Freigeben über

Problembehandlung für ein Objekt, das nicht mit der Microsoft Entra-ID synchronisiert wird

  • Artikel

Wenn ein Objekt nicht wie erwartet mit der Microsoft Entra-ID synchronisiert wird, kann es aus mehreren Gründen geschehen. Wenn Sie eine Fehlerbenachrichtigung von Microsoft Entra ID erhalten oder den Fehler in Microsoft Entra Connect Health sehen, lesen Sie Fehlerbehebung während der Synchronisierung. Wenn Sie jedoch ein Problem beheben möchten, bei dem sich das Objekt nicht in Microsoft Entra ID befindet, dann ist dieser Artikel genau das Richtige für Sie. Es beschreibt, wie Fehler in der lokalen Komponente Microsoft Entra Connect-Synchronisierung gefunden werden.

Wichtig

Verwenden Sie für die Microsoft Entra Connect-Bereitstellung mit Version 1.1.749.0 oder höher die Problembehandlungsaufgabe im Assistenten, um Probleme mit der Objektsynchronisierung zu beheben.

Synchronisierungsprozess

Bevor wir Probleme mit der Synchronisierung untersuchen, verstehen wir den Microsoft Entra Connect-Synchronisierungsprozess:

Diagramm des Microsoft Entra Connect-Synchronisierungsprozesses

Terminologie

  • CS: Connectorbereich, eine Tabelle in einer Datenbank
  • MV: Metaverse, eine Tabelle in einer Datenbank

Synchronisierungsschritte

Der Synchronisierungsprozess umfasst die folgenden Schritte:

  1. Importieren aus AD: Active Directory-Objekte werden in den Active Directory-Connectorbereich eingefügt.

  2. Importieren aus Microsoft Entra ID: Microsoft Entra-Objekte werden in die Microsoft Entra CS importiert.

  3. Synchronisierung: Es werden Synchronisierungsregeln für eingehenden und ausgehenden Datenverkehr in der Reihenfolge der Priorität von niedrig zu hoch ausgeführt. Um die Synchronisierungsregeln anzuzeigen, wechseln Sie aus den Desktopanwendungen zum Synchronisierungsregeln-Editor. Die Synchronisierungsregeln für eingehenden Datenverkehr importieren Daten aus dem Connectorbereich in die Metaverse. Die Regeln für die ausgehende Synchronisierung verschieben Daten von MV zu CS.

  4. Nach AD exportieren: Nach der Synchronisierung werden Objekte aus active Directory CS nach Active Directory exportiert.

  5. Export nach Microsoft Entra ID: Nach der Synchronisierung werden Objekte aus der Microsoft Entra CS nach Microsoft Entra ID exportiert.

Fehlerbehebung

Um die Fehler zu finden, sehen Sie sich einige verschiedene Stellen in der folgenden Reihenfolge an:

  1. In den Vorgangsprotokollen, um Fehler zu finden, die während des Importierens und Synchronisierens vom Synchronisierungsmodul identifiziert werden.
  2. Im Connectorbereich, um fehlende Objekte und Synchronisierungsfehler zu finden.
  3. In der Metaverse, um datenbezogene Probleme zu finden.

Starten Sie Synchronization Service Manager vor dem Beginn der folgenden Schritte.

Operationen

Sie sollten mit Ihrer Problembehandlung auf der Registerkarte Vorgänge in Synchronization Service Manager beginnen. Diese Registerkarte zeigt die Ergebnisse der letzten Vorgänge.

Screenshot von Synchronization Service Manager mit ausgewählter Registerkarte „Operationen“

Die obere Hälfte der Registerkarte Vorgänge zeigt alle Ausführungen in chronologischer Reihenfolge. Standardmäßig speichert das Betriebsprotokoll Informationen über die letzten sieben Tage, diese Einstellung kann jedoch mit dem Scheduler-geändert werden. Suchen Sie nach einem Durchlauf, der keinen Status Erfolg zeigt. Sie können die Sortierung ändern, indem Sie die Kopfzeilen auswählen.

