Compartir a través de

Solución de problemas de un extremo a otro de objetos y atributos de Microsoft Entra Connect

  • Artículo

Este artículo está pensado para establecer una práctica común sobre cómo solucionar problemas de sincronización en microsoft Entra ID. Este método se aplica a situaciones en las que un objeto o atributo no se sincroniza con Azure Active AD y no muestra ningún error en el motor de sincronización, en los registros del Visor de aplicaciones o en los registros de Microsoft Entra. Es fácil perderse en los detalles si no hay ningún error obvio. Sin embargo, mediante el uso de procedimientos recomendados, puede aislar el problema y proporcionar información para los ingenieros de Soporte técnico de Microsoft.

A medida que aplique este método de solución de problemas a su entorno, con el tiempo, podrá realizar los pasos siguientes:

  • Solución de problemas de la lógica del motor de sincronización de un extremo a otro.
  • Resuelva los problemas de sincronización de forma más eficaz.
  • Identifique los problemas más rápidamente mediante la predicción del paso en el que se producirán.
  • Identifique el punto de partida para revisar los datos.
  • Determine la resolución óptima.

Captura de pantalla del gráfico de flujo de Microsoft Entra Connect.

Los pasos que se proporcionan aquí comienzan en el nivel de Active Directory local y avanzan hacia Microsoft Entra ID. Estos pasos son la dirección más común de sincronización. Sin embargo, los mismos principios se aplican a la dirección inversa (por ejemplo, para la escritura diferida de atributos).

Requisitos previos

Para comprender mejor este artículo, lea primero los siguientes artículos de requisitos previos para comprender mejor cómo buscar un objeto en orígenes diferentes (AD, AD CS, MV, etc.) y comprender cómo comprobar los conectores y el linaje de un objeto.

Procedimientos de solución de problemas incorrectos

La marca DirSyncEnabled de Microsoft Entra ID controla si el inquilino está preparado para aceptar la sincronización de objetos de AD local. Hemos visto que muchos clientes tienen el hábito de deshabilitar DirSync en el inquilino al solucionar problemas de sincronización de atributos o objetos. Es fácil desactivar la sincronización de directorios mediante la ejecución del siguiente cmdlet de PowerShell:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

Sin embargo, esto puede ser catastrófico porque desencadena una operación de back-end compleja y larga para transferir SoA de Active Directory local a Microsoft Entra ID / Exchange Online para todos los objetos sincronizados del inquilino. Esta operación es necesaria para convertir cada objeto de DirSyncEnabled a solo en la nube y limpiar todas las propiedades de sombra que se sincronizan desde AD local (por ejemplo, ShadowUserPrincipalName y ShadowProxyAddresses). En función del tamaño del inquilino, esta operación puede tardar más de 72 horas. Además, no es posible predecir cuándo finalizará la operación. Nunca use este método para solucionar un problema de sincronización porque esto provocará daños adicionales y no corregirá el problema. Se le impedirá volver a habilitar DirSync hasta que se complete esta operación de deshabilitación. Además, después de volver a habilitar DirSync, AADC debe coincidir de nuevo con todos los objetos locales con objetos De Microsoft Entra existentes. Este proceso puede ser perjudicial.

Los únicos escenarios en los que se admite este comando para deshabilitar DirSync son los siguientes:

  • Va a retirar el servidor de sincronización local y desea seguir administrando sus identidades completamente desde la nube en lugar de desde identidades híbridas.
  • Tiene algunos objetos sincronizados en el inquilino que desea mantener como solo en la nube en el identificador de Microsoft Entra y quitar de AD local de forma permanente.
  • Actualmente usa un atributo personalizado como SourceAnchor en AADC (por ejemplo, employeeId) y va a volver a instalar AADC para empezar a usar ms-Ds-Consistency-Guid/ObjectGuid como el nuevo atributo SourceAnchor (o viceversa).
  • Tiene algunos escenarios que implican estrategias de migración de inquilinos y buzones de riesgo.

En algunas situaciones, es posible que tenga que detener temporalmente la sincronización o controlar manualmente los ciclos de sincronización de AADC. Por ejemplo, es posible que tenga que detener la sincronización para poder ejecutar un paso de sincronización cada vez. Sin embargo, en lugar de deshabilitar DirSync, solo puede detener el programador de sincronización ejecutando el siguiente cmdlet:

Set-ADSyncScheduler -SyncCycleEnabled $false

Y cuando esté listo, inicie manualmente un ciclo de sincronización mediante la ejecución del siguiente cmdlet:

Start-ADSyncSyncCycle

Glosario

Acrónimo/abreviatura Nombre y descripción
AADC Microsoft Entra Connect
AADCA Cuenta del conector de Microsoft Entra
AADCS Espacio del conector de Microsoft Entra
AADCS:AttributeA Atributo 'A' en el espacio del conector de Microsoft Entra
ACL Listas de control de acceso (también conocidas como permisos ADDS)
ADCA Cuenta del conector de AD
ADCS Espacio del conector Active Directory
ADCS:AttributeA Atributo 'A' en el espacio del conector de Active Directory
ADDS o AD Active Directory Domain Services
CS Espacio del conector
MV Metaverso
Cuenta MSOL Cuenta del conector de AD generada automáticamente (MSOL_#####)
MV:AttributeA Atributo 'A' en el objeto Metaverso
SoA Origen de autoridad

Paso 1: Sincronización entre ADDS y ADCS

Objetivo del paso 1

Determine si el objeto o atributo está presente y es coherente en ADCS. Si puede buscar el objeto en ADCS y todos los atributos tienen los valores esperados, vaya al paso 2.

