Freigeben über

End-to-End-Problembehandlung bei Microsoft Entra Connect-Objekten und -Attributen

  • Artikel

Dieser Artikel soll eine gängige Vorgehensweise für die Behandlung von Synchronisierungsproblemen in microsoft Entra ID einrichten. Diese Methode gilt für Situationen, in denen ein Objekt oder Attribut nicht mit Azure Active AD synchronisiert wird und keine Fehler im Synchronisierungsmodul, in den Anwendungsanzeigeprotokollen oder in den Microsoft Entra-Protokollen anzeigt. Es ist einfach, in den Details verloren zu gehen, wenn kein offensichtlicher Fehler auftritt. Mithilfe bewährter Methoden können Sie das Problem jedoch isolieren und Einblicke für Microsoft-Support Ingenieure bereitstellen.

Wenn Sie diese Problembehandlungsmethode auf Ihre Umgebung anwenden, können Sie im Laufe der Zeit die folgenden Schritte ausführen:

  • Problembehandlung für die Logik des Synchronisierungsmoduls von Ende bis Ende.
  • Beheben sie Synchronisierungsprobleme effizienter.
  • Identifizieren Sie Probleme schneller, indem Sie den Schritt vorhersagen, in dem sie auftreten.
  • Identifizieren Sie den Ausgangspunkt für die Überprüfung von Daten.
  • Bestimmen Sie die optimale Auflösung.

Screenshot des Flussdiagramms

Die hier bereitgestellten Schritte beginnen auf der lokalen Active Directory-Ebene und führen zu Microsoft Entra ID aus. Diese Schritte sind die häufigste Richtung der Synchronisierung. Die gleichen Prinzipien gelten jedoch für die umgekehrte Richtung (z. B. für Attributrückschreiben).

Voraussetzungen

Für ein besseres Verständnis dieses Artikels lesen Sie zunächst die folgenden Erforderlichen Artikel, um ein besseres Verständnis für das Suchen nach einem Objekt in verschiedenen Quellen (AD, AD CS, MV usw.) zu erfahren und zu verstehen, wie die Verbinder und die Linie eines Objekts überprüft werden.

Falsche Problembehandlungspraktiken

Das DirSyncEnabled-Flag in der Microsoft Entra-ID steuert, ob der Mandant bereit ist, die Synchronisierung von Objekten von lokalem AD zu akzeptieren. Wir haben gesehen, dass viele Kunden es gewohnt sind, DirSync für den Mandanten zu deaktivieren, während Sie Probleme mit der Objekt- oder Attributsynchronisierung beheben. Sie können die Verzeichnissynchronisierung ganz einfach deaktivieren, indem Sie das folgende PowerShell-Cmdlet ausführen:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Notiz

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Dies kann jedoch katastrophal sein, da sie einen komplexen und langwierigen Back-End-Vorgang auslöst, um SoA von lokalem Active Directory zu Microsoft Entra ID / Exchange Online für alle synchronisierten Objekte im Mandanten zu übertragen. Dieser Vorgang ist erforderlich, um jedes Objekt von DirSyncEnabled in reine Cloud zu konvertieren und alle Schatteneigenschaften zu bereinigen, die von lokalem AD synchronisiert werden (z. B. ShadowUserPrincipalName und ShadowProxyAddresses). Je nach Größe des Mandanten kann dieser Vorgang mehr als 72 Stunden dauern. Außerdem ist es nicht möglich, vorherzusagen, wann der Vorgang abgeschlossen wird. Verwenden Sie diese Methode niemals, um ein Synchronisierungsproblem zu beheben, da dies zusätzlichen Schaden verursacht und das Problem nicht beheben wird. Sie werden daran gehindert, DirSync erneut zu aktivieren, bis dieser Deaktivierungsvorgang abgeschlossen ist. Nachdem Sie DirSync erneut aktiviert haben, muss AADC erneut mit allen lokalen Objekten mit vorhandenen Microsoft Entra-Objekten übereinstimmen. Dieser Prozess kann störend sein.

Die einzigen Szenarien, in denen dieser Befehl zum Deaktivieren von DirSync unterstützt wird, sind wie folgt:

  • Sie werden den lokalen Synchronisierungsserver außer Betrieb nehmen, und Sie möchten ihre Identitäten weiterhin vollständig aus der Cloud statt aus Hybrididentitäten verwalten.
  • Sie haben einige synchronisierte Objekte im Mandanten, die Sie als reine Cloud in Microsoft Entra-ID beibehalten und dauerhaft aus dem lokalen AD entfernen möchten.
  • Sie verwenden derzeit ein benutzerdefiniertes Attribut als SourceAnchor in AADC (z. B. EmployeeId), und Sie installieren AADC neu, um mit der Verwendung von ms-Ds-Consistency-Guid/ObjectGuid als neues SourceAnchor-Attribut (oder umgekehrt) zu beginnen.
  • Sie haben einige Szenarien, die riskante Postfach- und Mandantenmigrationsstrategien umfassen.

In einigen Situationen müssen Sie möglicherweise die Synchronisierung vorübergehend beenden oder AADC-Synchronisierungszyklen manuell steuern. Sie müssen beispielsweise die Synchronisierung beenden, um jeweils einen Synchronisierungsschritt ausführen zu können. Statt DirSync zu deaktivieren, können Sie jedoch nur den Synchronisierungszeitplan beenden, indem Sie das folgende Cmdlet ausführen:

Set-ADSyncScheduler -SyncCycleEnabled $false

Wenn Sie fertig sind, starten Sie einen Synchronisierungszyklus manuell, indem Sie das folgende Cmdlet ausführen:

Start-ADSyncSyncCycle

Glossar

Akronym/Abkürzung Name/Beschreibung
AADC Microsoft Entra Connect
AADCA Microsoft Entra Connector-Konto
AADCS Microsoft Entra Connector-Speicherplatz
AADCS:AttributeA Attribut 'A' im Microsoft Entra Connector Space
ACLs Zugriffssteuerungslisten (auch als ADD-Berechtigungen bezeichnet)
ADCA AD Connector-Konto
ADCS Active Directory Connector Space
ADCS:AttributeA Attribut "A" im Active Directory Connector Space
ADD oder AD Active Directory Domain Services
CS Connector Space
MV Metaverse
MSOL-Konto Automatisch generiertes AD Connector-Konto (MSOL_########)
MV:AttributeA Attribut "A" im Metaverse-Objekt
SoA Quelle der Autorität

Schritt 1: Synchronisierung zwischen ADD und ADCS

Ziel für Schritt 1

Bestimmen Sie, ob das Objekt oder Attribut in ADCS vorhanden und konsistent ist. Wenn Sie das Objekt in ADCS suchen können und alle Attribute die erwarteten Werte aufweisen, wechseln Sie zu Schritt 2.

