Solución de errores de sincronización

Completado

Pueden producirse errores cuando se sincronizan datos de identidad de Windows Server Active Directory (AD DS) con Microsoft Entra ID. En esta sección se proporciona información general sobre los distintos tipos de errores de sincronización, algunos de los posibles escenarios que provocan dichos errores y las posibles maneras de corregirlos. También se incluyen los tipos de error más comunes, pero puede que no cubra todos los posibles errores.

Con la versión más reciente de Microsoft Entra Connect, hay un informe de errores de sincronización disponible en Azure Portal como parte de Microsoft Entra Connect Health para la sincronización.

Microsoft Entra Connect realiza tres tipos de operaciones desde los directorios que sincroniza: importación, sincronización y exportación. En todas estas operaciones se pueden producir errores. Esta sección se centra principalmente en los errores que se producen durante la exportación a Microsoft Entra ID.

Errores durante la exportación a Microsoft Entra ID

En la siguiente sección se describen los distintos tipos de errores de sincronización que pueden producirse durante la operación de exportación a Microsoft Entra ID mediante el conector de Microsoft Entra. Este conector se puede identificar mediante el formato de nombre contoso.onmicrosoft.com. Los errores que se producen durante la exportación a Microsoft Entra ID indican que la operación (agregar, actualizar, eliminar, etc.) que intenta realizar Microsoft Entra Connect (motor de sincronización) en Microsoft Entra no se pudo completar.

Errores de coincidencia de datos

InvalidSoftMatch

Descripción

• Cuando Microsoft Entra Connect (motor de sincronización) indica al directorio que agregue o actualice objetos, Microsoft Entra ID hace coincidir el objeto entrante que utiliza el atributo sourceAnchor con el atributo immutableId de los objetos de Microsoft Entra ID. Esta se denomina una coincidencia exacta.
• Cuando Microsoft Entra ID no encuentra ningún objeto que hace coincidir con el atributo immutableId con el atributo sourceAnchor del objeto entrante, antes de aprovisionar un nuevo objeto, recurre al uso de los atributos ProxyAddresses y UserPrincipalName para encontrar una coincidencia. Esta se denomina coincidencia parcial. La coincidencia parcial está diseñada para hacer coincidir objetos que ya están presentes en Microsoft Entra ID con los nuevos que se van a agregar o actualizar durante la sincronización, que representan la misma entidad (usuarios, grupos) de forma local.
• El error InvalidSoftMatch se produce cuando la coincidencia exacta no encuentra ningún objeto coincidente Y la coincidencia parcial encuentra un objeto coincidente, pero cuyo atributo immutableId tiene un valor diferente que el atributo SourceAnchor del objeto de entrada, lo que sugiere que el objeto coincidente se sincronizó con otro objeto de una versión local de Active Directory.

En otras palabras, para que la coincidencia parcial funcione, el objeto con el que se va a realizar no debe tener ningún valor en el atributo immutableId. Si algún objeto cuyo atributo immutableId tenga un valor genera errores de coincidencia exacta, pero satisface los criterios de coincidencia parcial, la operación provocará un error de sincronización InvalidSoftMatch.

El esquema de Microsoft Entra no permite que dos o más objetos tengan el mismo valor en los atributos siguientes. (Esta no es una lista exhaustiva).

• ProxyAddresses
• UserPrincipalName
• onPremisesSecurityIdentifier
• ObjectId

La característica de resistencia de atributos duplicados es una característica de Microsoft Entra también se está implantando como comportamiento predeterminado de Microsoft Entra ID. Así se reduce el número de errores de sincronización que percibe Microsoft Entra Connect (así como otros clientes de sincronización), lo que hace que Microsoft Entra ID sea más resistente en la forma de tratar los atributos de ProxyAddresses y UserPrincipalName duplicados presentes en entornos locales de AD. Esta característica no corrige los errores de duplicación. Por consiguiente, los datos se deben seguir corrigiendo. Pero permite el aprovisionamiento de nuevos objetos que, de lo contrario, no se aprovisionarían debido a la existencia de valores duplicados en Microsoft Entra ID. Esto también reducirá el número de errores de sincronización que se devuelven al cliente de sincronización. Si esta característica está habilitada en su inquilino, no verá errores de sincronización InvalidSoftMatch al aprovisionar nuevos objetos.