Captura de pantalla de la replicación de A D Connector Space A D.

Descripción del paso 1

La sincronización entre ADDS y ADCS se produce en el paso de importación y es el momento en que AADC lee desde el directorio de origen y almacena datos en la base de datos. Es decir, cuando los datos se almacenan provisionalmente en el espacio del conector. Durante una importación diferencial de AD, AADC solicita todos los cambios nuevos que se produjeron después de una marca de agua de directorio determinada. AADC inicia esta llamada mediante el control DirSync de servicios de directorio en el servicio de replicación de Active Directory. Este paso proporciona la última marca de agua como la última importación correcta de AD y proporciona a AD la referencia a un momento dado desde el momento en que se deben recuperar todos los cambios (delta). Una importación completa es diferente porque AADC importará desde AD todos los datos (en el ámbito de sincronización) y, a continuación, marcará como obsoleto (y eliminar) todos los objetos que todavía están en ADCS, pero que no se importaron desde AD. Todos los datos entre AD y AADC se transfieren a través de LDAP y se cifran de forma predeterminada.

Captura de pantalla del cuadro de diálogo Opciones de conexión de A D C.

Si la conexión con AD se realiza correctamente, pero el objeto o atributo no está presente en ADCS (suponiendo que el dominio o el objeto está en el ámbito de sincronización), el problema probablemente implica permisos ADDS. ADCA requiere permisos de lectura mínimos en el objeto de AD para importar datos a ADCS. De forma predeterminada, la cuenta de MSOL tiene permisos explícitos de lectura y escritura para todas las propiedades de usuario, grupo y equipo. Sin embargo, esta situación podría seguir siendo problemática si se cumplen las condiciones siguientes:

  • AADC usa un ADCA personalizado, pero no se proporcionaron permisos suficientes en AD.
  • Una unidad organizativa primaria ha bloqueado la herencia, lo que impide la propagación de permisos desde la raíz del dominio.
  • El propio objeto o atributo ha bloqueado la herencia, lo que impide la propagación de permisos.
  • El objeto o atributo tiene un permiso Deny explícito que impide que ADCA lo lea.

Solución de problemas de Active Directory

Conectividad con AD

En Synchronization Service Manager, el paso "Importar desde AD" muestra qué controlador de dominio se pone en contacto en Estado de conexión. Lo más probable es que vea un error aquí cuando haya un problema de conectividad que afecte a AD.

Captura de pantalla que muestra el área Estado de conexión en el paso Importar desde AD.

Si tiene que solucionar aún más problemas de conectividad para AD, especialmente si no se muestran errores en el servidor de Microsoft Entra Connect o si todavía está en proceso de instalación del producto, empiece por usar ADConnectivityTool.

Los problemas de conexión a ADDS tienen las siguientes causas:

  • Credenciales de AD no válidas. Por ejemplo, ADCA ha expirado o la contraseña ha cambiado.
  • Error de "búsqueda errónea", que se produce cuando el control DirSync no se comunica con el servicio de replicación de AD, normalmente debido a la fragmentación de paquetes de alta red.
  • Error "no-start-ma", que se produce cuando hay problemas de resolución de nombres (DNS) en AD.
  • Otros problemas que pueden deberse a problemas de resolución de nombres, problemas de enrutamiento de red, puertos de red bloqueados, alta fragmentación de paquetes de red, sin controladores de dominio grabables disponibles, etc. En tales casos, es probable que tenga que implicar a los equipos de soporte técnico de Servicios de directorio o redes para ayudar a solucionar problemas.

Resumen de solución de problemas

  • Identifique qué controlador de dominio se usa.
  • Use controladores de dominio preferidos para tener como destino el mismo controlador de dominio.
  • Identifique correctamente el ADCA.
  • Use ADConnectivityTool para identificar el problema.
  • Use la herramienta LDP para intentar enlazar con el controlador de dominio con ADCA.
  • Póngase en contacto con servicios de directorio o un equipo de soporte técnico de red para ayudarle a solucionar problemas.

Ejecución del solucionador de problemas de sincronización

Después de solucionar problemas de conectividad de AD, ejecute la herramienta Solucionar problemas de sincronización de objetos porque esto solo puede detectar las razones más obvias para que un objeto o atributo no se sincronicen.

Captura de pantalla de la pantalla solución de problemas de Microsoft Entra Connect.

Permisos de AD

La falta de permisos de AD puede afectar a ambas direcciones de la sincronización:

  • Al importar desde ADDS a ADCS, una falta de permisos puede hacer que AADC omita objetos o atributos para que AADC no pueda obtener actualizaciones ADDS en el flujo de importación. Este error se produce porque ADCA no tiene permisos suficientes para leer el objeto.
  • Al exportar desde ADCS a ADDS, una falta de permisos genera un error de exportación de "problema de permisos".