Screenshot der A D Connector Space A D-Replikation.

Beschreibung für Schritt 1

Die Synchronisierung zwischen ADD und ADCS erfolgt im Importschritt und ist der Moment, in dem AADC aus dem Quellverzeichnis liest und Daten in der Datenbank speichert. Das heißt, wenn Daten im Verbinderbereich mehrstufige Daten enthalten sind. Während eines Delta-Imports aus AD fordert AADC alle neuen Änderungen an, die nach einem bestimmten Verzeichniswasserzeichen aufgetreten sind. Dieser Aufruf wird von AADC mithilfe des Directory Services DirSync-Steuerelements für den Active Directory-Replikationsdienst initiiert. Dieser Schritt stellt das letzte Wasserzeichen als letzten erfolgreichen AD-Import bereit und gibt AD den Punkt-in-Time-Verweis, ab dem alle (Delta)-Änderungen abgerufen werden sollen. Ein vollständiger Import unterscheidet sich, da AADC alle Daten (im Synchronisierungsbereich) aus AD importiert und dann alle Objekte, die sich noch in AD BEFINDEN, als veraltet (und gelöscht) markieren, aber nicht aus AD importiert wurden. Alle Daten zwischen AD und AADC werden über LDAP übertragen und standardmäßig verschlüsselt.

Screenshot des Dialogfelds

Wenn die Verbindung mit AD erfolgreich ist, aber das Objekt oder Attribut nicht in ADCS vorhanden ist (vorausgesetzt, die Domäne oder das Objekt befindet sich im Synchronisierungsbereich), umfasst das Problem wahrscheinlich ADD-Berechtigungen. Die ADCA erfordert ay-Leseberechtigungen für das Objekt in AD, um Daten in ADCS zu importieren. Standardmäßig verfügt das MSOL-Konto über explizite Lese-/Schreibberechtigungen für alle Benutzer-, Gruppen- und Computereigenschaften. Diese Situation kann jedoch weiterhin problematisch sein, wenn die folgenden Bedingungen erfüllt sind:

  • AADC verwendet ein benutzerdefiniertes ADCA, aber es wurde nicht ausreichend Berechtigungen in AD bereitgestellt.
  • Eine übergeordnete OU hat die Vererbung blockiert, wodurch die Verteilung von Berechtigungen vom Stamm der Domäne verhindert wird.
  • Das Objekt oder Attribut selbst hat die Vererbung blockiert, wodurch die Verteilung von Berechtigungen verhindert wird.
  • Das Objekt oder Attribut verfügt über eine explizite Verweigerungsberechtigung, die verhindert, dass ADCA sie liest.

Problembehandlung bei Active Directory

Konnektivität mit AD

Im Synchronisierungsdienst-Manager zeigt der Schritt "Importieren aus AD" an, welcher Domänencontroller unter "Verbindungsstatus" kontaktiert wird. Wahrscheinlich wird hier ein Fehler angezeigt, wenn ein Verbindungsproblem vorliegt, das sich auf AD auswirkt.

Screenshot des Bereichs

Wenn Sie weitere Problembehandlung bei der Konnektivität für AD durchführen müssen, insbesondere wenn keine Fehler auf dem Microsoft Entra Connect-Server auftreten oder wenn Sie das Produkt noch installieren, beginnen Sie mit der Verwendung des ADConnectivityTool.

Verbindungsprobleme mit ADD haben die folgenden Ursachen:

  • Ungültige AD-Anmeldeinformationen. Beispielsweise ist die ADCA abgelaufen oder das Kennwort wurde geändert.
  • Ein Fehler bei der Fehlersuche, der auftritt, wenn dirSync Control nicht mit dem AD-Replikationsdienst kommuniziert, in der Regel aufgrund der Fragmentierung von Paketen mit hohem Netzwerk.
  • Ein Fehler vom Typ "no-start-ma", der auftritt, wenn in AD Probleme mit der Namensauflösung (Name Resolution Issues, DNS) auftreten.
  • Andere Probleme, die durch Namensauflösungsprobleme, Netzwerkroutingprobleme, blockierte Netzwerkports, Fragmentierung hoher Netzwerkpakete, keine schreibbaren DCs usw. verursacht werden können. In solchen Fällen müssen Sie wahrscheinlich die Verzeichnisdienste oder Netzwerksupportteams einbeziehen, um die Problembehandlung zu unterstützen.

Zusammenfassung zur Problembehandlung

  • Ermitteln Sie, welcher Domänencontroller verwendet wird.
  • Verwenden Sie bevorzugte Domänencontroller, um denselben Domänencontroller als Ziel zu verwenden.
  • Identifizieren Sie die ADCA ordnungsgemäß.
  • Verwenden Sie adConnectivityTool, um das Problem zu identifizieren.
  • Verwenden Sie das LDP-Tool, um eine Bindung an den Domänencontroller mit dem ADCA zu versuchen.
  • Wenden Sie sich an verzeichnisdienste oder ein Netzwerksupportteam, um Ihnen bei der Problembehandlung zu helfen.

Ausführen der Synchronisierungsproblembehandlung

Führen Sie nach der Problembehandlung für die AD-Konnektivität das Tool zur Problembehandlung für die Objektsynchronisierung aus, da dies allein die offensichtlichsten Gründe für ein Objekt oder Attribut erkennen kann, das nicht synchronisiert werden soll.

Screenshot des Bildschirms

AD-Berechtigungen

Ein Mangel an AD-Berechtigungen kann sich auf beide Richtungen der Synchronisierung auswirken:

  • Wenn Sie von ADDS in ADCS importieren, kann ein Mangel an Berechtigungen dazu führen, dass AADC Objekte oder Attribute überspringt, sodass AADC keine ADD-Updates im Importdatenstrom abrufen kann. Dieser Fehler tritt auf, da die ADCA nicht über ausreichende Berechtigungen zum Lesen des Objekts verfügt.
  • Wenn Sie aus ADCS in ADDS exportieren, generiert ein Mangel an Berechtigungen einen Exportfehler beim Exportieren von "Berechtigungsproblem".

