Řešení potíží se synchronizací cloudu
Synchronizace cloudu má mnoho různých závislostí a interakcí, což může vést k různým problémům. Tento článek vám pomůže tyto problémy vyřešit. Představuje typické oblasti, na které se můžete zaměřit, jak shromáždit další informace a různé techniky, které můžete použít ke sledování problémů.
Problémy s agenty
Při řešení potíží s agentem ověříte, zda byl agent správně nainstalován a že komunikuje s Microsoft Entra ID. Konkrétně některé z prvních věcí, které chcete ověřit u agenta, jsou:
- Je nainstalovaná?
- Běží agent místně?
- Je agent na portálu?
- Je agent označený jako v pořádku?
Tyto položky můžete ověřit na portálu a na místním serveru, na kterém běží agent.
Ověření agenta centra pro správu Microsoft Entra
Pokud chcete ověřit, že Azure zjistí agenta a že je agent v pořádku, postupujte takto:
- Přihlaste se do centra pro správu Microsoft Entra jako alespoň Hybrid Administrator.
- Přejděte na Identity>Hybridní správa>Microsoft Entra Connect>Cloud sync.
- Vyberte cloudovou synchronizaci.
- Měli byste vidět agenty, které jste nainstalovali. Ověřte, že existuje příslušný agent. Pokud je všechno v pořádku, zobrazí se pro agenta aktivní (zelený) stav.
Ověření požadovaných otevřených portů
Ověřte, že agent zřizování Microsoft Entra dokáže úspěšně komunikovat s datacentry Azure. Pokud je v cestě firewall, ujistěte se, že následující porty pro odchozí provoz jsou otevřené:
Číslo portu | Jak se používá |
---|---|
80 | Stahování seznamů odvolaných certifikátů (CRL) při ověřování certifikátu TLS/SSL |
443 | Zpracování veškeré odchozí komunikace se službou Proxy aplikací |
Pokud brána firewall vynucuje provoz podle původního uživatele, otevřete také porty 80 a 443 pro provoz ze služeb Windows, které běží jako síťová služba.
Povolit přístup k adresám URL
Povolte přístup k následujícím adresám URL:
Adresa URL | Přístav | Jak se používá |
---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Komunikace mezi konektorem a cloudovou službou proxy aplikací |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Konektor používá tyto adresy URL k ověření certifikátů. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops |
443/HTTPS | Konektor používá tyto adresy URL během procesu registrace. |
ctldl.windowsupdate.com |
80/HTTP | Konektor používá tuto adresu URL během procesu registrace. |
Pokud brána firewall nebo proxy server umožňují konfigurovat pravidla přístupu na základě přípon domény, můžete povolit připojení k *.msappproxy.net
, *.servicebus.windows.net
a ostatním URL z předchozího seznamu. Pokud ne, musíte povolit přístup k rozsahům IP adres Azure a značkám služeb, veřejný cloud. Rozsahy IP adres se aktualizují každý týden.
Důležitý
Vyhněte se všem formám zabudované kontroly a ukončování odchozí komunikace TLS mezi konektory privátní sítě Microsoft Entra a cloudovými službami proxy aplikací Microsoft Entra.
Vyhledávání názvů DNS pro koncové body proxy aplikací Microsoft Entra
Veřejné záznamy DNS pro koncové body proxy aplikací Microsoft Entra jsou zřetězené záznamy CNAME odkazující na záznam A. To zajišťuje odolnost proti chybám a flexibilitu. Je zaručeno, že konektor privátní sítě Microsoft Entra vždy přistupuje k názvům hostitelů s doménovými příponami *.msappproxy.net
nebo *.servicebus.windows.net
.
Během překladu názvů však záznamy CNAME mohou obsahovat záznamy DNS s různými názvy hostitelů a příponami. Z tohoto důvodu musíte zajistit, aby zařízení přeložila všechny záznamy v řetězu a umožňovala připojení k přeloženým IP adresám. Vzhledem k tomu, že záznamy DNS v řetězu se můžou občas změnit, nemůžeme vám poskytnout žádný seznam DNS záznamů.