Die Spalte Status enthält die wichtigsten Informationen und das schwerwiegendste Problem einer Ausführung. Im Folgenden finden Sie eine kurze Zusammenfassung der häufigsten Status in der Reihenfolge ihrer Untersuchungspriorität (bei „*“ gibt es mehrere mögliche Fehlerzeichenfolgen).

Status Kommentar
stopped-* Die Ausführung konnte nicht abgeschlossen werden. Dies kann beispielsweise passieren, wenn das Remotesystem nicht mehr erreichbar ist und nicht kontaktiert werden kann.
stopped-error-limit Es gibt mehr als 5.000 Fehler. Die Ausführung wurde aufgrund der großen Anzahl von Fehlern automatisch beendet.
completed-*-errors Die Ausführung wurde abgeschlossen, es sind jedoch Fehler (weniger als 5.000) aufgetreten, die untersucht werden sollten.
completed-*-warnings Die Ausführung wurde abgeschlossen, aber einige Daten befinden sich nicht im erwarteten Zustand. Wenn Fehler auftreten, ist diese Meldung nur ein Symptom. Untersuchen Sie Warnungen erst, wenn Sie Fehler behoben haben.
Erfolg Keine Probleme.

Wenn Sie eine Zeile auswählen, wird der untere Bereich der Registerkarte Vorgänge aktualisiert, und die Details dieser Ausführung werden angezeigt. Auf der äußersten linken Seite dieses Bereichs befindet sich möglicherweise eine Liste mit dem Titel Schritt #. Diese Liste wird nur angezeigt, wenn mehrere Domänen in Ihrer Gesamtstruktur vorhanden sind und jede Domäne durch einen Schritt dargestellt wird. Der Domänenname befindet sich unter der Überschrift Partition. Unter der Überschrift Synchronisierungsstatistik finden Sie weitere Informationen zur Anzahl der verarbeiteten Änderungen. Wählen Sie die Links aus, um eine Liste der geänderten Objekte abzurufen. Wenn Objekte mit Fehlern vorhanden sind, werden diese Fehler unter der Überschrift Synchronisierungsfehler angezeigt.

Fehler auf der Registerkarte "Operationen"

Wenn Fehler auftreten, zeigt der Synchronisierungsdienst-Manager sowohl das Objekt als auch den Fehler selbst als Links an, die weitere Informationen bereitstellen.

Screenshot von Fehlern im Synchronisierungsdienst-Manager
Wählen Sie zunächst die Fehlerzeichenfolge aus. (In der vorangegangenen Abbildung lautet die Fehlerzeichenfolge sync-rule-error-function-triggered.) Sie erhalten zunächst eine Übersicht über das Objekt. Wählen Sie zum Anzeigen des tatsächlichen Fehlers Stapelüberwachung aus. Dadurch werden für den Fehler Informationen der Debugebene angezeigt.

Wählen Sie mit der rechten Maustaste das Feld Anrufstapelinformationen aus, wählen Sie Alleund dann Kopierenaus. Sie können dann den Stapel kopieren und den Fehler in Ihrem bevorzugten Editor, z. B. Windows-Editor, anzeigen.

Wenn der Fehler aus SyncRulesEngine stammt, beginnen die Aufruflisteninformationen mit einer Liste aller Attribute für das Objekt. Scrollen Sie nach unten, bis die Überschrift InnerException =>angezeigt wird.

Screenshot des Synchronisierungsdienst-Managers mit Fehlerinformationen unter der Überschrift InnerException =>

Die Zeile hinter der Überschrift zeigt den Fehler an. In der vorherigen Abbildung stammt der Fehler aus einer benutzerdefinierten Synchronisierungsregel, die Fabrikam erstellt hat.

Wenn der Fehler nicht genügend Informationen enthält, ist es an der Zeit, die Daten selbst zu betrachten. Wählen Sie den Link mit der Objekt-ID aus, und fahren Sie mit der Problembehandlung der importierten Objekte des Connectorbereichs fort.

