Solución de problemas de un objeto que no se sincroniza con el identificador de Entra de Microsoft
Si un objeto no se sincroniza según lo esperado con el identificador de Entra de Microsoft, puede deberse a varios motivos. Si ha recibido un de correo electrónico de error de Microsoft Entra ID o si ve el error en Microsoft Entra Connect Health, lea Solución de errores durante la sincronización. Pero si está solucionando un problema en el que el objeto no está en el identificador de Microsoft Entra, este artículo es para usted. Describe cómo se pueden encontrar errores en el componente local de Sincronización de Microsoft Entra Connect.
Importante
Para la implementación de Microsoft Entra Connect con la versión 1.1.749.0 o posterior, use la tarea de solución de problemas en el asistente para solucionar problemas de sincronización de objetos.
Proceso de sincronización
Antes de investigar los problemas de sincronización, vamos a comprender el proceso de sincronización de Microsoft Entra Connect:
Diagrama del proceso de sincronización de Microsoft Entra Connect
Terminología
- CS: espacio conector, una tabla de una base de datos
- MV: Metaverso, una tabla de una base de datos
Pasos de sincronización
El proceso de sincronización implica los pasos siguientes:
Importar desde AD: los objetos de Active Directory se incorporan al espacio conector de Active Directory.
Importar desde Microsoft Entra ID: los objetos de Microsoft Entra se introducen en Microsoft Entra CS.
Sincronización: Las reglas de sincronización de entrada y las reglas de sincronización de salida se ejecutan en el orden del número de precedencia, de menor a mayor. Para ver las reglas de sincronización, vaya al Editor de reglas de sincronización desde las aplicaciones de escritorio. Las reglas de sincronización de entrada aportan datos de CS a MV. Las reglas de sincronización de salida mueven datos de MV a CS.
Exportar a AD: Después de la sincronización, los objetos se exportan desde el CS de Active Directory a Active Directory.
Exportar a Microsoft Entra ID: Después de la sincronización, los objetos se exportan desde Microsoft Entra CS a Microsoft Entra ID.
Solución de problemas
Para encontrar los errores, examine algunos lugares diferentes, en el orden siguiente:
- Los registros de operaciones para buscar errores que ha identificado el motor de sincronización durante la importación y sincronización.
- El espacio conector para buscar objetos que faltan y errores de sincronización.
- El metaverso para buscar problemas relacionados con los datos.
Inicie Synchronization Service Manager antes de comenzar estos pasos.
Operaciones
La pestaña Operations de Synchronization Service Manager es donde debe iniciar la solución de problemas. En esta pestaña se muestran los resultados de las operaciones más recientes.
La mitad superior de la pestaña Operaciones muestra todas las ejecuciones en orden cronológico. De forma predeterminada, el registro de operaciones mantiene información sobre los últimos siete días, pero esta configuración se puede cambiar con el programador de . Busque las ejecuciones que no muestran un estado de operación correcta. Puede cambiar la ordenación seleccionando los encabezados.
La columna Estado contiene la información más importante, puesto que muestra el problema más grave de una ejecución. Este es un resumen rápido de los estados más comunes en orden de prioridad de investigación (donde * indica varias cadenas de error posibles).
| Estado | Comentario |
|---|---|
| stopped-* | No se pudo completar la ejecución. Esto puede ocurrir, por ejemplo, si el sistema remoto está inactivo y no se puede ponerse en contacto con él. |
| stopped-error-limit | Hay más de 5000 errores. La ejecución se detuvo automáticamente debido al gran número de errores. |
| completed-*-errors | La ejecución finaliza, pero hay errores (menos de 5000) que deben investigarse. |
| completed-*-warnings | La ejecución finalizó, pero algunos datos no están en el estado esperado. Si hay errores, este mensaje es solo un síntoma. No investigue las advertencias hasta que haya solucionado los errores. |
| éxito | No hay problemas. |
Cuando seleccione una fila, la parte inferior de la pestaña Operaciones se actualizará para mostrar los detalles de la ejecución. En el lado izquierdo de esta área, es posible que haya una lista denominada Paso nº. Esta lista solo aparece si hay varios dominios en el bosque y cada dominio se representa mediante un paso. El nombre de dominio se puede encontrar en el encabezado Partición. Bajo el encabezado Estadísticas de sincronización, podrá encontrar más información sobre el número de cambios que fueron procesados. Seleccione los vínculos para obtener una lista de los objetos modificados. Si hay objetos con errores, esos errores aparecen bajo el encabezado Errores de Sincronización.
Errores en la pestaña Operaciones
Cuando hay errores, Synchronization Service Manager muestra el objeto en error y el propio error como vínculos que proporcionan más información.
Para empezar, seleccione la cadena de error. (En la ilustración anterior, la cadena de error es sync-rule-error-function-triggered.) En primer lugar, se le presenta una visión general del objeto. Para ver el error real, seleccione Seguimiento de la pila. Este seguimiento proporciona información de depuración del error.
Seleccione con el botón derecho en la casilla Call Stack Information (Información de la pila de llamadas), hacer clic en Seleccionar todo y luego en Copiar. Después, copie la pila y busque el error en el editor que prefiera, como puede ser el Bloc de notas.