Na místním serveru
Pokud chcete ověřit, že je agent spuštěný, postupujte takto:
Na serveru, kde je nainstalovaný agent, otevřete Services. Uděláte to tak, že přejdete na Spustit>Spustit>Services.msc.
V části Servicesse ujistěte, že Microsoft Entra Connect Agent Updater a Microsoft Entra Provisioning Agent jsou přítomny. Také potvrďte, že jejich stav je Běží.
Běžné problémy s instalací agenta
Následující části popisují některé běžné problémy s instalací agenta a typické řešení těchto problémů.
Agent se nepodařilo spustit
Může se zobrazit chybová zpráva s informacemi:
Služba Microsoft Entra Provisioning Agent se nepodařilo spustit. Ověřte, že máte dostatečná oprávnění ke spuštění systémových služeb.
Příčinou tohoto problému jsou obvykle zásady skupiny. Tato zásada zabránila použití oprávnění pro místní přihlašovací účet služby NT Service vytvořený instalačním programem (NT SERVICE\AADConnectProvisioningAgent
). Tato oprávnění jsou nutná ke spuštění služby.
Chcete-li tento problém vyřešit, postupujte takto:
Přihlaste se k serveru pomocí účtu správce.
Otevřete Služby tak, že přejdete na Start>Spustit>Services.msc.
V části Servicespoklikejte na Microsoft Entra Provisioning Agent.
Na kartě Přihlášení změňte Tento účet na účet správce domény. Poté službu restartujte.
Agent vypršel časový limit nebo je certifikát neplatný.
Při pokusu o registraci agenta se může zobrazit následující chybová zpráva.
Příčinou tohoto problému je obvykle to, že se agent nemůže připojit ke službě hybridní identity. Pokud chcete tento problém vyřešit, nakonfigurujte odchozí proxy server.
Agent zřizování podporuje použití odchozího proxy serveru. Můžete ho nakonfigurovat úpravou následujícího souboru .config agenta: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.
Přidejte následující řádky směrem ke konci souboru, těsně před uzavírací značku </configuration>
. Nahraďte proměnné [proxy-server]
a [proxy-port]
názvem proxy serveru a hodnotami portů.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Registrace agenta selhává kvůli chybě zabezpečení
Při instalaci agenta zřizování cloudu se může zobrazit chybová zpráva. Příčinou tohoto problému je obvykle to, že agent nemůže spustit registrační skripty PowerShellu kvůli místním zásadám spouštění PowerShellu.
Pokud chcete tento problém vyřešit, změňte zásady spouštění PowerShellu na serveru. Musíte mít zásady počítače a uživatele nastavené jako Undefined
nebo RemoteSigned
. Pokud jsou nastavené jako Unrestricted
, zobrazí se tato chyba. Další informace najdete v tématu zásady spouštění PowerShellu.
Soubory protokolu
Ve výchozím nastavení agent generuje minimální chybové zprávy a informace o trasování zásobníku. Tyto protokoly trasování najdete v následující složce: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.
Pokud chcete shromáždit další podrobnosti o řešení potíží souvisejících s agenty, postupujte takto.
- nainstalujte modul PowerShellu AADCloudSyncTools.
- K zachycení informací použijte rutinu
Export-AADCloudSyncToolsLogs
PowerShellu. Kolekci dat můžete vyladit pomocí následujících možností.-
SkipVerboseTrace
pro export pouze aktuálních protokolů bez zaznamenání podrobných protokolů (výchozí nastavení = false). -
TracingDurationMins
určit jinou dobu trvání zachycení (výchozí hodnota = 3 minuty). -
OutputPath
zadat jinou výstupní cestu (výchozí = složka Dokumenty uživatele).