Eigenschaften der Objekte des Connectorbereichs

Wenn auf der Registerkarte Vorgänge keine Fehler angezeigt werden, folgen Sie dem Connector Space-Objekt von Active Directory zur Metaverse und weiter zur Microsoft Entra ID. In diesem Pfad sollten Sie feststellen, wo sich das Problem befindet.

Suchen eines Objekts im Connectorbereich

Wählen Sie in Synchronization Service Manager die Option Connectors, anschließend den Active Directory-Connector und dann Connectorbereich durchsuchen aus.

Wählen Sie im Feld Bereich entweder RDN (wenn Sie nach dem CN-Attribut suchen möchten) oder DN oder Anker (wenn Sie auf dem Attribut distinguishedName suchen möchten) aus. Geben Sie einen Wert ein, und wählen Sie Suchen aus.

Screenshot einer Suche im Connectorbereich

Wenn Sie das gesuchte Objekt nicht finden, wurde es möglicherweise mit der Domänen-basierten Filterung oder der OU-basierten Filterunggefiltert. Um zu überprüfen, ob die Filterung wie gewünscht konfiguriert ist, lesen Sie Microsoft Entra Connect Sync: Konfigurieren der Filterung.

Sie können eine weitere nützliche Suche ausführen, indem Sie den Microsoft Entra Connector auswählen. Wählen Sie im Feld Bereich die Option Import steht aus und dann das Kontrollkästchen Hinzufügen aus. Mit dieser Suche erhalten Sie alle synchronisierten Objekte in der Microsoft Entra-ID, die keinem lokalen Objekt zugeordnet werden können.

Screenshot einer Suche nach verwaisten Elementen im Connectorbereich

Diese Objekte wurden von einem anderen Synchronisierungsmodul oder einem Synchronisierungsmodul mit einer anderen Filterkonfiguration erstellt. Diese verwaisten Objekte werden nicht mehr verwaltet. Überprüfen Sie diese Liste und ziehen Sie in Betracht, diese Objekte mithilfe der Microsoft Graph PowerShell Cmdlets zu entfernen.

Importieren aus dem Connectorbereich

Beim Öffnen eines Connectorbereichsobjekts befinden sich oben mehrere Registerkarten. Auf der Registerkarte Importieren werden die Daten angezeigt, die nach einem Import bereitgestellt werden.

Screenshot des Connector Space Object Properties Eigenschaftenfenster mit ausgewählter Registerkarte Importieren

In der Spalte Alter Wert wird angezeigt, was derzeit in Connect gespeichert ist. In der Spalte "Neuer Wert" wird angezeigt, was vom Quellsystem empfangen wird und noch nicht angewendet wird. Wenn ein Fehler für das Objekt vorliegt, werden Änderungen nicht verarbeitet.

Die Registerkarte Synchronisierungsfehler wird nur dann im Fenster Connector Space Object Properties (Eigenschaften der Objekte des Connectorbereichs) angezeigt, wenn ein Problem mit dem Objekt vorliegt. Weitere Informationen finden Sie unter Beheben von Synchronisierungsfehlern auf der Registerkarte Vorgänge.

Screenshot der Registerkarte „Synchronisierungsfehler“ im Connector Space Object Eigenschaftenfenster

CS-Herkunft

Auf der Registerkarte Herkunft im Fenster Connector Space Object Properties (Eigenschaften der Objekte des Connectorbereichs) wird gezeigt, in welchem Verhältnis das Objekt aus dem Connectorbereich mit dem Metaverseobjekt steht. Sie sehen, wann der Connector zuletzt eine Änderung aus dem verbundenen System importiert hat und welche Regeln zum Auffüllen der Daten in der Metaverse angewandt wurden.

Screenshot der Registerkarte „Herkunft“ im Fenster „Connector Space Object Eigenschaftenfenster

In der obigen Abbildung zeigt die Spalte Aktion eine Synchronisierungsregel für eingehende Daten mit der Aktion Bereitstellen. Das bedeutet, dass das Metaverse-Objekt verbleibt, solange dieses Verbinderraumobjekt vorhanden ist. Wenn die Liste mit den Synchronisierungsregeln hingegen eine Synchronisierungsregel für ausgehende Daten mit der Aktion Bereitstellen enthält, wird beim Löschen des Metaverseobjekts auch dieses Objekt gelöscht.