Um Berechtigungen zu überprüfen, öffnen Sie das Fenster "Eigenschaften" eines AD-Objekts, wählen Sie "Sicherheit>erweitert" aus, und überprüfen Sie dann die Zulassungs-/Ablehnungs-ACLs des Objekts, indem Sie die Schaltfläche "Vererbung deaktivieren" auswählen (wenn die Vererbung aktiviert ist). Sie können den Spalteninhalt nach Typ sortieren, um alle Berechtigungen "Verweigern" zu finden. AD-Berechtigungen können stark variieren. Standardmäßig wird jedoch nur eine "Verweigerungs-ACL" für "Exchange Trusted Subsystem" angezeigt. Die meisten Berechtigungen werden als "Zulassen" markiert.

Die folgenden Standardberechtigungen sind die relevantesten:

  • Authentifizierte Benutzer

    Screenshot der authentifizierten Benutzer.

  • Jeder

    Screenshot zeigt, dass die Option

  • Benutzerdefiniertes ADCA- oder MSOL-Konto

    Screenshot des benutzerdefinierten ADCA- oder MSOL-Kontos.

  • Prä-Windows 2000 kompatibler Zugriff

    Screenshot des pre-Windows 2000-kompatiblen Zugriffs.

  • SELF

    Screenshot zeigt, dass die SELF-Berechtigung zulässig ist.

Die beste Möglichkeit zur Problembehandlung von Berechtigungen besteht darin, die Funktion "Effektiver Zugriff" in der Ad-Konsole "Benutzer und Computer " zu verwenden. Dieses Feature überprüft die effektiven Berechtigungen für ein bestimmtes Konto (ADCA) für das Zielobjekt oder Attribut, das Sie behandeln möchten.

Screenshot zeigt Informationen unter der Registerkarte

Wichtig

Die Problembehandlung von AD-Berechtigungen kann schwierig sein, da eine Änderung in ACLs nicht sofort wirksam wird. Berücksichtigen Sie immer, dass solche Änderungen der AD-Replikation unterliegen.

Zum Beispiel:

  • Stellen Sie sicher, dass Sie die erforderlichen Änderungen direkt am nächstgelegenen Domänencontroller vornehmen (siehe Abschnitt "Konnektivität mit AD"):
  • Warten Sie, bis ADD-Replikationen auftreten.
  • Starten Sie den ADSync-Dienst nach Möglichkeit neu, um den Cache zu löschen.

Zusammenfassung zur Problembehandlung

  • Ermitteln Sie, welcher Domänencontroller verwendet wird.
  • Verwenden Sie bevorzugte Domänencontroller, um denselben Domänencontroller als Ziel zu verwenden.
  • Identifizieren Sie die ADCA ordnungsgemäß.
  • Verwenden Sie das Tool "Ad DS-Connectorkontoberechtigungen konfigurieren" .
  • Verwenden Sie das Feature "Effektiver Zugriff" in AD-Benutzern und -Computern.
  • Verwenden Sie das LDP-Tool, um eine Bindung an den Domänencontroller mit adCA zu erstellen, und versuchen Sie, das fehlerhafte Objekt oder Attribut zu lesen.
  • Fügen Sie adCA vorübergehend den Unternehmensadministratoren oder Domänenadministratoren hinzu, und starten Sie den ADSync-Dienst neu.

Wichtig: Verwenden Sie dies nicht als Lösung.

  • Nachdem Sie das Berechtigungsproblem überprüft haben, entfernen Sie die ADCA aus allen besonders privilegierten Gruppen, und stellen Sie die erforderlichen AD-Berechtigungen direkt für die ADCA bereit.
  • Binden Sie Verzeichnisdienste oder ein Netzwerksupportteam ein, um Ihnen bei der Problembehandlung zu helfen.

AD-Replikationen

Dieses Problem wirkt sich weniger auf Microsoft Entra Connect aus, da es größere Probleme verursacht. Wenn Microsoft Entra Connect Jedoch Daten aus einem Domänencontroller mithilfe der verzögerten Replikation importiert, importiert es nicht die neuesten Informationen aus AD, wodurch Synchronisierungsprobleme verursacht werden, bei denen ein Objekt oder Attribut, das kürzlich erstellt oder in AD geändert wurde, nicht mit Microsoft Entra ID synchronisiert wird, da es nicht auf den Domänencontroller repliziert wurde, an den Microsoft Entra Connect kontaktiert wird. Um zu überprüfen, ob dies das Problem ist, überprüfen Sie den Domänencontroller, den AADC für den Import verwendet (siehe "Konnektivität mit AD"), und verwenden Sie die AD-Benutzer- und Computerkonsole , um eine direkte Verbindung mit diesem Server herzustellen (siehe Ändern des Domänencontrollers im nächsten Bild). Überprüfen Sie dann, ob die Daten auf diesem Server den neuesten Daten entsprechen und ob sie mit den jeweiligen ADCS-Daten konsistent sind. In dieser Phase generiert AADC eine größere Last für den Domänencontroller und die Netzwerkschicht.

Screenshot der Option

Ein weiterer Ansatz besteht darin, das RepAdmin-Tool zu verwenden, um die Replikationsmetadaten des Objekts auf allen Domänencontrollern zu überprüfen, den Wert von allen Domänencontrollern abzurufen und den Replikationsstatus zwischen Domänencontrollern zu überprüfen:

  • Attributwert von allen Domänencontrollern:

    repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

    Screenshot des RepAdmin-Tools mit showattr.

  • Objektmetadaten aller DCs:

    repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

    Screenshot des RepAdmin-Tools mit dem Befehl showobjmeta.

  • AD-Replikationszusammenfassung

    repadmin /replsummary

    Screenshot des RepAdmin-Tools mit dem Befehl

Zusammenfassung zur Problembehandlung

  • Ermitteln Sie, welcher Domänencontroller verwendet wird.
  • Vergleichen sie Daten zwischen Domänencontrollern.
  • Analysieren Sie die RepAdmin-Ergebnisse.
  • Wenden Sie sich an verzeichnisdienste oder das Netzwerksupportteam, um das Problem zu beheben.

Domänen- und OU-Änderungen sowie Objekttypen oder Attribute, die in ADDS Connector gefiltert oder ausgeschlossen wurden

  • Das Ändern der Domänen- oder OU-Filterung erfordert einen vollständigen Import

    Denken Sie daran, dass auch wenn die Domänen- oder OU-Filterung bestätigt wird, alle Änderungen an der Domänen- oder OU-Filterung erst wirksam werden, nachdem ein vollständiger Importschritt ausgeführt wurde.