-
Problémy se synchronizací objektů
Na portálu můžete pomocí protokolů zřizování sledovat a řešit problémy se synchronizací objektů. Pokud chcete zobrazit protokoly, vyberte Protokoly.
Protokoly konfigurace nabízejí rozsáhlé informace o stavu objektů, které se synchronizují mezi místním prostředím Active Directory a platformou Azure.
Zobrazení můžete filtrovat, abyste se mohli zaměřit na konkrétní problémy, jako jsou kalendářní data. V protokolech můžete také vyhledat aktivity související s objektem služby Active Directory pomocí jeho identifikátoru ObjectGuid
. Poklikáním na jednotlivé události zobrazíte další informace.
Tyto informace poskytují podrobné kroky a informace o tom, kde dochází k problému se synchronizací. Tímto způsobem můžete přesně určit místo problému.
Přeskočené objekty
Pokud synchronizujete uživatele a skupiny ze služby Active Directory, možná nebudete moct najít jednu nebo více skupin v Microsoft Entra ID. Důvodem může být to, že synchronizace ještě nedokončila nebo ještě nedokončila vytvoření objektu ve službě Active Directory, což je chyba synchronizace, která blokuje objekt vytvořený v Microsoft Entra ID, nebo se může použít pravidlo pro vymezení rozsahu synchronizačního pravidla, které objekt vylučuje.
Pokud restartujete synchronizaci a po dokončení cyklu zřizování vyhledejte v protokolu zřizování aktivity související s objektem pomocí služby Active Directory ObjectGuid
daného objektu . Pokud v protokolu existuje událost s identitou obsahující pouze ID zdroje a stav Skipped
, může to znamenat, že agent filtroval objekt služby Active Directory, protože byl mimo rozsah.
Pravidla oborů ve výchozím nastavení vylučují, aby se následující objekty synchronizovaly s ID Microsoft Entra:
- uživatelé, skupiny a kontakty s
IsCriticalSystemObject
nastavenou na hodnotu TRUE, včetně mnoha předdefinovaných uživatelů a skupin ve službě Active Directory - oběti replikačních objektů
Ve schématu synchronizace mohou být přítomna další omezení.
Prahová hodnota odstranění objektu Microsoft Entra
Pokud máte topologii implementace s Microsoft Entra Connect a Microsoft Entra Cloud Sync, přičemž oba exportují do stejného tenanta Microsoft Entra, nebo pokud jste úplně přešli z používání Microsoft Entra Connect na Microsoft Entra Cloud Sync, může se zobrazit následující exportní chybová zpráva, když odstraňujete nebo přesouváte více objektů z definovaného oboru:
Tato chyba nesouvisí s funkcí prevence náhodného odstranění cloudové synchronizace Microsoft Entra Connect. Je spuštěna funkcí prevence náhodného odstranění nastavenou v adresáři Microsoft Entra z Microsoft Entra Connect. Pokud nemáte nainstalovaný server Microsoft Entra Connect, ze kterého byste mohli tuto funkci přepnout, můžete použít modul AADCloudSyncTools PowerShell nainstalovaný s agentem cloudové synchronizace Microsoft Entra Connect a zakázat nastavení v tenantovi a povolit blokované odstranění exportu po potvrzení, že jsou očekávané a měly by být povolené. Použijte následující příkaz:
Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"
Během dalšího cyklu zřizování by se objekty označené k odstranění měly úspěšně odstranit z adresáře Microsoft Entra.
Řešení problémů v karanténě
Synchronizace cloudu monitoruje stav konfigurace a umístí objekty, které nejsou v pořádku, do stavu karantény. Pokud většina nebo všechna volání provedená v cílovém systému konzistentně selžou kvůli chybě (například kvůli neplatným přihlašovacím údajům správce), úloha synchronizace se označí jako v karanténě.
Když vyberete stav, zobrazí se další informace o karanténě. Můžete také získat kód chyby a zprávu.