Screenshot eines Herkunftsfensters auf der Registerkarte „Herkunft“ im Fenster „Connector Space Object Eingenschaftenfenster

Sie können in der obigen Abbildung in der Spalte PasswordSync (Kennwortsynchronisierung) auch sehen, dass der eingehende Connectorbereich Kennwortänderungen beitragen kann, da eine Synchronisierungsregel den Wert True aufweist. Dieses Kennwort wird über die Ausgangsregel an die Microsoft Entra-ID gesendet.

Auf der Registerkarte Herkunft gelangen Sie zum Metaverse, indem Sie Metaverse Object Properties (Eigenschaften der Metaverseobjekte) auswählen.

Vorschau

In der linken unteren Ecke des Fensters Connector Space Object Properties (Eigenschaften der Objekte des Connectorbereichs) befindet sich die Schaltfläche Vorschau. Wählen Sie diese Schaltfläche aus, um die Seite Vorschau zu öffnen, auf der Sie ein einzelnes Objekt synchronisieren können. Diese Seite ist nützlich, wenn Sie bestimmte benutzerdefinierte Synchronisierungsregeln untersuchen und die Auswirkungen einer Änderung auf ein einzelnes Objekt sehen möchten. Sie können eine Vollsynchronisation oder eine Deltasynchronisation auswählen. Sie können auch Vorschau erstellen wählen, wodurch die Änderung nur im Speicher verbleibt. Wählen Sie stattdessen Commitvorschau (Vorschau ausführen) aus, um die Metaverse zu aktualisieren und alle Änderungen in den Zielconnectorbereichen bereitzustellen.

Screenshot der Seite „Vorschau“ mit ausgewählter Option Vorschau starten

In der Vorschau können Sie das Objekt überprüfen und sehen, welche Regel für einen bestimmten Attributfluss angewendet wurde.

Screenshot der Seite „Vorschau“ mit dem Importflow der Attribute

Log

Wählen Sie neben der Schaltfläche Vorschau die Schaltfläche Protokoll aus, um die Seite Protokoll zu öffnen. Hier sehen Sie den Status der Kennwortsynchronisierung und den Verlauf. Weitere Informationen finden Sie unter Fehlerbehebung bei der Kennworthashsynchronisierung mit Microsoft Entra Connect Sync.

Metaverse-Objekteigenschaften

Es ist besser, mit der Suche aus dem Active Directory-Quellconnectorbereich zu beginnen. Sie können aber auch mit der Suche aus dem Metaverse beginnen.

Suchen nach einem Objekt in der MV

Wählen Sie in Synchronization Service Manager Metaverse Search (Metaversesuche) aus, wie in der folgenden Abbildung gezeigt. Erstellen Sie eine Abfrage, von der Sie wissen, dass der Benutzer gefunden wird. Suchen Sie nach allgemeinen Attributen, z. B. accountName (sAMAccountName) und userPrincipalName. Weitere Informationen finden Sie unter Synchronization Service Manager – Metaverse Search.

Screenshot von Synchronization Service Manager mit ausgewählter Registerkarte „Metaverse Search“

Wählen Sie im Fenster Suchergebnisse das Objekt aus.

Wenn Sie das Objekt nicht gefunden haben, hat es das Metaverse nicht erreicht. Suchen Sie das Objekt weiter im Active Directory-Connectorbereich. Wenn Sie das Objekt im Active Directory-Verbinderbereich finden, kann ein Synchronisierungsfehler auftreten, der das Objekt daran hindert, zur Metaverse zu kommen. Ein Bereichsfilter der Synchronisierungsregel kann alternativ angewendet werden.

