Sdílet prostřednictvím

Řešení potíží s objektem, který se nesynchronuje s ID Microsoft Entra

  • Článek

Pokud se objekt nesynchronizuje podle očekávání s ID Microsoft Entra, může to být z několika důvodů. Pokud jste obdrželi e-mail s chybou z Microsoft Entra ID nebo se vám zobrazí chyba ve službě Microsoft Entra Connect Health, místo toho si přečtěte Řešení chyb při synchronizaci. Pokud ale řešíte problém, kdy objekt není v MICROSOFT Entra ID, je tento článek určený pro vás. Popisuje, jak najít chyby v místní komponentě synchronizace Microsoft Entra Connect.

Důležitý

Pro nasazení Microsoft Entra Connect ve verzi 1.1.749.0 nebo novější použijte v průvodci úlohu k řešení problémů se synchronizací objektů.

Proces synchronizace

Než prozkoumáme problémy se synchronizací, pojďme se seznámit s procesem synchronizace Microsoft Entra Connect:

diagram procesu synchronizace Microsoft Entra Connect

terminologie

  • CS: prostor konektoru, tabulka v databázi
  • MV: Metaverse, tabulka v databázi

kroky synchronizace

Proces synchronizace zahrnuje následující kroky:

  1. Import z AD: objekty služby Active Directory se přenesou do služby Active Directory CS.

  2. Import z Microsoft Entra ID: objekty Microsoft Entra jsou přeneseny do Microsoft Entra CS.

  3. Synchronizace : Příchozí pravidla synchronizace a odchozí pravidla synchronizace se spouštějí v pořadí podle čísla priority, od nižšího po vyšší. Pokud chcete zobrazit pravidla synchronizace, přejděte z desktopových aplikací do Editoru synchronizačních pravidel. Příchozí synchronizační pravidla přinesou data z CS do MV. Odchozí synchronizační pravidla přesouvají data z MV do CS.

  4. Exportovat do AD: Po synchronizaci se objekty exportují ze služby Active Directory CS do služby Active Directory.

  5. Export do Microsoft Entra ID: Po synchronizaci se objekty exportují z webu Microsoft Entra CS do Microsoft Entra ID.

Řešení problémů

Pokud chcete chyby najít, podívejte se na několik různých míst v následujícím pořadí:

  1. Operace protokoluje k vyhledání chyb identifikovaných synchronizačním modulem během importu a synchronizace.
  2. Prostor konektoru k vyhledání chybějících objektů a chyb synchronizace.
  3. Metaverse pro nalezení problémů souvisejících s daty.

Než začnete s těmito kroky, spusťte Synchronization Service Manager.

Operace

Na kartě Operations ve Správci synchronizační služby byste měli začít řešit potíže. Tato karta zobrazuje výsledky z nejnovějších operací.

Snímek obrazovky se synchronizačním správcem služeb, s vybranou záložkou Operace

Horní polovina záložky Operations zobrazuje všechna spuštění v chronologickém pořadí. Ve výchozím nastavení protokol operací uchovává informace o posledních 7 dnech, ale toto nastavení lze změnit pomocí plánovače. Vyhledejte všechny běhy, které nezobrazují úspěšný stav. Řazení můžete změnit tak, že vyberete záhlaví.

Sloupec Stav obsahuje nejdůležitější informace a ukazuje největší problém při spuštění. Tady je stručný přehled nejběžnějších stavů v pořadí priority šetření (kde * označuje několik možných chybových řetězců).

Stav Komentář
zastaveno-* Běh se nepodařilo dokončit. K tomu může dojít například v případě, že je vzdálený systém nefunkční a není možné ho kontaktovat.
zastavený limit chyb Existuje více než 5 000 chyb. Spuštění se automaticky zastavilo kvůli velkému počtu chyb.
dokončeno-*-chyby Běh procesu byl dokončen, ale měly by být prošetřeny chyby (méně než 5 000).
dokončeno-*-upozornění Spuštění bylo dokončeno, ale některá data nejsou v očekávaném stavu. Pokud dojde k chybám, je tato zpráva pouze příznakem. Nevyšetřujte upozornění, dokud nevyřešíte chyby.
úspěch Žádné problémy.