Para comprobar los permisos, abra la ventana Propiedades de un objeto de AD, seleccione Seguridad>avanzada y, a continuación, examine las ACL allow/deny del objeto seleccionando el botón Deshabilitar herencia (si la herencia está habilitada). Puede ordenar el contenido de la columna por Tipo para buscar todos los permisos de "denegar". Los permisos de AD pueden variar ampliamente. Sin embargo, de forma predeterminada, es posible que solo vea una "ACL de denegación" para "Subsistema de confianza de Exchange". La mayoría de los permisos se marcarán como Permitir.

Los siguientes permisos predeterminados son los más relevantes:

  • Usuarios autenticados

    Captura de pantalla que muestra los usuarios autenticados.

  • Todos

    Captura de pantalla que muestra la opción Permitir está establecida en Todos.

  • Cuenta personalizada de ADCA o MSOL

    Captura de pantalla que muestra la cuenta personalizada de ADCA o MSOL.

  • Acceso compatible con versiones anteriores de Windows 2000

    Captura de pantalla que muestra el acceso compatible con Versiones anteriores a Windows 2000.

  • SELF

    Captura de pantalla que muestra que se permite el permiso SELF.

La mejor manera de solucionar problemas de permisos es usar la característica "Acceso efectivo" en la consola usuarios y equipos de AD. Esta característica comprueba los permisos efectivos de una cuenta determinada (ADCA) en el objeto o atributo de destino que desea solucionar.

Captura de pantalla que muestra información en la pestaña Acceso efectivo en la ventana Configuración de seguridad avanzada.

Importante

La solución de problemas de permisos de AD puede resultar complicada porque un cambio en las ACL no surte efecto inmediato. Tenga en cuenta siempre que estos cambios están sujetos a la replicación de AD.

Por ejemplo:

  • Asegúrese de realizar los cambios necesarios directamente en el controlador de dominio más cercano (consulte la sección "Conectividad con AD"):
  • Espere a que se produzcan replicaciones ADDS.
  • Si es posible, reinicie el servicio ADSync para borrar la memoria caché.

Resumen de solución de problemas

  • Identifique qué controlador de dominio se usa.
  • Use controladores de dominio preferidos para tener como destino el mismo controlador de dominio.
  • Identifique correctamente el ADCA.
  • Use la herramienta Configurar permisos de cuenta del conector de AD DS.
  • Use la característica "Acceso efectivo" en usuarios y equipos de AD.
  • Use la herramienta LDP para enlazar con el controlador de dominio que tiene ADCA e intente leer el objeto o atributo con errores.
  • Agregue temporalmente ADCA a los administradores de empresa o administradores de dominio y reinicie el servicio ADSync.

Importante: No lo use como solución.

  • Después de comprobar el problema de permisos, quite ADCA de cualquier grupo con privilegios elevados y proporcione los permisos de AD necesarios directamente a ADCA.
  • Póngase en contacto con servicios de directorio o un equipo de soporte técnico de red para ayudarle a solucionar la situación.

Replicaciones de AD

Este problema es menos probable que afecte a Microsoft Entra Connect porque causa problemas mayores. Sin embargo, cuando Microsoft Entra Connect importa datos de un controlador de dominio mediante la replicación retrasada, no importará la información más reciente de AD, lo que provoca problemas de sincronización en los que un objeto o atributo creado recientemente en AD no se sincroniza con el identificador de Microsoft Entra porque no se ha replicado en el controlador de dominio al que se está contactando Microsoft Entra Connect. Para comprobar que este es el problema, compruebe el controlador de dominio que AADC usa para la importación (vea "Conectividad a AD") y use la consola usuarios y equipos de AD para conectarse directamente a este servidor (vea Cambiar controlador de dominio en la imagen siguiente). A continuación, compruebe que los datos de este servidor corresponden a los datos más recientes y si son coherentes con los datos de ADCS correspondientes. En esta fase, AADC generará una mayor carga en el controlador de dominio y la capa de red.

Captura de pantalla de la opción Cambiar controlador de dominio de Active Directory.

Otro enfoque consiste en usar la herramienta RepAdmin para comprobar los metadatos de replicación del objeto en todos los controladores de dominio, obtener el valor de todos los controladores de dominio y comprobar el estado de replicación entre los controladores de dominio:

  • Valor de atributo de todos los controladores de dominio:

    repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

    Captura de pantalla de la herramienta RepAdmin mediante showattr.

  • Metadatos de objeto de todos los controladores de dominio:

    repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

    Captura de pantalla de la herramienta RepAdmin con el comando showobjmeta.

  • Resumen de replicación de AD

    repadmin /replsummary

    Captura de pantalla de la herramienta RepAdmin mediante el comando replsummary.

Resumen de solución de problemas

  • Identifique qué controlador de dominio se usa.
  • Comparar datos entre controladores de dominio.
  • Analice los resultados de RepAdmin.
  • Póngase en contacto con directory Services o el equipo de soporte técnico de red para ayudar a solucionar el problema.

Cambios de dominio y unidad organizativa, y tipos de objeto o atributos filtrados o excluidos en el conector ADDS

  • El cambio del filtrado de dominios o unidades organizativas requiere una importación completa

    Tenga en cuenta que, incluso si se confirma el filtrado de dominio o unidad organizativa, los cambios en el filtrado de dominio o unidad organizativa surten efecto solo después de ejecutar un paso de importación completo.