Escenarios de ejemplo para InvalidSoftMatch

• Existen dos o más objetos cuyo atributo ProxyAddresses tiene el mismo valor en el entorno de Active Directory local. Solo se aprovisiona uno en Microsoft Entra ID.
• Existen dos o más objetos cuyo atributo userPrincipalName tiene el mismo valor en el entorno de Active Directory local. Solo se aprovisiona uno en Microsoft Entra ID.
• Se agregó un objeto al entorno de Active Directory local en el que el atributo ProxyAddresses tiene el mismo valor que el de un objeto existente en Microsoft Entra. El objeto agregado localmente no se aprovisiona en el directorio de Microsoft Entra.
• Se agregó un objeto al entorno de Active Directory local en el que el atributo userPrincipalName tiene el mismo valor que el de una cuenta de Microsoft Entra ID. El objeto no se aprovisiona en Microsoft Entra ID.
• Una cuenta sincronizada se ha movido de un bosque A a un bosque B. Microsoft Entra Connect (motor de sincronización) usaba el atributo ObjectGUID para calcular el valor de SourceAnchor. Tras moverse el bosque, el valor de la SourceAnchor cambia. El nuevo objeto (del bosque B) no se puede sincronizar con el objeto existente en Microsoft Entra ID.
• Un objeto sincronizado se eliminó accidentalmente del entorno de Active Directory local y en Active Directory se creó un objeto nuevo para la misma entidad (por ejemplo, un usuario) sin eliminar la cuenta en Microsoft Entra ID. La cuenta nueva no puede sincronizarse con el objeto existente de Microsoft Entra.
• Microsoft Entra Connect se desinstaló y reinstaló. Durante la reinstalación, se eligió un atributo diferente como valor de SourceAnchor. Todos los objetos que se habían sincronizado previamente dejaron de estar sincronizados y apareció el error InvalidSoftMatch.

Caso de ejemplo:

1. Bob Smith es un usuario sincronizado en Microsoft Entra ID desde el entorno de Active Directory local contoso.com

2. El atributo UserPrincipalName de Bob Smith se establece como bobs@contoso.com.

3. "abcdefghijklmnopqrstuv ==" es el valor del atributo SourceAnchor que ha calculado Microsoft Entra Connect mediante el atributo objectGUID de Bob Smith desde el entorno de Active Directory local, que es el valor del atributo immutableId de Bob Smith en Microsoft Entra ID.

4. Bob también tiene los siguientes valores en el atributo proxyAddresses:

   • smtp: bobs@contoso.com
   • smtp: bob.smith@contoso.com
   • smtp: bob@contoso.com

5. Un usuario nuevo, Bob Taylor, se agrega al entorno de Active Directory local.

6. El atributo UserPrincipalName de Bob Taylor se establece como bobt@contoso.com.

7. "abcdefghijkl0123456789 ==" " es el valor del atributo sourceAnchor que ha calculado Microsoft Entra Connect mediante el atributo objectGUID desde el entorno de Active Directory local. El objeto de Bob Taylor aún NO se ha sincronizado con Microsoft Entra ID.

8. Bob Taylor también tiene los siguientes valores en el atributo proxyAddresses

   • smtp: bobt@contoso.com
   • smtp: bob.taylor@contoso.com
   • smtp: bob@contoso.com

9. Durante la sincronización, Microsoft Entra Connect reconocerá la adición de Bob Taylor al entorno de Active Directory local y pedirá a Microsoft Entra ID que realizar el mismo cambio.

10. Microsoft Entra ID intentará primero la coincidencia exacta. Es decir, buscará si hay algún objeto en el que el valor de immutableId sea igual a "abcdefghijkl0123456789 ==". No se producirá la coincidencia exacta, ya que no hay ningún otro objeto de Microsoft Entra ID que tenga ese valor en immutableId.