  • Attributfilterung mit Microsoft Entra-App und Attributfilterung

    Ein leicht zu übersehenes Szenario für Attribute, die nicht synchronisiert werden, ist, wenn Microsoft Entra Connect mit der Microsoft Entra-App und attributfilterungsfunktion konfiguriert ist. Um zu überprüfen, ob das Feature aktiviert ist und für welche Attribute ein allgemeiner Diagnosebericht verwendet wird.

  • Objekttyp, der in der ADD Connector-Konfiguration ausgeschlossen ist

    Diese Situation tritt nicht so häufig für Benutzer und Gruppen auf. Wenn jedoch alle Objekte eines bestimmten Objekttyps in ADCS fehlen, kann es hilfreich sein, zu untersuchen, welche Objekttypen in der ADD Connector-Konfiguration aktiviert sind.

    Sie können das Cmdlet Get-ADSyncConnector verwenden, um die Objekttypen abzurufen, die für den Connector aktiviert sind, wie in der nächsten Abbildung dargestellt. Im Folgenden sind die Objekttypen aufgeführt, die standardmäßig aktiviert werden sollten:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

    Im Folgenden sind die Objekttypen aufgeführt, die standardmäßig aktiviert werden sollten:

    Screenshot der Get-ADSyncConnector-Objekttypen.

    Notiz

    Der objekttyp publicFolder ist nur vorhanden, wenn das Feature "E-Mail-Aktivierter öffentlicher Ordner" aktiviert ist.

  • In ADCS ausgeschlossenes Attribut

    Wenn das Attribut für alle Objekte fehlt, überprüfen Sie auf die gleiche Weise, ob das Attribut im AD Connector ausgewählt ist.

    Um in ADDS Connector aktivierte Attribute zu überprüfen, verwenden Sie den Synchronisierungs-Manager, wie in der nächsten Abbildung dargestellt, oder führen Sie das folgende PowerShell-Cmdlet aus:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

    Screenshot des AD Connector-Synchronisierungs-Managers.

    Notiz

    Das Einschließen oder Ausschließen von Objekttypen oder Attributen im Synchronisierungsdienst-Manager wird nicht unterstützt.

Zusammenfassung zur Problembehandlung

Ressourcen für Schritt 1

Hauptressourcen:

  • Get-ADSyncConnectorAccount – Identifizieren des richtigen Connectorkontos, das von AADC verwendet wird

  • ADConnectivityTool

  • Identifizieren von Konnektivitätsproblemen mit ADDS

  • Trace-ADSyncToolsADImport (ADSyncTools) – Ablaufverfolgungsdaten, die aus ADDS importiert werden

  • LDIFDE - Dump-Objekt von ADDS zum Vergleichen von Daten zwischen ADDS und ADCS

  • LDP – Testen der AD Bind-Konnektivität und Berechtigungen zum Lesen von Objekten im Sicherheitskontext von ADCA

  • DSACLS – Vergleich und Auswertung von ADD-Berechtigungen

  • Set-ADSync-Featureberechtigungen< >– Anwenden von AADC-Standardberechtigungen in ADDS

  • RepAdmin – Überprüfen der AD-Objektmetadaten und des AD-Replikationsstatus

Schritt 2: Synchronisierung zwischen ADCS und MV

Screenshot des Flussdiagramms A D C S zu MetaVerse.

Ziel für Schritt 2

In diesem Schritt wird überprüft, ob das Objekt oder das Attribut von CS zu MV fließt (d. h., ob das Objekt oder Attribut auf die MV projiziert wird). Stellen Sie in dieser Phase sicher, dass das Objekt vorhanden ist oder dass das Attribut in ADCS korrekt ist (in Schritt 1 behandelt), und beginnen Sie dann mit der Betrachtung der Synchronisierungsregeln und der Linien des Objekts.

Beschreibung für Schritt 2

Die Synchronisierung zwischen ADCS und MV erfolgt im Delta/vollständigen Synchronisierungsschritt. Zu diesem Zeitpunkt liest AADC die mehrstufigen Daten in ADCS, verarbeitet alle Synchronisierungsregeln und aktualisiert das jeweilige MV-Objekt. Dieses MV-Objekt enthält CS-Verknüpfungen (oder Verbinder), die auf die CS-Objekte verweisen, die zu ihren Eigenschaften beitragen, und die Linien der Synchronisierungsregeln, die im Synchronisierungsschritt angewendet wurden. In dieser Phase generiert AADC mehr Last auf sql Server (oder LocalDB) und Netzwerkebenen.

Problembehandlung bei ADCS > MV für Objekte

  • Überprüfen der Eingehenden Synchronisierungsregeln für die Bereitstellung

    Ein Objekt, das in ADCS vorhanden ist, aber in MV fehlt, gibt an, dass es keine Bereichsdefinitionsfilter für die Bereitstellungssynchronisierungsregeln gab, die auf dieses Objekt angewendet wurden. Daher wurde das Objekt nicht auf MV projiziert. Dieses Problem kann auftreten, wenn deaktivierte oder angepasste Synchronisierungsregeln vorhanden sind.

    Führen Sie den folgenden Befehl aus, um eine Liste der Regeln für die eingehende Bereitstellungssynchronisierung abzurufen:

    Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Screenshot: Der Befehl

  • Überprüfen der Lineage des ADCS-Objekts

    Sie können das fehlerhafte Objekt aus dem ADCS abrufen, indem Sie im Suchconnectorbereich nach "DN oder Anchor" suchen. Auf der Registerkarte "Linie " wird wahrscheinlich angezeigt, dass es sich bei dem Objekt um einen Disconnector (keine Verknüpfungen mit MV) handelt, und die Linienlinie ist leer. Überprüfen Sie außerdem, ob das Objekt Fehler hat, falls eine Synchronisierungsfehlerregisterkarte vorhanden ist.

    Screenshot der Eigenschaften des Connector Space-Objekts in A D C S.

  • Ausführen einer Vorschau für das ADCS-Objekt

    Wählen Sie preview>Generate Preview>Commit Preview aus, um festzustellen, ob das Objekt auf MV projiziert wird. Wenn dies der Fall ist, sollte ein vollständiger Synchronisierungszyklus das Problem für andere Objekte in derselben Situation beheben.

    Screenshot des Bildschirms

    Screenshot des Bildschirms

  • Exportieren des Objekts in XML

    Für eine detailliertere Analyse (oder offline-Analyse) können Sie alle Datenbankdaten sammeln, die mit dem Objekt zusammenhängen, indem Sie das Cmdlet Export-ADSyncObject verwenden . Mit diesen exportierten Informationen können Sie ermitteln, welche Regel das Objekt herausfiltert. Mit anderen Worten, welcher eingehende Bereichsfilter in den Bereitstellungssynchronisierungsregeln verhindert, dass das Objekt auf die MV projiziert wird.