  • Filtrado de atributos con la aplicación Microsoft Entra y el filtrado de atributos

    Un escenario fácil de omitir para los atributos que no se sincronizan es cuando Microsoft Entra Connect está configurado con la aplicación Microsoft Entra y la característica de filtrado de atributos. Para comprobar si la característica está habilitada y para qué atributos, tome un informe de diagnóstico general.

  • Tipo de objeto excluido en la configuración del conector ADDS

    Esta situación no se produce normalmente para usuarios y grupos. Sin embargo, si faltan todos los objetos de un tipo de objeto específico en ADCS, puede resultar útil examinar los tipos de objeto habilitados en la configuración del conector ADDS.

    Puede usar el cmdlet Get-ADSyncConnector para recuperar los tipos de objeto habilitados en el conector, como se muestra en la siguiente imagen. A continuación se muestran los tipos de objeto que se deben habilitar de forma predeterminada:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

    A continuación se muestran los tipos de objeto que se deben habilitar de forma predeterminada:

    Captura de pantalla que muestra los tipos de objeto Get-ADSyncConnector.

    Nota:

    El tipo de objeto publicFolder solo está presente cuando la característica Carpeta pública habilitada para correo está habilitada.

  • Atributo excluido en ADCS

    De la misma manera, si falta el atributo para todos los objetos, compruebe si el atributo está seleccionado en el conector de AD.

    Para comprobar si hay atributos habilitados en el conector ADDS, use el Administrador de sincronización, como se muestra en la siguiente imagen, o ejecute el siguiente cmdlet de PowerShell:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

    Captura de pantalla del Administrador de sincronización de conectores de AD.

    Nota:

    No se admite la inclusión o exclusión de tipos de objeto o atributos en Synchronization Service Manager.

Resumen de solución de problemas

  • Comprobación de la característica de filtrado de atributos y aplicaciones de Microsoft Entra
  • Compruebe que el tipo de objeto se incluye en ADCS.
  • Compruebe que el atributo está incluido en ADCS.
  • Ejecute una importación completa.

Recursos para el paso 1

Recursos principales:

  • Get-ADSyncConnectorAccount: identificación de la cuenta del conector correcta usada por AADC

  • ADConnectivityTool

  • Identificación de problemas de conectividad con ADDS

  • Trace-ADSyncToolsADImport (ADSyncTools): seguimiento de los datos que se importan desde ADDS

  • LDIFDE: objeto de volcado de ADDS para comparar datos entre ADDS y ADCS

  • LDP: probar la conectividad y los permisos de AD Bind para leer el objeto en el contexto de seguridad de ADCA

  • DSACLS: comparación y evaluación de permisos ADDS

  • Permisos de características >set-ADSync<: aplicar permisos de AADC predeterminados en ADDS

  • RepAdmin: comprobar los metadatos del objeto de AD y el estado de replicación de AD

Paso 2: Sincronización entre ADCS y MV

Captura de pantalla que muestra el gráfico de flujo de A D C S a MetaVerse.

Objetivo del paso 2

Este paso comprueba si el objeto o atributo fluye de CS a MV (es decir, si el objeto o atributo se proyecta en la MV). En esta fase, asegúrese de que el objeto está presente o de que el atributo sea correcto en ADCS (descrito en el paso 1) y, a continuación, empiece a examinar las reglas de sincronización y el linaje del objeto.

Descripción del paso 2

La sincronización entre ADCS y MV se produce en el paso de sincronización delta/full. En este momento, AADC lee los datos almacenados provisionalmente en ADCS, procesa todas las reglas de sincronización y actualiza el objeto MV correspondiente. Este objeto MV contendrá vínculos de CS (o conectores) que apuntan a los objetos de CS que contribuyen a sus propiedades y al linaje de reglas de sincronización que se aplicaron en el paso de sincronización. Durante esta fase, AADC genera más carga en las capas de red y SQL Server (o LocalDB).

Solución de problemas de MV de ADCS > para objetos

  • Comprobación de las reglas de sincronización de entrada para el aprovisionamiento

    Un objeto que está presente en ADCS pero que falta en MV indica que no había ningún filtro de ámbito en ninguna de las reglas de sincronización de aprovisionamiento que se aplicaron a ese objeto. Por lo tanto, el objeto no se proyectaba en MV. Este problema puede producirse si hay reglas de sincronización deshabilitadas o personalizadas.

    Para obtener una lista de reglas de sincronización de aprovisionamiento de entrada, ejecute el siguiente comando:

    Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Captura de pantalla que muestra el comando Get-ADSyncRule se usa para comprobar las reglas de aprovisionamiento de entrada.

  • Comprobación del linaje del objeto ADCS

    Puede recuperar el objeto con errores de ADCS si busca "DN o Anchor" en "Buscar espacio del conector". En la pestaña Linaje , probablemente verá que el objeto es un desconectador (sin vínculos a MV) y que el linaje está vacío. Además, compruebe si el objeto tiene errores, en caso de que haya una pestaña de error de sincronización.

    Captura de pantalla de las propiedades del objeto de espacio del conector en A D C S.

  • Ejecución de una vista previa en el objeto ADCS

    Seleccione Vista previa Generar vista>previa> de confirmación de confirmación para ver si el objeto se proyecta en MV. Si ese es el caso, un ciclo de sincronización completo debe corregir el problema de otros objetos en la misma situación.