11. Luego, Microsoft Entra ID intentará realizar una coincidencia parcial con Bob Taylor. Es decir, buscará si hay algún objeto en el que el valor de proxyAddresses sea igual a los tres valores, entre los que se incluye smtp: bob@contoso.com

12. Microsoft Entra ID encontrará el objeto de Bob Smith que se ajusta a los criterios de coincidencia parcial. Pero este objeto tiene el valor immutableId = "abcdefghijklmnopqrstuv ==", lo que indica que este objeto se sincronizó desde otro objeto del entorno de Active Directory local. Por consiguiente, Microsoft Entra ID no encuentra una coincidencia parcial con estos objetos, por lo que aparecerá el error de sincronización InvalidSoftMatch.

Solución del error InvalidSoftMatch

El motivo más común por el que aparece el error "InvalidSoftMatch" es que dos objetos con diferentes valores de SourceAnchor (immutableId) tienen el mismo valor en los atributos ProxyAddresses o UserPrincipalName, que se utilizan en el proceso de coincidencia parcial de Microsoft Entra ID. Para corregir la coincidencia parcial no válida

1. Identifique los valores duplicados de proxyAddresses, userPrincipalName o de cualquier otro atributo que provocan el error. Identifique también los dos o más objetos que están implicados en el conflicto. El informe que genera Microsoft Entra Connect Health para la sincronización puede ayudarle a identificar los dos objetos.
2. Identifique qué objeto debe tener el valor duplicado y cuál no.
3. Quite el valor duplicado del objeto que NO debería tenerlo. El cambio se debe realizar en el directorio del que procede el objeto. En algunos casos, es posible que sea preciso eliminar uno de los objetos en conflicto.
4. Si el cambio lo ha realizado en el entorno de AD local, deje que Microsoft Entra Connect lo sincronice.

El informe de errores de sincronización de Microsoft Entra Connect Health para la sincronización se actualiza cada 30 minutos e incluye los errores del último intento de sincronización.

Nota:

ImmutableId, por definición, no debe cambiar mientras dure el objeto. Si Microsoft Entra Connect no se configuró teniendo en cuenta algunos de los escenarios de la lista anterior, puede acabar en una situación en la que Microsoft Entra Connect calcula un valor diferente de SourceAnchor para el objeto de AD que representa la misma entidad (el mismo usuario, grupo, contacto, etc.) que tiene un objeto existente de Microsoft Entra que desea seguir utilizando.

ObjectTypeMismatch

Descripción

Cuando Microsoft Entra ID intenta realizar una coincidencia parcial de dos objetos, es posible que dos objetos de diferentes "tipos de objeto" (como, Usuario, Grupo, Contacto, etc.) tengan los mismos valores en los atributos que se utilizan para realizar la coincidencia parcial. Dado que no se permite la duplicación de estos atributos en Microsoft Entra, la operación puede provocar un error de sincronización "ObjectTypeMismatch".

Escenarios de ejemplo para el error ObjectTypeMismatch

• Se crea un grupo de seguridad habilitado para correo en Microsoft 365. El administrador agrega un nuevo usuario o contacto en el entorno de AD local (que aún no se ha sincronizado con Microsoft Entra ID) con el mismo valor en el atributo ProxyAddresses que el del grupo de Microsoft 365.

Caso de ejemplo

1. Un administrador crea un nuevo grupo de seguridad habilitado para correo en Microsoft 365 para el departamento de fiscalidad y proporciona una dirección de correo electrónico como tax@contoso.com. Este grupo se asigna el valor del atributo ProxyAddresses de smtp: tax@contoso.com
2. Un usuario nuevo se incorpora a Contoso.com y se crea una cuenta para él en el entorno local con el valor de proxyAddress como smtp: tax@contoso.com
3. Cuando Microsoft Entra Connect sincronice la nueva cuenta de usuario, aparecerá el error "ObjectTypeMismatch".