    Hier sind einige Beispiele für die Syntax " Export-ADsyncObject ":

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Problembehandlungszusammenfassung (Objekte)

  • Überprüfen Sie die Bereichsfilter für die eingehenden Bereitstellungsregeln "Von AD".
  • Erstellen Sie eine Vorschau des Objekts.
  • Führen Sie einen vollständigen Synchronisierungszyklus aus.
  • Exportieren Sie die Objektdaten mithilfe des Skripts "Export-ADSyncObject ".

Problembehandlung bei ADCS > MV für Attribute

  1. Identifizieren der Regeln für eingehende Synchronisierung und Transformationsregeln des Attributs

    Jedes Attribut verfügt über einen eigenen Satz von Transformationsregeln, die für das Weiterleiten des Werts von ADCS auf MV verantwortlich sind. Der erste Schritt besteht darin, zu ermitteln, welche Synchronisierungsregeln die Transformationsregel für das Attribut enthalten, das Sie behandeln möchten.

    Die beste Möglichkeit, zu ermitteln, welche Synchronisierungsregeln über eine Transformationsregel für ein bestimmtes Attribut verfügen, besteht darin, die integrierten Filterfunktionen des Synchronisierungsregeln-Editors zu verwenden.

    Screenshot des Editors für Synchronisierungsregeln in A D C S.

  2. Überprüfen der Lineage des ADCS-Objekts

    Jeder Verbinder (oder eine Verknüpfung) zwischen cs und MV verfügt über eine Linie, die Informationen zu den Synchronisierungsregeln enthält, die auf dieses CS-Objekt angewendet werden. Im vorherigen Schritt erfahren Sie, welche Gruppe von eingehenden Synchronisierungsregeln (ob Bereitstellungs- oder Verknüpfungssynchronisierungsregeln) in der Linie des Objekts vorhanden sein muss, um den richtigen Wert von ADCS zu MV zu übertragen. Wenn Sie die Linie des ADCS-Objekts untersuchen, können Sie ermitteln, ob diese Synchronisierungsregel auf das Objekt angewendet wurde.

    Screenshot des Bildschirms

    Wenn mehrere Verbinder (mehrere AD-Gesamtstrukturen) mit dem MV-Objekt verknüpft sind, müssen Sie möglicherweise die Metaverse-Objekteigenschaften überprüfen, um zu bestimmen, welcher Connector den Attributwert zu dem Attribut beiträgt, das Sie beheben möchten. Nachdem Sie den Verbinder identifiziert haben, überprüfen Sie die Linie dieses ADCS-Objekts.

    Screenshot des Bildschirms

  3. Überprüfen der Bereichsfilter für die Regel für die eingehende Synchronisierung

    Wenn eine Synchronisierungsregel aktiviert, aber nicht in der Auflistung des Objekts vorhanden ist, sollte das Objekt nach dem Bereichsfilter der Synchronisierungsregel gefiltert werden. Durch Überprüfen der Bereichsfilter der Synchronisierungsregel, der Daten im ADCS-Objekt und ob die Synchronisierungsregel aktiviert oder deaktiviert ist, sollten Sie ermitteln können, warum diese Synchronisierungsregel nicht auf das ADCS-Objekt angewendet wurde.

    Nachfolgend finden Sie ein Beispiel für einen häufig problematischen Bereichsfilter aus einer Synchronisierungsregel, die für die Synchronisierung von Exchange-Eigenschaften verantwortlich ist. Wenn das Objekt einen NULL-Wert für mailNickName aufweist, fließen keine der Exchange-Attribute in den Transformationsregeln an die Microsoft Entra-ID.

    Screenshot des Bildschirms

  4. Ausführen einer Vorschau auf ADCS-Objekt

    Wenn Sie nicht ermitteln können, warum die Synchronisierungsregel in der Linie des ADCS-Objekts fehlt, führen Sie eine Vorschau aus, indem Sie "Vorschau generieren" und "Commitvorschau" für eine vollständige Synchronisierung des Objekts verwenden. Wenn das Attribut in MV aktualisiert wird und über eine Vorschau verfügt, sollte ein vollständiger Synchronisierungszyklus das Problem für andere Objekte in derselben Situation beheben.

  5. Exportieren des Objekts in XML

    Für eine detailliertere Analyse oder Offlineanalyse können Sie alle Datenbankdaten sammeln, die sich auf das Objekt beziehen, indem Sie das Export-ADSyncObject-Skript verwenden . Mit diesen exportierten Informationen können Sie ermitteln, welche Synchronisierungsregel oder Transformationsregel für das Objekt fehlt, das verhindert, dass das Attribut auf die MV projiziert wird (siehe die Export-ADSyncObject-Beispiele weiter oben in diesem Artikel).

Problembehandlungszusammenfassung (für Attribute)

  • Identifizieren Sie die richtigen Synchronisierungsregeln und Transformationsregeln, die für den Fluss des Attributs an die MV verantwortlich sind.
  • Überprüfen Sie die Linie des Objekts.
  • Überprüfen Sie, ob Synchronisierungsregeln aktiviert wurden.
  • Überprüfen Sie die Bereichsfilter der Synchronisierungsregeln, die in der Zeile des Objekts fehlen.

Erweiterte Problembehandlung für die Synchronisierungsregelpipeline

Wenn Sie das ADSync-Modul (auch als MiiServer bezeichnet) im Hinblick auf die Synchronisierungsregelverarbeitung weiter debuggen müssen, können Sie die ETW-Ablaufverfolgung in der CONFIG-Datei (C:\Programme\Microsoft Azure AD Sync\Bin\miiserver.exe.config) aktivieren. Diese Methode generiert eine umfangreiche ausführliche Textdatei, die alle Verarbeitung von Synchronisierungsregeln anzeigt. Es kann jedoch schwierig sein, alle Informationen zu interpretieren. Verwenden Sie diese Methode als letzte Möglichkeit oder wenn sie von Microsoft-Support angegeben wird.