Objekt in MV nicht gefunden

Wenn das Objekt im Active Directory-Connectorbereich, aber nicht im Metaverse vorhanden ist, wird ein Bereichsfilter angewandt. Um den Bereichsfilter anzuzeigen, wählen Sie im Menü der Desktopanwendung den Synchronisierungsregel-Editor aus. Filtern Sie die regeln, die für das Objekt gelten, indem Sie den folgenden Filter anpassen.

Screenshot des Synchronisierungsregel-Editors mit einer Suche nach Synchronisierungsregeln für eingehende Daten

Zeigen Sie Regel in der Liste von oben nach unten an, und überprüfen Sie die Bereichsfilter. Wenn der Wert isCriticalSystemObject im folgenden Bereichsfilter NULL, FALSE oder leer ist, gehört er zum Bereich.

Screenshot eines Bereichsfilters in einer Suche nach Synchronisierungsregeln für eingehende Daten

Wechseln Sie zur Attributliste CS Import (Aus dem Connectorbereich importieren), und überprüfen Sie, welcher Filter das Verschieben des Objekts in die Metaverse verhindert. In der Attributliste Connector Space werden nur Attribute angezeigt, die nicht null und nicht leer sind. Wenn z. B. isCriticalSystemObject in der Liste nicht angezeigt wird, ist der Wert dieses Attributs NULL oder leer.

Das Objekt wurde in der Microsoft Entra-CS nicht gefunden.

Wenn das Objekt nicht im Connectorbereich von Microsoft Entra ID vorhanden ist, aber in der MV vorhanden ist, sehen Sie sich den Bereichsdefinitionsfilter der Ausgangsregeln des entsprechenden Connectorbereichs an. Ermitteln Sie, ob das Objekt herausgefiltert wird, weil die MV-Attribute die Kriterien nicht erfüllen.

Um den ausgehenden Bereichsfilter anzuzeigen, wählen Sie die anwendbaren Regeln für das Objekt aus, indem Sie den folgenden Filter anpassen. Zeigen Sie jede einzelne Regel an, und überprüfen Sie den entsprechenden Wert für das MV-Attribut.

Screenshot einer Suche nach Synchronisierungsregeln für ausgehende Daten im Synchronisierungsregel-Editor

MV-Attribute

Auf der Registerkarte Attribute werden die Werte und der Connectors, von denen sie stammen, angezeigt.

Screenshot des Fensters

Wenn ein Objekt nicht synchronisiert wird, stellen Sie die folgenden Fragen zu Attributzuständen in der Metaverse:

  • Ist das Attribut cloudFiltered vorhanden und auf True festgelegt? Wenn ja, wird sie nach den Schritten in attributbasierten Filterunggefiltert.
  • Ist das Attribut sourceAnchor vorhanden? Wenn dies nicht der Fall ist, haben Sie eine Topologie mit Kontoressourcengesamtstruktur? Wenn ein Objekt als ein verknüpftes Postfach identifiziert wird (das Attribut msExchRecipientTypeDetails hat den Wert 2), dann wird sourceAnchor von der Gesamtstruktur mit einem aktivierten Active Directory-Konto bereitgestellt. Stellen Sie sicher, dass das Hauptkonto importiert und ordnungsgemäß synchronisiert wird. Das Hauptkonto muss bei den Connectors für das Objekt aufgelistet sein.

Metaverseconnectors

Auf der Registerkarte Connectors werden alle Connectorbereiche angezeigt, die über eine Darstellung des Objekts verfügen.

Screenshot des Fensters

Sie müssen einen Connector haben für:

  • Jede Active Directory-Gesamtstruktur, in der der Benutzer dargestellt wird. Diese Darstellung kann die Objekte foreignSecurityPrincipals und Contact umfassen.
  • Ein Connector in der Microsoft Entra-ID.

Wenn Ihnen der Connector zu Microsoft Entra ID fehlt, lesen Sie den Abschnitt zu MV-Attributen, um die Kriterien für die Bereitstellung an Microsoft Entra ID zu überprüfen.

Sie können auch von der Registerkarte Connectors zum Objekt im Connectorbereich navigieren. Wählen Sie eine Zeile aus, und wählen Sie Eigenschaftenaus.

Nächste Schritte