Solución del error ObjectTypeMismatch

El motivo más común por el que aparece el error ObjectTypeMismatch es que dos objetos de tipo diferente (Usuario, Grupos, Contactos, etc.) tienen el mismo valor para el atributo ProxyAddresses. Para corregir el error ObjectTypeMismatch:

1. Identifique los valores duplicados de proxyAddresses (o de cualquier otro atributo) que provocan el error. Identifique también los dos o más objetos que están implicados en el conflicto. El informe que genera Microsoft Entra Connect Health para la sincronización puede ayudarle a identificar los dos objetos.
2. Identifique qué objeto debe tener el valor duplicado y cuál no.
3. Quite el valor duplicado del objeto que NO debería tenerlo. El cambio se debe realizar en el directorio del que procede el objeto. En algunos casos, es posible que sea preciso eliminar uno de los objetos en conflicto.
4. Si el cambio lo ha realizado en el entorno de AD local, deje que Microsoft Entra Connect lo sincronice. El informe de errores de sincronización de Microsoft Entra Connect Health para sincronización se actualiza cada 30 minutos e incluye los errores del último intento de sincronización.

Atributos duplicados

AttributeValueMustBeUnique

Descripción

El esquema de Microsoft Entra no permite que dos o más objetos tengan el mismo valor en los atributos siguientes. Es decir, cada objeto de Microsoft Entra ID debe tener un valor único en estos atributos en una instancia determinada.

• ProxyAddresses
• UserPrincipalName

Si Microsoft Entra Connect intenta agregar un objeto nuevo o actualizar un objeto existente con un valor para los atributos anteriores que ya está asignado a otro objeto de Microsoft Entra ID, la operación producirá el error de sincronización "AttributeValueMustBeUnique".

Escenarios posibles:

El valor duplicado se asigna a un objeto ya sincronizado, que entra en conflicto con otro objeto sincronizado.

Caso de ejemplo:

1. Bob Smith es un usuario sincronizado en Microsoft Entra ID desde el entorno de Active Directory local contoso.com

2. El atributo UserPrincipalName local de Bob Smith se establece como bobs@contoso.com.

3. Bob también tiene los siguientes valores en el atributo proxyAddresses:

   • smtp: bobs@contoso.com
   • smtp: bob.smith@contoso.com
   • smtp: bob@contoso.com

4. Un usuario nuevo, Bob Taylor, se agrega al entorno de Active Directory local.

5. El atributo UserPrincipalName de Bob Taylor se establece como bobt@contoso.com.

6. Bob Taylor también tiene los siguientes valores en el atributo ProxyAddresses i. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com

7. El objeto de Bob Taylor se sincroniza correctamente con Microsoft Entra ID.

8. El administrador ha decidido actualizar el atributo ProxyAddresses de Bob Taylor con el siguiente valor: i. smtp: bob@contoso.com

9. Microsoft Entra ID intentará actualizar el objeto de Bob Taylor con el valor anterior, pero se producirá un error, ya que el valor de ProxyAddresses ya está asignado a Bob Smith, por lo que aparece el error "AttributeValueMustBeUnique".

Solución del error AttributeValueMustBeUnique

El motivo más común por el que aparece el error AttributeValueMustBeUnique es que dos objetos con diferentes valores de SourceAnchor (immutableId) tienen el mismo valor en los atributos ProxyAddresses o UserPrincipalName. Para solucionar el error AttributeValueMustBeUnique

1. Identifique los valores duplicados de proxyAddresses, userPrincipalName o de cualquier otro atributo que provocan el error. Identifique también los dos o más objetos que están implicados en el conflicto. El informe que genera Microsoft Entra Connect Health para la sincronización puede ayudarle a identificar los dos objetos.
2. Identifique qué objeto debe tener el valor duplicado y cuál no.
3. Quite el valor duplicado del objeto que NO debería tenerlo. El cambio se debe realizar en el directorio del que procede el objeto. En algunos casos, es posible que sea preciso eliminar uno de los objetos en conflicto.
4. Si el cambio lo ha realizado en el entorno de AD local, deje que Microsoft Entra Connect lo sincronice, ya que así se corregirá el error.