    Captura de pantalla de la pantalla de vista previa del objeto de A D C S.

    Captura de pantalla de la pantalla Detalles del objeto de origen en A D C S.

  • Exportación del objeto a XML

    Para un análisis más detallado (o para el análisis sin conexión), puede recopilar todos los datos de la base de datos relacionados con el objeto mediante el cmdlet Export-ADSyncObject . Esta información exportada ayudará a determinar qué regla filtra el objeto. Es decir, que filtro de ámbito de entrada en las reglas de sincronización de aprovisionamiento impide que el objeto se proyecta en la MV.

    Estos son algunos ejemplos de la sintaxis Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Resumen de solución de problemas (objetos)

  • Compruebe los filtros de ámbito en las reglas de aprovisionamiento de entrada "In From AD".
  • Cree una vista previa del objeto .
  • Ejecute un ciclo de sincronización completo.
  • Exporte los datos del objeto mediante el script Export-ADSyncObject .

Solución de problemas de MV de ADCS > para atributos

  1. Identificar las reglas de sincronización de entrada y las reglas de transformación del atributo

    Cada atributo tiene su propio conjunto de reglas de transformaciones que son responsables de dirigir el valor de ADCS a MV. El primer paso es identificar qué reglas de sincronización contienen la regla de transformación para el atributo que está solucionando.

    La mejor manera de identificar qué reglas de sincronización tienen una regla de transformación para un atributo determinado es usar las funcionalidades de filtrado integradas del Editor de reglas de sincronización.

    Captura de pantalla del Editor de reglas de sincronización en A D C S.

  2. Comprobación del linaje del objeto ADCS

    Cada conector (o vínculo) entre CS y MV tendrá un linaje que contiene información sobre las reglas de sincronización que se aplican a ese objeto CS. El paso anterior le indicará qué conjunto de reglas de sincronización de entrada (ya sea aprovisionamiento o reglas de sincronización de unión) debe estar presente en el linaje del objeto para fluir el valor correcto de ADCS a MV. Al examinar el linaje en el objeto ADCS, podrá determinar si esa regla de sincronización se aplicó al objeto .

    Captura de pantalla de la pantalla de linaje Propiedades del objeto de espacio conector.

    Si hay varios conectores (varios bosques de AD) vinculados al objeto MV, es posible que tenga que examinar las propiedades del objeto metaverso para determinar qué conector contribuye al valor de atributo al atributo que está intentando solucionar. Después de identificar el conector, examine el linaje de ese objeto ADCS.

    Captura de pantalla de la pantalla Propiedades del objeto metaverso.

  3. Comprobación de los filtros de ámbito en la regla de sincronización de entrada

    Si una regla de sincronización está habilitada pero no está presente en el linaje del objeto, el filtro de ámbito de la regla de sincronización debe filtrar el objeto. Al comprobar los filtros de ámbito de la regla de sincronización, los datos del objeto ADCS y si la regla de sincronización está habilitada o deshabilitada, debería poder determinar por qué no se aplicó esa regla de sincronización al objeto ADCS.

    Este es un ejemplo de un filtro de ámbito problemático común de una regla de sincronización responsable de sincronizar las propiedades de Exchange. Si el objeto tiene un valor null para mailNickName, ninguno de los atributos de Exchange de las reglas de transformación fluirá a Microsoft Entra ID.

    Captura de pantalla de la pantalla Ver regla de sincronización de entrada.

  4. Ejecución de una vista previa en el objeto ADCS

    Si no puede determinar por qué falta la regla de sincronización en el linaje del objeto ADCS, ejecute una vista previa mediante Generar vista previa y Confirmar versión preliminar para una sincronización completa del objeto. Si el atributo se actualiza en la MV y tiene una versión preliminar, un ciclo de sincronización completo debe corregir el problema de otros objetos en la misma situación.

  5. Exportación del objeto a XML

    Para obtener un análisis más detallado o un análisis sin conexión, puede recopilar todos los datos de la base de datos relacionados con el objeto mediante el script Export-ADSyncObject . Esta información exportada puede ayudarle a determinar qué regla de sincronización o regla de transformación falta en el objeto que impide que el atributo se proyecta en la MV (consulte los ejemplos export-ADSyncObject anteriores en este artículo).

Resumen de solución de problemas (para atributos)

  • Identifique las reglas de sincronización correctas y las reglas de transformación responsables de fluir el atributo a la MV.
  • Compruebe el linaje del objeto.
  • Compruebe si se han habilitado las reglas de sincronización.
  • Compruebe los filtros de ámbito de las reglas de sincronización que faltan en el linaje del objeto.

Solución de problemas avanzada de la canalización de reglas de sincronización

Si tiene que depurar aún más el motor de ADSync (también conocido como MiiServer) en términos de procesamiento de reglas de sincronización, puede habilitar el seguimiento de ETW en el archivo .config (C:\Archivos de programa\Microsoft Sincronización de Azure AD\Bin\miiserver.exe.config). Este método genera un amplio archivo de texto detallado que muestra todo el procesamiento de reglas de sincronización. Sin embargo, puede ser difícil interpretar toda la información. Use este método como último recurso o si se indica mediante Soporte técnico de Microsoft.