Kliknutím pravým tlačítkem myši na stav zobrazíte další možnosti:
- Prohlédněte si protokoly nasazení.
- Prohlédněte si agenty.
- Vymažte karanténu.
Řešení karantény
Existují dva různé způsoby řešení karantény. Karanténu můžete vymazat nebo můžete úlohu zřizování restartovat.
Vymazání karantény
Pokud chcete vymazat vodoznak a spustit rozdílovou synchronizaci úlohy zřizování po ověření, jednoduše klikněte pravým tlačítkem na stav a vyberte Vymazat karanténu.
Měli byste vidět oznámení, že karanténa se uvolňuje.
Pak byste měli vidět stav vašeho agenta jako v pořádku.
Restartovat úlohu provisioningu
Pomocí portálu restartujte úlohu zajištění. Na stránce konfigurace agenta vyberte Restartovat synchronizaci.
Případně můžete pomocí Microsoft Graphu restartovat úlohu zřizování. Máte plnou kontrolu nad tím, co restartujete. Můžete se rozhodnout pro vymazání:
- Escrows, aby se restartovalo počítadlo escrow, které směřuje ke stavu karantény.
- Umístit aplikaci do karantény, aby byla aplikace odebrána z karantény.
- Vodoznaky.
Použijte následující požadavek:
POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Oprava účtu cloudové synchronizační služby
Pokud potřebujete opravit účet cloudové synchronizační služby, můžete použít příkaz Repair-AADCloudSyncToolsAccount
.
V relaci PowerShellu s oprávněními správce zadejte nebo zkopírujte a vložte následující příkaz:
Connect-AADCloudSyncTools
Zadejte svoje přihlašovací údaje globálního správce Microsoft Entra.
Zadejte nebo zkopírujte a vložte následující:
Repair-AADCloudSyncToolsAccount
Po dokončení by se mělo říct, že se účet úspěšně opravil.
Zpětný zápis hesla
Pokud chcete povolit a používat zpětný zápis hesla se synchronizací cloudu, mějte na paměti následující skutečnosti:
- Pokud potřebujete aktualizovat oprávnění gMSA, může trvat hodinu nebo déle, než se tato oprávnění replikují do všech objektů ve vašem adresáři. Pokud tato oprávnění nepřiřadíte, může se zdát, že zpětný zápis je správně nakonfigurovaný, ale uživatelé můžou při aktualizaci místních hesel z cloudu narazit na chyby. Oprávnění musí být použita pro tento objekt a všechny potomky objektů, aby se zobrazilo obnovit platnost hesla.
- Pokud se hesla pro některé uživatelské účty nezapisují zpět do místního adresáře, ujistěte se, že dědičnost není pro účet v místním prostředí služby Active Directory Domain Services (AD DS) zakázaná. Oprávnění k zápisu hesel musí být aplikována na potomky objektů, aby funkce fungovala správně.
- Zásady hesel v místním prostředí SLUŽBY AD DS můžou bránit správnému zpracování resetování hesel. Pokud tuto funkci testujete a chcete resetovat hesla pro uživatele více než jednou denně, musí být zásada skupiny pro minimální stáří hesla nastavená na 0. Toto nastavení najdete v následujícím umístění: Konfigurace počítače>Zásady>Nastavení systému Windows>Nastavení zabezpečení>Zásady účtuv gpmc.msc.
- Pokud zásady skupiny aktualizujete, počkejte, až se aktualizovaná zásada replikuje, nebo použijte příkaz
gpupdate /force
. - Aby se hesla okamžitě změnila, musí být minimální stáří hesla nastaveno na 0. Pokud ale uživatelé dodržují místní zásady a minimální stáří hesla je nastavené na hodnotu větší než 0, zpětný zápis hesla po vyhodnocení místních zásad nefunguje.
- Pokud zásady skupiny aktualizujete, počkejte, až se aktualizovaná zásada replikuje, nebo použijte příkaz
Další kroky
- známá omezení
- kódy chyb