Errores de validación de datos

IdentityDataValidationFailed

Descripción

Microsoft Entra ID aplica varias restricciones a los datos antes de permitir que se escriban en el directorio. Estas restricciones garantizan que los usuarios finales obtienen las mejores experiencias posibles al usar las aplicaciones que dependen de dichos datos.

Escenarios

El valor del atributo UserPrincipalName tiene caracteres no válidos o no compatibles. b. El atributo UserPrincipalName no sigue el formato requerido.

Solución del error IdentityDataValidationFailed

Asegúrese de que el atributo userPrincipalName tiene caracteres compatibles y el formato requerido.

FederatedDomainChangeError

Descripción

Este caso produce el error de sincronización "FederatedDomainChangeError" cuando el sufijo del atributo UserPrincipalName de un usuario se cambia de un dominio federado a otro.

Escenarios

Para un usuario sincronizado, el sufijo de UserPrincipalName se ha cambiado de un dominio federado a otro dominio federado local. Por ejemplo, UserPrincipalName = bob@contoso.com se ha cambiado a UserPrincipalName = bob@fabrikam.com.

Ejemplo

1. Bob Smith, una cuenta de Contoso.com, se agrega como un nuevo usuario a Active Directory con el atributo UserPrincipalName bob@contoso.com
2. Bob pasa a otra división de Contoso.com llamada Fabrikam.com y el valor de UserPrincipalName se cambia a bob@fabrikam.com
3. Tanto contoso.com como fabrikam.com son dominios federados con Microsoft Entra ID.
4. El atributo userPrincipalName de Bob no se actualiza, por lo que se produce un error de sincronización de "FederatedDomainChangeError".

LargeObject

Descripción

Cuando un atributo supera los límites de tamaño, longitud o recuento establecidos por el esquema de Microsoft Entra, la operación de sincronización provoca que aparezcan los errores de sincronización LargeObject o ExceededAllowedLength. Este error se produce normalmente en los siguientes atributos

• userCertificate
• userSMIMECertificate
• thumbnailPhoto
• proxyAddresses

Escenarios posibles

1. El atributo userCertificate de Bob almacena demasiados certificados asignados a Bob. Entre ellos puede haber certificados antiguos que hayan expirado. El límite máximo es de 15 certificados.
2. El atributo userSMIMECertificate de Bob almacena demasiados certificados asignados a Bob. Entre ellos puede haber certificados antiguos que hayan expirado. El límite máximo es de 15 certificados.
3. El atributo thumbnailPhoto de Bob establecido en Active Directory es demasiado grande para sincronizarse en Microsoft Entra ID.
4. Durante el rellenado automático del atributo ProxyAddresses de Active Directory, un objeto tiene muchos atributos ProxyAddresses asignados.

Solución

Asegúrese de que el atributo que produce el error está dentro de los límites permitidos.

Conflicto de roles de administrador

Descripción

Se producirá un conflicto de rol de administrador existente en un objeto de usuario durante la sincronización cuando ese objeto de usuario tenga:

• permisos administrativos y
• el mismo UserPrincipalName que un objeto existente de Microsoft Entra

Microsoft Entra Connect no puede hacer coincidir parcialmente un objeto de usuario de AD local con un objeto de usuario de Microsoft Entra ID que tenga un rol administrativo asignado.

Solución

Para resolver este problema, haga lo siguiente:

1. Quite la cuenta de Microsoft Entra (propietario) de todos los roles de administrador.
2. Elimine de forma rígida el objeto en cuarentena en la nube.
3. El siguiente ciclo de sincronización se encargará de realizar una coincidencia parcial entre el usuario en el entorno local y la cuenta en la nube (ya que el usuario en la nube ya no es una disponibilidad general global).
4. Restaure las pertenencias a roles para el propietario.

Nota:

Puede volver a asignar el rol administrativo al objeto de usuario existente después de que se haya completado la coincidencia parcial entre el objeto de usuario local y el objeto de usuario de Microsoft Entra.