Ressourcen für Schritt 2

  • Benutzeroberfläche des Synchronisierungsdienst-Managers
  • Synchronisierungsregel-Editor
  • Export-ADsyncObject-Skript
  • Start-ADSyncSyncCycle -PolicyType Initial
  • ETW-Ablaufverfolgung SyncRulesPipeline (miiserver.exe.config)

Schritt 3: Synchronisierung zwischen MV und AADCS

Screenshot des Flussdiagramms

Ziel für Schritt 3

In diesem Schritt wird überprüft, ob das Objekt oder attribut von MV zu AADCS fließt. Stellen Sie zu diesem Zeitpunkt sicher, dass das Objekt vorhanden ist oder dass das Attribut in ADCS und MV korrekt ist (in den Schritten 1 und 2 behandelt). Überprüfen Sie dann die Synchronisierungsregeln und die Linien des Objekts. Dieser Schritt ähnelt Schritt 2, in dem die eingehende Richtung von ADCS zu MV untersucht wurde. In diesem Stadium konzentrieren wir uns jedoch auf die ausgehenden Synchronisierungsregeln und Attribute, die von MV zu AADCS fließen.

Beschreibung für Schritt 3

Die Synchronisierung zwischen MV und AADCS erfolgt im Delta/vollständigen Synchronisierungsschritt, wenn AADC die Daten in MV liest, alle Synchronisierungsregeln verarbeitet und das jeweilige AADCS-Objekt aktualisiert. Dieses MV-Objekt enthält CS-Verknüpfungen (auch als Connectors bezeichnet), die auf die CS-Objekte verweisen, die zu ihren Eigenschaften beitragen, und die Linie der Synchronisierungsregeln, die im Synchronisierungsschritt angewendet wurden. Zu diesem Zeitpunkt generiert AADC mehr Last auf SQL Server (oder localDB) und die Netzwerkebene.

Problembehandlung bei MV zu AADCS für Objekte

  1. Überprüfen der Ausgehenden Synchronisierungsregeln für die Bereitstellung

    Ein Objekt, das in MV vorhanden ist, aber in AADCS fehlt, gibt an, dass es keine Bereichsdefinitionsfilter für die Bereitstellungssynchronisierungsregeln gab, die auf dieses Objekt angewendet wurden. Die Synchronisierungsregeln "Out to Microsoft Entra ID" finden Sie beispielsweise in der nächsten Abbildung. Daher wurde das Objekt nicht in AADCS bereitgestellt. Dieser Fehler kann auftreten, wenn deaktivierte oder angepasste Synchronisierungsregeln vorhanden sind.

    Führen Sie den folgenden Befehl aus, um eine Liste der Regeln für die eingehende Bereitstellungssynchronisierung abzurufen:

    Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Screenshot von Get-ADSyncRule, der zum Auschecken ausgehender Synchronisierungsregeln verwendet wird.

  2. Überprüfen der Lineage des ADCS-Objekts

    Um das fehlerhafte Objekt aus dem MV abzurufen, verwenden Sie eine Metaverse-Suche, und untersuchen Sie dann die Registerkarte "Connectors". Auf dieser Registerkarte können Sie bestimmen, ob das MV-Objekt mit einem AADCS-Objekt verknüpft ist. Überprüfen Sie außerdem, ob das Objekt Fehler hat, falls eine Synchronisierungsfehlerregisterkarte vorhanden ist.

    Screenshot des Bildschirms

    Wenn kein AADCS-Connector vorhanden ist, wird das Objekt höchstwahrscheinlich auf "cloudFiltered=True" festgelegt. Sie können überprüfen, ob das Objekt in der Cloud gefiltert ist, indem Sie die MV-Attribute untersuchen, für die die Synchronisierungsregel mit dem cloudFiltered-Wert beiträgt.

  3. Ausführen einer Vorschau auf AADCS-Objekt

    Wählen Sie "Vorschauvorschau>generieren" einen Vorschau-Commit> aus, um zu bestimmen, ob das Objekt eine Verbindung mit AADCS herstellt. In diesem Fall sollte ein vollständiger Synchronisierungszyklus das Problem für andere Objekte in derselben Situation beheben.

  4. Exportieren des Objekts in XML

    Für eine detailliertere Analyse oder Offlineanalyse können Sie alle Datenbankdaten sammeln, die sich auf das Objekt beziehen, indem Sie das Export-ADSyncObject-Skript verwenden . Diese exportierten Informationen können zusammen mit der Konfiguration der (ausgehenden) Synchronisierungsregeln helfen, zu bestimmen, welche Regel das Objekt herausfiltert, und kann bestimmen, welcher ausgehende Bereichsfilter in den Bereitstellungssynchronisierungsregeln verhindert, dass das Objekt eine Verbindung mit dem AADCS herstellt).

    Hier sind einige Beispiele für die Syntax " Export-ADsyncObject ":

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
    • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Problembehandlungszusammenfassung für Objekte

  • Überprüfen Sie die Bereichsfilter für die ausgehenden Bereitstellungsregeln "Out to Microsoft Entra ID".
  • Erstellen Sie eine Vorschau des Objekts.
  • Führen Sie einen vollständigen Synchronisierungszyklus aus.
  • Exportieren Sie die Objektdaten mithilfe des Skripts "Export-ADSyncObject ".

Problembehandlung bei MV zu AADCS für Attribute

  1. Identifizieren der Ausgehenden Synchronisierungsregeln und Transformationsregeln des Attributs

    Jedes Attribut verfügt über einen eigenen Satz von Transformationsregeln, die für den Fluss des Werts von MV zu AADCS verantwortlich sind. Ermitteln Sie zunächst, welche Synchronisierungsregeln die Transformationsregel für das Attribut enthalten, das Sie behandeln möchten.

    Die beste Möglichkeit, zu ermitteln, welche Synchronisierungsregeln über eine Transformationsregel für ein bestimmtes Attribut verfügen, besteht darin, die integrierten Filterfunktionen des Synchronisierungsregeln-Editors zu verwenden.

    Screenshot des Synchronisierungsregeln-Editors.

  2. Überprüfen der Lineage des ADCS-Objekts

    Jeder Verbinder (oder eine Verknüpfung) zwischen CS und MV verfügt über eine Linie, die Informationen zu den Synchronisierungsregeln enthält, die auf dieses CS-Objekt angewendet werden. Im vorherigen Schritt erfahren Sie, welche Gruppe von ausgehenden Synchronisierungsregeln (ob Bereitstellungs- oder Verknüpfungssynchronisierungsregeln) in der Linie des Objekts vorhanden sein muss, um den richtigen Wert von MV zu AADCS zu übertragen. Durch Untersuchen der Linien auf das AADCS-Objekt können Sie bestimmen, ob diese Synchronisierungsregel auf das Objekt angewendet wurde.