Když vyberete řádek, v dolní části karty Operations se zobrazí podrobnosti o daném spuštění. Na úplně levé straně této oblasti může být seznam s názvem Krok #. Tento seznam se zobrazí jenom v případě, že v doménové struktuře existuje více domén a každá doména je zastoupena krokem. Název domény najdete pod nadpisem Oddíl. V části Statistika synchronizace najdete další informace o počtu zpracovaných změn. Výběrem odkazů získáte seznam změněných objektů. Pokud existují objekty s chybami, zobrazí se tyto chyby pod nadpisem Chyby synchronizace.

Chyby na záložce Operace

Pokud dojde k chybám, správce synchronizační služby zobrazí objekt v chybě i samotnou chybu jako odkazy, které poskytují další informace.

Snímek obrazovky s chybami v Synchronization Service Manager
Začněte tím, že vyberete chybový řetězec. (Na předchozím obrázku je chybový řetězec sync-rule-error-function-triggered.) Nejprve je vám prezentován přehled objektu. Pokud chcete zobrazit skutečnou chybu, vyberte trasování zásobníku. Toto trasování poskytuje informace na úrovni ladění pro chybu.

Pravým tlačítkem myši klikněte na pole informace o zásobníku volání, označte všechny pomocí Vybrat vše, a poté vyberte Kopírovat. Pak zásobník zkopírujte a podívejte se na chybu v oblíbeném editoru, například v Poznámkovém bloku.

Pokud chyba pochází z SyncRulesEngine, informace zásobníku volání nejprve zobrazí seznam všech atributů objektu. Posuňte se dolů, dokud se nezobrazí nadpis InnerException =>.

snímek obrazovky správce synchronizační služby zobrazující informace o chybě pod nadpisem InnerException =>

Řádek za nadpisem zobrazuje chybu. Na předchozím obrázku je chyba z vlastního synchronizačního pravidla, které Fabrikam vytvořil.

Pokud chyba neposkytuje dostatek informací, je čas se podívat na samotná data. Vyberte odkaz s identifikátorem objektu a pokračujte v řešení potíží s místem konektoru importovaným objektem.

Vlastnosti objektu prostoru spojnice

Pokud se na kartě Operations nezobrazí žádné chyby, postupujte podle objektu konektorového prostoru ze služby Active Directory k metaverzu a dále k Microsoft Entra ID. V této cestě byste měli zjistit, kde je problém.

Hledání objektu v CS

Ve Správci synchronizačních služeb vyberte Konektory, vyberte Konektor služby Active Directory a poté vyberte Prostor pro vyhledávání konektoru.

V poli Obor vyberte RDN, pokud chcete vyhledat atribut CN, nebo vyberte DN nebo ukotvení, pokud chcete vyhledávat podle atributu distinguishedName. Zadejte hodnotu a vyberte Hledat.

Snímek obrazovky vyhledávání v prostoru konektoru

Pokud nenajdete objekt, který hledáte, je možné, že byl filtrovaný pomocí filtrování na základě domény nebo filtrování založeného na organizační jednotce . Chcete-li ověřit, zda je filtrování nakonfigurováno podle očekávání, přečtěte si Microsoft Entra Connect Sync: Konfigurace filtrování.

Další užitečné vyhledávání můžete provést výběrem konektoru Microsoft Entra Connector. V poli Rozsah vyberte Čekající importa poté zaškrtněte políčko Přidat. Toto hledání poskytuje všechny synchronizované objekty v ID Microsoft Entra, které nelze přidružit k místnímu objektu.

snímek obrazovky osamocení v prostoru vyhledávání konektoru

Tyto objekty byly vytvořeny jiným synchronizačním modulem nebo synchronizačním modulem s jinou konfigurací filtrování. Tyto osiřelé objekty již nejsou spravovány. Projděte si tento seznam a zvažte odebrání těchto objektů pomocí rutin prostředí Microsoft Graph PowerShell.

