytvoření objektu ve službě Active Directory, což je chyba synchronizace, která blokuje objekt vytvořený v Microsoft Entra ID, nebo se může použít pravidlo pro vymezení rozsahu synchronizačního pravidla, které objekt vylučuje.

Pokud restartujete synchronizaci, po dokončení cyklu zřizování vyhledejte v protokolu zřizování aktivity související s objektem pomocí daného objektu v Active DirectoryObjectGuid. Pokud v protokolu existuje událost s identitou obsahující pouze ID zdroje a stav Skipped, může to znamenat, že agent filtroval objekt služby Active Directory, protože byl mimo rozsah.

Pravidla oborů ve výchozím nastavení vylučují, aby se následující objekty synchronizovaly s ID Microsoft Entra:

  • uživatelé, skupiny a kontakty s IsCriticalSystemObject nastavenou na hodnotu TRUE, včetně mnoha předdefinovaných uživatelů a skupin ve službě Active Directory
  • oběti replikačních objektů

Ve schématu synchronizace mohou být přítomna další omezení.

Prahová hodnota odstranění objektu Microsoft Entra

Pokud máte topologii implementace s Microsoft Entra Connect a Microsoft Entra Cloud Sync, přičemž oba exportují do stejného tenanta Microsoft Entra, nebo pokud jste úplně přešli z používání Microsoft Entra Connect na Microsoft Entra Cloud Sync, může se zobrazit následující exportní chybová zpráva, když odstraňujete nebo přesouváte více objektů z definovaného oboru:

snímek obrazovky s chybou exportu

Tato chyba nesouvisí s funkcí prevence náhodného odstranění cloudové synchronizace Microsoft Entra Connect. Je spuštěna funkcí prevence náhodného odstranění nastavenou v adresáři Microsoft Entra z Microsoft Entra Connect. Pokud nemáte nainstalovaný server Microsoft Entra Connect, ze kterého byste mohli tuto funkci přepnout, můžete použít modul AADCloudSyncTools PowerShell nainstalovaný s agentem cloudové synchronizace Microsoft Entra Connect a zakázat nastavení v tenantovi a povolit blokované odstranění exportu po potvrzení, že jsou očekávané a měly by být povolené. Použijte následující příkaz:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Během dalšího cyklu zřizování by se objekty označené k odstranění měly úspěšně odstranit z adresáře Microsoft Entra.

Zajišťování problémů v karanténě

Synchronizace cloudu monitoruje stav konfigurace a umístí objekty, které nejsou v pořádku, do stavu karantény. Pokud většina nebo všechna volání provedená v cílovém systému konzistentně selžou kvůli chybě (například kvůli neplatným přihlašovacím údajům správce), úloha synchronizace se označí jako v karanténě.

snímek obrazovky se stavem karantény

Když vyberete stav, zobrazí se další informace o karanténě. Můžete také získat kód chyby a zprávu.

snímek obrazovky s dalšími informacemi o karanténě

Kliknutím pravým tlačítkem myši na stav zobrazíte další možnosti:

  • Prohlédněte si protokoly nasazení.
  • Prohlédněte si agenty.
  • Vymažte karanténu.

Snímek obrazovky zobrazující možnosti nabídky po pravém kliknutí.

Řešení karantény

Existují dva různé způsoby řešení karantény. Karanténu můžete vymazat nebo můžete úlohu zřizování restartovat.

Vymazání karantény

Pokud chcete vymazat vodoznak a spustit rozdílovou synchronizaci úlohy zřizování po ověření, jednoduše klikněte pravým tlačítkem myši na stav a vyberte Vymazat karanténu.

Měli byste vidět oznámení, že karanténa se uvolňuje.

snímek obrazovky s oznámením, že karanténa je uvolněna

Pak byste měli vidět stav vašeho agenta jako zdravý.

Snímek obrazovky, který ukazuje, že stav agenta je bezproblémový.

Restartujte úlohu provisioningu

Pomocí portálu restartujte úlohu zajištění. Na stránce konfigurace agenta vyberte Restartovat synchronizaci.

Snímek obrazovky s možnostmi na stránce konfigurace agenta

Případně můžete pomocí Microsoft Graphu restartovat úlohu zřizování. Máte plnou kontrolu nad tím, co restartujete. Můžete se rozhodnout pro vymazání:

  • Escrows, aby se restartovalo počítadlo escrow, které směřuje ke stavu karantény.
  • Umístit aplikaci do karantény, aby byla aplikace odebrána z karantény.
  • Vodoznaky.

Použijte následující požadavek:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Oprava účtu cloudové synchronizační služby

Pokud potřebujete opravit účet cloudové synchronizační služby, můžete použít příkaz Repair-AADCloudSyncToolsAccount.

  1. nainstalujte modul PowerShellu AADCloudSyncTools.

  2. V relaci PowerShellu s oprávněními správce zadejte nebo zkopírujte a vložte následující příkaz:

    Connect-AADCloudSyncTools

  3. Zadejte svoje přihlašovací údaje globálního správce Microsoft Entra.

  4. Zadejte nebo zkopírujte a vložte následující:

    Repair-AADCloudSyncToolsAccount

  5. Po dokončení by se mělo říct, že se účet úspěšně opravil.

Zpětný zápis hesla

Pokud chcete povolit a používat zpětný zápis hesla se synchronizací cloudu, mějte na paměti následující skutečnosti:

  • Pokud potřebujete aktualizovat oprávnění gMSA, může trvat hodinu nebo déle, než se tato oprávnění replikují do všech objektů ve vašem adresáři. Pokud tato oprávnění nepřiřadíte, může se zdát, že zpětný zápis je správně nakonfigurovaný, ale uživatelé můžou při aktualizaci místních hesel z cloudu narazit na chyby. Oprávnění musí být použita na tento objekt a všechny podřízené objekty, aby se zobrazila možnost reaktivovat heslo.
  • Pokud se hesla pro některé uživatelské účty nezapisují zpět do místního adresáře, ujistěte se, že dědičnost není pro účet v místním prostředí služby Active Directory Domain Services (AD DS) zakázaná. Oprávnění k zápisu hesel musí být aplikována na potomky objektů, aby funkce fungovala správně.
  • Zásady hesel v místním prostředí SLUŽBY AD DS můžou bránit správnému zpracování resetování hesel. Pokud tuto funkci testujete a chcete resetovat hesla pro uživatele více než jednou denně, musí být zásada skupiny pro minimální stáří hesla nastavená na 0. Toto nastavení najdete v následujícím umístění: Konfigurace počítače>Zásady>Nastavení systému Windows>Nastavení zabezpečení>Zásady účtuv gpmc.msc.
    • Pokud zásady skupiny aktualizujete, počkejte, až se aktualizovaná zásada replikuje, nebo použijte příkaz gpupdate /force.
    • Aby se hesla okamžitě změnila, musí být minimální stáří hesla nastaveno na 0. Pokud ale uživatelé dodržují místní zásady a minimální stáří hesla je nastavené na hodnotu větší než 0, zpětný zápis hesla po vyhodnocení místních zásad nefunguje.

Další kroky