Recursos para el paso 2

  • Interfaz de usuario de Synchronization Service Manager
  • Editor de reglas de sincronización
  • Script Export-ADsyncObject
  • Start-ADSyncSyncCycle -PolicyType Initial
  • Seguimiento de ETW SyncRulesPipeline (miiserver.exe.config)

Paso 3: Sincronización entre MV y AADCS

Captura de pantalla del gráfico de flujo de M V y A D C S.

Objetivo del paso 3

Este paso comprueba si el objeto o atributo fluye de MV a AADCS. En este punto, asegúrese de que el objeto está presente o de que el atributo sea correcto en ADCS y MV (descrito en los pasos 1 y 2). A continuación, examine las reglas de sincronización y el linaje del objeto. Este paso es similar al paso 2, en el que se examinó la dirección de entrada de ADCS a MV; sin embargo, en esta fase, nos centraremos en las reglas y atributos de sincronización de salida que fluyen de MV a AADCS.

Descripción del paso 3

La sincronización entre MV y AADCS se produce en el paso de sincronización delta/full, cuando AADC lee los datos en MV, procesa todas las reglas de sincronización y actualiza el objeto AADCS correspondiente. Este objeto MV contendrá vínculos de CS (también conocidos como conectores) que apuntan a los objetos de CS que contribuyen a sus propiedades y al linaje de las reglas de sincronización que se aplicaron en el paso de sincronización. En este momento, AADC genera más carga en SQL Server (o localDB) y en la capa de red.

Solución de problemas de MV a AADCS para objetos

  1. Comprobación de las reglas de sincronización de salida para el aprovisionamiento

    Un objeto que está presente en MV pero que falta en AADCS indica que no había filtros de ámbito en ninguna de las reglas de sincronización de aprovisionamiento que se aplicaron a ese objeto. Por ejemplo, vea las reglas de sincronización "Out to Microsoft Entra ID" que se muestran en la siguiente imagen. Por lo tanto, el objeto no se aprovisionó en AADCS. Este error puede producirse si hay reglas de sincronización deshabilitadas o personalizadas.

    Para obtener una lista de reglas de sincronización de aprovisionamiento de entrada, ejecute el siguiente comando:

    Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Captura de pantalla de Get-ADSyncRule que se usa para comprobar las reglas de sincronización de salida.

  2. Comprobación del linaje del objeto ADCS

    Para recuperar el objeto con errores de la MV, use una búsqueda de metaverso y, a continuación, examine la pestaña conectores. En esta pestaña, puede determinar si el objeto MV está vinculado a un objeto AADCS. Además, compruebe si el objeto tiene errores, en caso de que haya una pestaña de error de sincronización presente.

    Captura de pantalla de la pantalla Búsqueda de metaverso.

    Si no hay ningún conector de AADCS presente, es más probable que el objeto esté establecido en cloudFiltered=True. Puede comprobar si el objeto está filtrado por la nube examinando los atributos de MV para los que la regla de sincronización contribuye con el valor cloudFiltered .

  3. Ejecución de una versión preliminar en el objeto AADCS

    Seleccione Preview Generate Preview Commit a Preview Commit a Preview (Generar versión>preliminar>) para determinar si el objeto se conecta a AADCS. Si es así, un ciclo de sincronización completo debe corregir el problema de otros objetos en la misma situación.

  4. Exportación del objeto a XML

    Para obtener un análisis más detallado o un análisis sin conexión, puede recopilar todos los datos de la base de datos relacionados con el objeto mediante el script Export-ADSyncObject . Esta información exportada, junto con la configuración de reglas de sincronización (salientes), puede ayudar a determinar qué regla filtra el objeto y puede determinar qué filtro de ámbito saliente en las reglas de sincronización de aprovisionamiento impide que el objeto se conecte con AADCS.

    Estos son algunos ejemplos de la sintaxis Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
    • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Resumen de solución de problemas de objetos

  • Compruebe los filtros de ámbito en las reglas de aprovisionamiento salientes "Out to Microsoft Entra ID".
  • Cree una vista previa del objeto .
  • Ejecute un ciclo de sincronización completo.
  • Exporte los datos del objeto mediante el script Export-ADSyncObject .

Solución de problemas de MV a AADCS para atributos

  1. Identificar las reglas de sincronización de salida y las reglas de transformación del atributo

    Cada atributo tiene su propio conjunto de reglas de transformación que son responsables de fluir el valor de MV a AADCS. Comience identificando qué reglas de sincronización contienen la regla de transformación para el atributo que está solucionando.

    La mejor manera de identificar qué reglas de sincronización tienen una regla de transformación para un atributo determinado es usar las funcionalidades de filtrado integradas del Editor de reglas de sincronización.

    Captura de pantalla del Editor de reglas de sincronización.

  2. Comprobación del linaje del objeto ADCS

    Cada conector (o vínculo) entre el CS y la MV tendrá un linaje que contiene información sobre las reglas de sincronización aplicadas a ese objeto de CS. El paso anterior le indicará qué conjunto de reglas de sincronización de salida (ya sea aprovisionamiento o reglas de sincronización de unión) debe estar presente en el linaje del objeto para fluir el valor correcto de MV a AADCS. Al examinar el linaje en el objeto AADCS, puede determinar si esa regla de sincronización se ha aplicado al objeto .

    Captura de pantalla que muestra los detalles de la pestaña Linaje en el objeto A D C S.