CS import

Když otevřete objekt typu CS, v horní části je několik karet. Karta Import zobrazuje data, která jsou připravená po importu.

snímek obrazovky okna vlastností objektu prostoru konektoru s vybranou záložkou Import

Sloupec Stará hodnota zobrazuje, co je aktuálně uloženo v systému Connect. Sloupec Nová hodnota zobrazuje, co se přijímá ze zdrojového systému a ještě není použito. Pokud u objektu dojde k chybě, změny se nezpracují.

Karta Chyba synchronizace je viditelná v okně Vlastnosti objektu prostoru konektoru pouze v případě, že došlo k potížím s objektem. Další informace najdete v tématu řešení chyb synchronizace na kartěOperations .

Snímek obrazovky záložky Chyba synchronizace v okně Vlastnosti objektu prostoru konektoru

Rodokmen CS

Karta Rodokmen v okně Vlastnosti objektu prostoru konektoru ukazuje, jak objekt prostoru konektoru souvisí s objektem metaversu. Uvidíte, kdy konektor naposledy importoval změnu z připojeného systému a jaká pravidla se použila k naplnění dat v metaverse.

Snímek obrazovky s kartou Rodokmen v okně Vlastnosti objektu Connector Space

Na předchozím obrázku sloupec Akce zobrazuje příchozí synchronizační pravidlo s akcí Zřízení. To znamená, že dokud existuje tento objekt v prostoru konektorů, objekt metaverse zůstane. Pokud seznam synchronizačních pravidel místo toho zobrazuje odchozí synchronizační pravidlo s akcí Zřízení, odstraní se tento objekt při odstranění objektu metaverse.

Snímek obrazovky okna rodokmenu na kartě Rodokmen ve vlastnostech objektu prostoru konektoru

Na předchozím obrázku můžete také vidět ve sloupci PasswordSync, že prostor příchozího konektoru může přispívat ke změnám hesla, protože jedno synchronizační pravidlo má hodnotu True. Toto heslo se odesílá na Microsoft Entra ID prostřednictvím pravidla pro odchozí přenos.

Na kartě Rodokmen se dostanete k metaverse tak, že vyberete Vlastnosti objektu Metaverse.

Náhled

V levém dolním rohu okna Vlastnosti objektu prostoru konektoru se nachází tlačítko Náhled. Výběrem tohoto tlačítka otevřete stránku Náhled, kde můžete synchronizovat jeden objekt. Tato stránka je užitečná, pokud řešíte potíže s některými vlastními synchronizačními pravidly a chcete vidět vliv změny na jeden objekt. Můžete vybrat úplnou synchronizaci nebo rozdílovou synchronizaci. Můžete také vybrat Vygenerovat náhled, což zachová pouze změnu v paměti. Nebo vyberte Commit Preview, které aktualizuje metaverzum a připraví všechny změny pro cílové prostory konektorů.

Snímek obrazovky stránky Náhled s vybranou možností Spustit náhled

V náhledu můžete zkontrolovat objekt a zjistit, které pravidlo se použilo pro konkrétní tok atributů.

snímek obrazovky stránky Náhled, který zobrazuje tok importu atributů

Protokol

Vedle tlačítka Náhled vyberte tlačítko Protokol a otevřete stránku Protokol. Tady vidíte stav a historii synchronizace hesel. Další informace naleznete v tématu Řešení potíží se synchronizací hodnot hash hesel pomocí nástroje Microsoft Entra Connect Sync.

Vlastnosti objektu metaverse

Je lepší začít hledat ze zdrojového prostoru konektoru služby Active Directory. Můžete ale také začít hledat z metaverse.

Hledání objektu v MV

Ve Správci synchronizačních služeb vyberte Metaverse Search , jak je znázorněno na následujícím obrázku. Vytvořte dotaz, který znáte, že najde uživatele. Vyhledejte běžné atributy, například accountName (sAMAccountName) a userPrincipalName. Pro více informací si přečtěte na téma vyhledávání v Metaverse pomocí Správce synchronizačních služeb.