    Screenshot der Registerkarte

  3. Überprüfen der Bereichsfilter für die ausgehende Synchronisierungsregel

    Wenn eine Synchronisierungsregel aktiviert, aber nicht in der Auflistung des Objekts vorhanden ist, sollte sie vom Bereichsfilter der Synchronisierungsregel herausgefiltert werden. Durch Überprüfen des Vorhandenseins der Bereichsfilter der Synchronisierungsregel und der Daten im MV-Objekt und ob die Synchronisierungsregel aktiviert oder deaktiviert ist, sollten Sie ermitteln können, warum diese Synchronisierungsregel nicht auf das AADCS-Objekt angewendet wurde.

  4. Ausführen einer Vorschau auf AADCS-Objekt

    Wenn Sie feststellen, warum die Synchronisierungsregel aus der Linie des ADCS-Objekts fehlt, führen Sie eine Vorschau aus, die "Vorschau generieren" und "Commitvorschau" für eine vollständige Synchronisierung des Objekts verwendet. Wenn das Attribut in MV durch eine Vorschau aktualisiert wird, sollte ein vollständiger Synchronisierungszyklus das Problem für andere Objekte in derselben Situation beheben.

  5. Exportieren des Objekts in XML

    Für eine detailliertere Analyse oder Offlineanalyse können Sie alle Datenbankdaten sammeln, die mit dem Objekt zusammenhängen, indem Sie das Skript "Export-ADSyncObject" verwenden. Mit diesen exportierten Informationen können Sie zusammen mit der Konfiguration der (ausgehenden) Synchronisierungsregeln ermitteln, welche Synchronisierungsregel oder Transformationsregel für das Objekt fehlt, das verhindert, dass das Attribut an AADCS fließt (siehe "Export-ADSyncObject"-Beispiele weiter oben).

Problembehandlungszusammenfassung für Attribute

  • Identifizieren Sie die richtigen Synchronisierungsregeln und Transformationsregeln, die für den Fluss des Attributs an AADCS verantwortlich sind.
  • Überprüfen Sie die Linie des Objekts.
  • Überprüfen Sie, ob die Synchronisierungsregeln aktiviert sind.
  • Überprüfen Sie die Bereichsfilter der Synchronisierungsregeln, die in der Zeile des Objekts fehlen.

Problembehandlung bei der Synchronisierungsregelpipeline

Wenn Sie das ADSync-Modul (auch als MiiServer bezeichnet) im Hinblick auf die Synchronisierungsregelverarbeitung weiter debuggen müssen, können Sie die ETW-Ablaufverfolgung in der CONFIG-Datei (C:\Programme\Microsoft Azure AD Sync\Bin\miiserver.exe.config) aktivieren. Diese Methode generiert eine umfangreiche ausführliche Textdatei, die alle Verarbeitung von Synchronisierungsregeln anzeigt. Es kann jedoch schwierig sein, alle Informationen zu interpretieren. Verwenden Sie diese Methode nur als letzte Möglichkeit oder wenn sie durch Microsoft-Support angegeben ist.

Ressourcen

  • Benutzeroberfläche des Synchronisierungsdienst-Managers
  • Synchronisierungsregel-Editor
  • Export-ADsyncObject-Skript
  • Start-ADSyncSyncCycle -PolicyType Initial
  • ETW-Ablaufverfolgung SyncRulesPipeline (miiserver.exe.config)

Schritt 4: Synchronisierung zwischen AADCS und AzureAD

Screenshot des Synchronisierungsflussdiagramms zwischen A A D C S und Microsoft Entra ID.

Ziel für Schritt 4

In dieser Phase wird das AADCS-Objekt mit dem entsprechenden Objekt verglichen, das in der Microsoft Entra-ID bereitgestellt wird.

Beschreibung für Schritt 4

Mehrere Komponenten und Prozesse, die am Importieren und Exportieren von Daten in und aus der Microsoft Entra-ID beteiligt sind, können die folgenden Probleme verursachen:

  • Konnektivität mit dem Internet
  • Interne Firewalls und ISP-Konnektivität (z. B. blockierter Netzwerkdatenverkehr)
  • Das Microsoft Entra-Gateway vor DirSync Webservice (auch bekannt als AdminWebService-Endpunkt)
  • Die DirSync-Webservice-API
  • Der Microsoft Entra Core-Verzeichnisdienst

Glücklicherweise generieren die Probleme, die sich auf diese Komponenten auswirken, in der Regel einen Fehler in Ereignisprotokollen, die von Microsoft-Support nachverfolgt werden können. Daher sind diese Probleme für diesen Artikel außerhalb des Umfangs. Dennoch gibt es noch einige "stille" Probleme, die untersucht werden können.

Problembehandlung bei AADCS

  • Mehrere aktive AADC-Server, die nach Microsoft Entra ID exportiert werden

    In einem gängigen Szenario, in dem Objekte in Microsoft Entra ID Attributwerte hin und her kippen, gibt es mehr als einen aktiven Microsoft Entra Connect-Server, und einer dieser Server verliert den Kontakt mit dem lokalen AD, ist aber weiterhin mit dem Internet verbunden und kann Daten nach Microsoft Entra ID exportieren. Jedes Mal, wenn dieser "veraltete" Server eine Änderung von Microsoft Entra-ID auf ein synchronisiertes Objekt importiert, das vom anderen aktiven Server erstellt wird, wird diese Änderung basierend auf den veralteten AD-Daten, die sich im ADCS befinden, wiederhergestellt. Ein typisches Symptom in diesem Szenario ist, dass Sie eine Änderung in AD vornehmen, die mit Microsoft Entra-ID synchronisiert wird, aber die Änderung wird ein paar Minuten später (bis zu 30 Minuten) auf den ursprünglichen Wert zurückgesetzt. Um dieses Problem schnell zu beheben, kehren Sie zu allen alten Servern oder virtuellen Computern zurück, die außer Betrieb genommen wurden, und überprüfen Sie, ob der ADSync-Dienst noch ausgeführt wird.

  • Mobiles Attribut mit DirSyncOverrides

    Wenn der Administrator MSOnline- oder AzureAD PowerShell-Modul verwendet oder wenn der Benutzer zum Office-Portal wechselt und das Attribut "Mobile " aktualisiert, wird die aktualisierte Telefonnummer in AzureAD überschrieben, obwohl das Objekt von lokalem AD synchronisiert wird (auch als DirSyncEnabled bezeichnet).