  3. Comprobación de los filtros de ámbito en la regla de sincronización de salida

    Si una regla de sincronización está habilitada pero no está presente en el linaje del objeto, se debe filtrar por el filtro de ámbito de la regla de sincronización. Al comprobar la presencia de los filtros de ámbito de la regla de sincronización y los datos del objeto MV y si la regla de sincronización está habilitada o deshabilitada, debería poder determinar por qué esa regla de sincronización no se aplicó al objeto AADCS.

  4. Ejecución de una vista previa en el objeto AADCS

    Si determina por qué falta la regla de sincronización del linaje del objeto ADCS, ejecute una vista previa que use Generar versión preliminar y Confirmar versión preliminar para una sincronización completa del objeto. Si el atributo se actualiza en la MV teniendo una vista previa, un ciclo de sincronización completo debe corregir el problema de otros objetos en la misma situación.

  5. Exportación del objeto a XML

    Para obtener un análisis más detallado o un análisis sin conexión, puede recopilar todos los datos de la base de datos relacionados con el objeto mediante el script "Export-ADSyncObject". Esta información exportada, junto con la configuración de reglas de sincronización (salientes), puede ayudarle a determinar qué regla de sincronización o regla de transformación falta en el objeto que impide que el atributo fluya a AADCS (vea los ejemplos "Export-ADSyncObject" anteriormente).

Resumen de solución de problemas de atributos

  • Identifique las reglas de sincronización y las reglas de transformación correctas que son responsables de fluir el atributo a AADCS.
  • Compruebe el linaje del objeto.
  • Compruebe que las reglas de sincronización están habilitadas.
  • Compruebe los filtros de ámbito de las reglas de sincronización que faltan en el linaje del objeto.

Solución de problemas de la canalización de reglas de sincronización

Si tiene que depurar aún más el motor de ADSync (también conocido como MiiServer) en términos de procesamiento de reglas de sincronización, puede habilitar el seguimiento de ETW en el archivo .config (C:\Archivos de programa\Microsoft Sincronización de Azure AD\Bin\miiserver.exe.config). Este método genera un amplio archivo de texto detallado que muestra todo el procesamiento de reglas de sincronización. Sin embargo, puede ser difícil interpretar toda la información. Use este método solo como último recurso o si se indica mediante Soporte técnico de Microsoft.

Recursos

  • Interfaz de usuario de Synchronization Service Manager
  • Editor de reglas de sincronización
  • Script Export-ADsyncObject
  • Start-ADSyncSyncCycle -PolicyType Initial
  • Seguimiento de ETW SyncRulesPipeline (miiserver.exe.config)

Paso 4: Sincronización entre AADCS y AzureAD

Captura de pantalla del gráfico de flujo de sincronización entre A D C S y Microsoft Entra ID.

Objetivo del paso 4

Esta fase compara el objeto AADCS con el objeto correspondiente que se aprovisiona en microsoft Entra ID.

Descripción del paso 4

Varios componentes y procesos implicados en la importación y exportación de datos hacia y desde el id. de Microsoft Entra pueden provocar los siguientes problemas:

  • Conectividad a Internet
  • Firewalls internos e conectividad ISP (por ejemplo, tráfico de red bloqueado)
  • Puerta de enlace de Microsoft Entra delante del servicio web DirSync (también conocido como punto de conexión AdminWebService)
  • Api de servicios web DirSync
  • El servicio de directorio Microsoft Entra Core

Afortunadamente, los problemas que afectan a estos componentes suelen generar un error en los registros de eventos que se pueden rastrear mediante Soporte técnico de Microsoft. Por lo tanto, estos problemas están fuera del ámbito de este artículo. Sin embargo, todavía hay algunos problemas "silenciosos" que se pueden examinar.

Solución de problemas de AADCS

  • Varios servidores AADC activos que exportan a Microsoft Entra ID

    En un escenario común en el que los objetos de microsoft Entra ID invierten los valores de atributo de vuelta y hacia delante, hay más de un servidor activo de Microsoft Entra Connect y uno de estos servidores pierde el contacto con el AD local, pero sigue conectado a Internet y puede exportar datos a Microsoft Entra ID. Por lo tanto, cada vez que este servidor "obsoleto" importa un cambio de Microsoft Entra ID en un objeto sincronizado realizado por el otro servidor activo, el motor de sincronización revierte ese cambio en función de los datos obsoletos de AD que se encuentra en ADCS. Un síntoma típico en este escenario es que se realiza un cambio en AD que se sincroniza con el identificador de Entra de Microsoft, pero el cambio se revierte al valor original unos minutos más tarde (hasta 30 minutos). Para mitigar rápidamente este problema, vuelva a los servidores o máquinas virtuales antiguos que se han retirado y compruebe si el servicio ADSync todavía se está ejecutando.

  • Atributo móvil con DirSyncOverrides

    Cuando el administrador usa MSOnline o el módulo de PowerShell de AzureAD, o si el usuario va al Portal de Office y actualiza el atributo Mobile , el número de teléfono actualizado se sobrescribirá en AzureAD a pesar de que el objeto se sincronice desde AD local (también conocido como DirSyncEnabled).