Snímek obrazovky Správce služby synchronizace s vybranou záložkou Metaverse Search

V okně Výsledky hledání vyberte objekt.

Pokud jste objekt nenašli, nedostal se do metaverze. Pokračujte v hledání objektu v prostoru konektoru služby Active Directory . Pokud najdete objekt v prostoru konektoru služby Active Directory, může dojít k chybě synchronizace, která blokuje příchod objektu do metaverse. Nebo se může použít rozsahový filtr synchronizačního pravidla.

Objekt nebyl v MV nalezen.

Pokud je objekt v CS služby Active Directory, ale není k dispozici v MV, použije se omezující filtr. Pokud se chcete podívat na filtr rozsahu, přejděte do nabídky desktopové aplikace a vyberte Editor synchronizačních pravidel. Filtrujte pravidla, která se vztahují k objektu, úpravou následujícího filtru.

snímek obrazovky s editorem synchronizačních pravidel zobrazující vyhledávání příchozích synchronizačních pravidel

Zkontrolujte každé pravidlo v seznamu a podívejte se na filtr rozsahu . V následujícím filtru oboru, pokud má isCriticalSystemObject hodnotu null nebo FALSE nebo je prázdná, je v oboru.

snímek obrazovky s filtrem oborů ve vyhledávacím příchozího pravidla synchronizace

Přejděte do seznamu atributů CS Import a zkontrolujte, který filtr blokuje přesun objektu do MV. Seznam atributů Prostoru konektoru zobrazuje pouze atributy, které nejsou null a nejsou prázdné. Pokud se například isCriticalSystemObject nezobrazí v seznamu, hodnota tohoto atributu je null nebo prázdná.

Objekt nebyl nalezen v nástroji Microsoft Entra CS

Pokud objekt není v prostoru konektoru Microsoft Entra ID, ale nachází se v MV, podívejte se na oblastní filtr odchozích pravidel odpovídajícího prostoru konektoru. Zjistěte, jestli je objekt filtrovaný, protože atributy MV nesplňují kritéria.

Chcete-li se podívat na odchozí rozsahový filtr, vyberte pro objekt příslušná pravidla úpravou následujícího filtrování. Zobrazte každé pravidlo a podívejte se na odpovídající atribut MV hodnotu.

Snímek obrazovky vyhledávání pravidel odchozí synchronizace v editoru pravidel synchronizace

Atributy MV

Na kartě Atributy můžete zobrazit hodnoty a konektory, které k nim přispěly.

Snímek obrazovky okna Vlastnosti Objektu Metaverse s vybranou kartou Atributy

Pokud se objekt nesynchronizuje, položte následující otázky týkající se stavů atributů v metaverse:

  • Je atribut cloudFiltered k dispozici a nastaven na hodnotu true? Pokud ano, pak je filtrován podle kroků filtrování na základě atributů v .
  • Je atribut zdrojAnchor k dispozici? Pokud ne, máte topologii lesa účtů a zdrojů? Pokud je objekt identifikován jako propojená poštovní schránka (atribut msExchRecipientTypeDetails má hodnotu 2), je sourceAnchor poskytován doménovou strukturou s povoleným účtem Active Directory. Ujistěte se, že je hlavní účet importovaný a synchronizovaný správně. Hlavní účet musí být uveden mezi konektory objektu.

Konektory MV

Na kartě Konektory se zobrazí všechny prostory konektorů, které obsahují reprezentaci objektu.

Snímek obrazovky okna Vlastnosti objektu Metaverse s vybranou kartou Konektory

Měli byste mít konektor pro:

  • Každá doménová struktura služby Active Directory, ve které je uživatel reprezentován. Toto zobrazení může zahrnovat objekty foreignSecurityPrincipals a Contact.
  • Konektor v Microsoft Entra ID.

Pokud chybí konektor pro Microsoft Entra ID, projděte si část o atributech MV označené a a ověřte kritéria pro zřízení do Microsoft Entra ID.

Na kartě Konektory můžete také přejít na prostorový objekt konektoru . Vyberte řádek a zvolte Vlastnosti.

Další kroky