    Zusammen mit diesem Update legt Die Microsoft Entra-ID auch ein DirSyncOverrides für das Objekt fest, um zu kennzeichnen, dass dieser Benutzer die Mobiltelefonnummer "überschrieben" in Microsoft Entra ID hat. Ab diesem Zeitpunkt werden alle Aktualisierungen des mobilen Attributs, das von der lokalen Bereitstellung stammt, ignoriert, da dieses Attribut nicht mehr von lokalem AD verwaltet wird.

    Weitere Informationen zum BypassDirSyncOverrides-Feature und zum Wiederherstellen der Synchronisierung von Mobile- und anderenMobile-Attributen von Microsoft Entra ID zu lokales Active Directory finden Sie unter Verwenden des BypassDirSyncOverrides-Features eines Microsoft Entra-Mandanten.

  • Änderungen von UserPrincipalName werden in der Microsoft Entra-ID nicht aktualisiert.

    Wenn das Attribut "UserPrincipalName " in der Microsoft Entra-ID nicht aktualisiert wird, während andere Attribute erwartungsgemäß synchronisiert werden, ist es möglich, dass ein Feature mit dem Namen SynchronizeUpnForManagedUsers für den Mandanten nicht aktiviert ist. Dieses Szenario tritt häufig auf.

    Bevor dieses Feature hinzugefügt wurde, wurden alle Updates für den UPN, die von der lokalen Bereitstellung stammen, nachdem der Benutzer in der Microsoft Entra-ID bereitgestellt und eine Lizenz zugewiesen wurde, "im Hintergrund" ignoriert. Ein Administrator müsste MSOnline oder Azure AD PowerShell verwenden, um den UPN direkt in Microsoft Entra ID zu aktualisieren. Nachdem dieses Feature aktualisiert wurde, werden alle Aktualisierungen von UPN an Microsoft Entra gesendet, unabhängig davon, ob der Benutzer lizenziert (verwaltet) ist.

    Notiz

    Nachdem es aktiviert wurde, kann dieses Feature nicht deaktiviert werden.

    BenutzerprincipalName-Updates funktionieren, wenn der Benutzer NICHT lizenziert ist. Ohne das SynchronizeUpnForManagedUsers-Feature ändert sich userPrincipalName jedoch nach der Bereitstellung des Benutzers und erhält eine Lizenz, die NICHT in der Microsoft Entra-ID aktualisiert wird. Beachten Sie, dass Microsoft dieses Feature nicht im Namen des Kunden deaktiviert.

  • Ungültige Zeichen und ProxyCalc-Interne

    Probleme, die ungültige Zeichen umfassen, die keinen Synchronisierungsfehler verursachen, sind in userPrincipalName - und ProxyAddresses-Attributen aufgrund des Cascading-Effekts in der ProxyCalc-Verarbeitung , die den von lokalen AD synchronisierten Wert automatisch verwerfen wird, schwieriger. Diese Situation tritt wie folgt auf:

    1. Der resultierende UserPrincipalName in Microsoft Entra ID ist die Ursprüngliche Domäne MailNickName oder CommonName @ (at). Anstelle von John.Smith@Contoso.com" UserPrincipalName " in Der Microsoft Entra-ID kann beispielsweise ein unsichtbares Zeichen im UPN-Wert aus dem lokalen AD vorhanden sein smithj@Contoso.onmicrosoft.com .

    2. Wenn eine ProxyAddress ein Leerzeichen enthält, verwirft ProxyCalc sie und generiert automatisch eine E-Mail-Adresse basierend auf MailNickName bei der initialen Domäne. Beispielsweise wird "SMTP: John.Smith@Contoso.com" nicht in der Microsoft Entra-ID angezeigt, da sie nach dem Doppelpunkt ein Leerzeichen enthält.

    3. Entweder ein UserPrincipalName , der ein Leerzeichen enthält, oder eine ProxyAddress , die ein unsichtbares Zeichen enthält, verursacht dasselbe Problem.

      Um ein ungültiges Zeichen im UserPrincipalName oder ProxyAddress zu beheben, überprüfen Sie den Wert, der in der lokalen AD von einer LDIFDE oder PowerShell in eine Datei exportiert wird. Ein einfacher Trick zum Erkennen eines unsichtbaren Zeichens besteht darin, den Inhalt der exportierten Datei zu kopieren und dann in ein PowerShell-Fenster einzufügen. Das unsichtbare Zeichen wird durch ein Fragezeichen (?) ersetzt, wie im folgenden Beispiel gezeigt.

      Screenshot zeigt ein Beispiel für die Problembehandlung von UserPrincipalName oder ProxyAddress.

  • ThumbnailPhoto-Attribut (KB4518417)

    Es gibt eine allgemeine Fehleinschätzung, dass Sie nach der ersten Synchronisierung von ThumbnailPhoto von AD nicht mehr aktualisieren können, was nur teilweise zutrifft.

    Normalerweise wird das ThumbnailPhoto in der Microsoft Entra-ID kontinuierlich aktualisiert. Ein Problem tritt jedoch auf, wenn das aktualisierte Bild nicht mehr von der Microsoft Entra-ID von der jeweiligen Workload oder dem jeweiligen Partner (z. B. EXO oder SfBO) abgerufen wird. Dieses Problem verursacht den falschen Eindruck, dass das Bild nicht von lokalem AD mit Microsoft Entra ID synchronisiert wurde.

    Grundlegende Schritte zur Problembehandlung bei ThumbnailPhoto

    1. Stellen Sie sicher, dass das Bild ordnungsgemäß in AD gespeichert ist und den Größengrenzwert von 100 KB nicht überschreitet.

    2. Überprüfen Sie das Bild im Kontenportal, oder verwenden Sie Get-AzureADUserThumbnailPhoto , da diese Methoden das ThumbnailPhoto direkt von Microsoft Entra ID lesen.

    3. Wenn das AD (oder AzureAD) thumbnailPhoto das richtige Bild aufweist, aber auf anderen Onlinedienste nicht korrekt ist, gelten möglicherweise die folgenden Bedingungen:

    • Das Postfach des Benutzers enthält ein HD-Bild und akzeptiert keine Bilder mit niedriger Auflösung von Microsoft Entra thumbnailPhoto. Die Lösung besteht darin, das Postfachimage des Benutzers direkt zu aktualisieren.
    • Das Postfachbild des Benutzers wurde ordnungsgemäß aktualisiert, aber das ursprüngliche Bild wird weiterhin angezeigt. Die Lösung besteht darin, mindestens sechs Stunden zu warten, um das aktualisierte Bild im Office 365-Benutzerportal oder im Azure-Portal anzuzeigen.

Zusätzliche Ressourcen

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.