    Junto con esta actualización, Microsoft Entra ID también establece un DirSyncOverrides en el objeto para marcar que este usuario tiene el número de teléfono móvil "sobrescrito" en el identificador de Microsoft Entra. A partir de este punto, cualquier actualización del atributo móvil que se origine desde el entorno local se omitirá porque este atributo ya no se administrará mediante AD local.

    Para obtener más información sobre la característica BypassDirSyncOverrides y cómo restaurar la sincronización de mobile y otros atributosmobile de Microsoft Entra ID a Active Directory local, vea Cómo usar la característica BypassDirSyncOverrides de un inquilino de Microsoft Entra.

  • Los cambios de UserPrincipalName no se actualizan en el identificador de Microsoft Entra

    Si el atributo UserPrincipalName no se actualiza en el identificador de Entra de Microsoft, mientras que otros atributos se sincronizan según lo previsto, es posible que una característica denominada SynchronizeUpnForManagedUsers no esté habilitada en el inquilino. Este escenario se produce con frecuencia.

    Antes de agregar esta característica, las actualizaciones del UPN que provenían del entorno local después de que el usuario se aprovisionó en el identificador de Microsoft Entra y se asignara una licencia se ignoraron "silenciosamente". Un administrador tendría que usar MSOnline o Azure AD PowerShell para actualizar el UPN directamente en el identificador de Microsoft Entra. Una vez actualizada esta característica, las actualizaciones de UPN fluirán a Microsoft Entra independientemente de si el usuario tiene licencia (administrada).

    Nota:

    Una vez habilitada, esta característica no se puede deshabilitar.

    Las actualizaciones de UserPrincipalName funcionarán si el usuario no tiene licencia. Sin embargo, sin la característica SynchronizeUpnForManagedUsers , UserPrincipalName cambia después de aprovisionar el usuario y se le asigna una licencia que NO se actualizará en el id. de Microsoft Entra. Observe que Microsoft no deshabilita esta característica en nombre del cliente.

  • Caracteres no válidos y elementos internos de ProxyCalc

    Los problemas que implican caracteres no válidos que no generan ningún error de sincronización son más problemáticos en los atributos UserPrincipalName y ProxyAddresses debido al efecto en cascada en el procesamiento de ProxyCalc que descartará silenciosamente el valor sincronizado desde AD local. Esta situación se produce de la siguiente manera:

    1. El userPrincipalName resultante en el id. de Microsoft Entra será el dominio inicial MailNickName o CommonName @ (at). Por ejemplo, en lugar de John.Smith@Contoso.com, el UserPrincipalName de Microsoft Entra ID podría convertirse smithj@Contoso.onmicrosoft.com en porque hay un carácter invisible en el valor UPN de AD local.

    2. Si un ProxyAddress contiene un carácter de espacio, ProxyCalc lo descartará y generará automáticamente una dirección de correo electrónico basada en MailNickName en el dominio inicial. Por ejemplo, "SMTP: John.Smith@Contoso.com" no aparecerá en microsoft Entra ID porque contiene un carácter de espacio después de los dos puntos.

    3. Un userPrincipalName que incluya un carácter de espacio o un proxyAddress que incluya un carácter invisible provocará el mismo problema.

      Para solucionar problemas de un carácter no válido en UserPrincipalName o ProxyAddress, examine el valor almacenado en el AD local desde un LDIFDE o PowerShell exportado a un archivo. Un truco fácil de detectar un carácter invisible es copiar el contenido del archivo exportado y, a continuación, pegarlo en una ventana de PowerShell. El carácter invisible se reemplazará por un signo de interrogación (?), como se muestra en el ejemplo siguiente.

      Captura de pantalla que muestra un ejemplo para solucionar problemas de UserPrincipalName o ProxyAddress.

  • Atributo ThumbnailPhoto (KB4518417)

    Hay una idea errónea general que después de sincronizar ThumbnailPhoto desde AD por primera vez, ya no se puede actualizar, que es solo parcialmente cierto.

    Normalmente, thumbnailPhoto en el id. de Microsoft Entra se actualiza continuamente. Sin embargo, se produce un problema si la imagen actualizada ya no se recupera del id. de Microsoft Entra por la carga de trabajo o el asociado correspondientes (por ejemplo, EXO o SfBO). Este problema provoca la falsa impresión de que la imagen no se sincronizó desde AD local a Microsoft Entra ID.

    Pasos básicos para solucionar problemas de ThumbnailPhoto

    1. Asegúrese de que la imagen está almacenada correctamente en AD y no supera el límite de tamaño de 100 KB.

    2. Compruebe la imagen en el Portal de cuentas o use Get-AzureADUserThumbnailPhoto porque estos métodos leen ThumbnailPhoto directamente desde microsoft Entra ID.

    3. Si la miniatura de AD (o AzureAD) tiene la imagen correcta, pero no es correcta en otras servicios en línea, se pueden aplicar las condiciones siguientes:

    • El buzón del usuario contiene una imagen HD y no acepta imágenes de baja resolución de Microsoft Entra ThumbnailPhoto. La solución consiste en actualizar directamente la imagen del buzón del usuario.
    • La imagen del buzón del usuario se actualizó correctamente, pero sigue viendo la imagen original. La solución consiste en esperar al menos seis horas para ver la imagen actualizada en el Portal de usuarios de Office 365 o Azure Portal.

Recursos adicionales

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.