Si el error procede de SyncRulesEngine, la información de pila de llamadas enumera primero todos los atributos del objeto. Desplácese hacia abajo hasta que vea el encabezado InnerException =>.
La línea después del encabezado muestra el error. En la ilustración anterior, el error procede de una regla de sincronización personalizada creada por Fabrikam.
Si el error no proporciona suficiente información, es el momento de examinar los datos en sí. Seleccione el vínculo con el identificador de objeto y continúe solucionando el problema con el objeto importado del espacio conector.
Propiedades de objeto del espacio del conector
Si la pestaña Operaciones no muestra ningún error, siga el objeto del espacio conector desde Active Directory hasta el metaverso a Microsoft Entra ID. En este camino, deberías encontrar dónde está el problema.
Búsqueda de un objeto en el CS
En Synchronization Service Manager, seleccione Connectors, seleccione el conector de Active Directory y seleccione Search Connector Space (Espacio del conector de búsqueda).
En el cuadro Ámbito, seleccione RDN cuando quiera realizar una búsqueda en el atributo CN o DN or anchor (DN o delimitador) cuando desee buscar en el atributo distinguishedName. Escriba un valor y seleccione Search.
de búsqueda del espacio del conector
Si no encuentra el objeto que está buscando, podría haberse filtrado con un filtrado basado en dominios o uno basado en la unidad organizativa. Para comprobar que el filtrado está configurado según lo previsto, lea Microsoft Entra Connect Sync: Configurar el filtrado.
Para realizar otra búsqueda útil, seleccione Microsoft Entra Connector. En el cuadro Ámbito, seleccione Pending Import (Importación pendiente) y luego seleccione la casilla Agregar. Esta búsqueda proporciona todos los objetos sincronizados en el identificador de Entra de Microsoft que no se pueden asociar a un objeto local.
Esos objetos se crearon mediante otro motor de sincronización o un motor de sincronización con una configuración de filtrado diferente. Estos objetos huérfanos ya no se administran. Revise esta lista y considere la posibilidad de quitar estos objetos mediante los cmdlets de Microsoft Graph PowerShell
Importación del espacio conector
Al abrir un objeto CS, hay varias pestañas en la parte superior. La pestaña Importación muestra los datos que se almacenan provisionalmente después de una importación.
La columna Valor antiguo muestra lo que se almacena actualmente en Connect. La columna Nuevo valor muestra lo que se recibe del sistema de origen y aún no se aplica. Si se produce un error en el objeto, no se procesan los cambios.
La pestaña Synchronization Error (Error de sincronización) solo aparece en la ventana Connector Space Object Properties (Propiedades del objeto del espacio conector) solo si hay un problema con el objeto. Para más información, consulte cómo solucionar problemas de errores de sincronización en la pestaña Operaciones.
Linaje del espacio conector
La pestaña Linaje de la ventana Connector Space Object Properties (Propiedades del objeto del espacio conector) muestra cómo el objeto de espacio del conector está relacionado con el objeto de metaverso. Puede ver cuándo el conector importó por última vez un cambio desde el sistema conectado y qué reglas se aplicaron para rellenar los datos en el metaverso.
En la figura anterior, en la columna Acción se muestra una regla de sincronización entrante con la acción Aprovisionar. Esto indica que siempre que este objeto de espacio conector esté presente, el objeto metaverso permanece. En cambio, si la lista de reglas de sincronización muestra una regla de sincronización saliente con una acción Aprovisionar, indica que este objeto se eliminará cuando se quite el objeto de metaverso.
En la ilustración anterior, también puede ver en la columna PasswordSync que el espacio del conector de entrada puede contribuir a los ajustes relacionados con la contraseña, dado que una regla de sincronización tiene el valor True. Esta contraseña se envía a Microsoft Entra ID a través de la regla de salida.
Desde la pestaña Lineage (Linaje), puede obtener el metaverso seleccionando Metaverse Object Properties (Propiedades del objeto de metaverso).
Vista previa
En la esquina inferior izquierda de la ventana Connector Space Object Properties (Propiedades del objeto del espacio conector) se encuentra el botón Vista previa. Seleccione este botón para abrir la página de vista previa de
En la vista previa, puede inspeccionar el objeto y ver qué regla se ha aplicado para un flujo de atributo determinado.
Log
Junto al botón Vista previa, seleccione el botón Registro para abrir la página Registro. Aquí puede ver el estado y el historial de sincronización de contraseñas. Para obtener más información, consulte Solucionar problemas de sincronización de hash de contraseñas con la sincronización de Microsoft Entra Connect.
Propiedades del objeto metaverso
Es mejor iniciar la búsqueda desde el espacio conector de Active Directory de origen. Pero también puede empezar a buscar desde el metaverso.
Búsqueda de un objeto en la MV
En Synchronization Service Manager, seleccione Metaverso Search, como se muestra en la ilustración siguiente. Cree una consulta que esté seguro de que encuentra al usuario. Busque atributos comunes, como accountName (sAMAccountName) y userPrincipalName. Para más información, consulte Búsqueda de metaverso de Synchronization Service Manager.
En la ventana resultados de búsqueda, seleccione el objeto .
Si no encontraste el objeto, aún no ha llegado al metaverso. Continúe buscando el objeto en el espacio conector de Active Directory. Si encuentra el objeto en el espacio del conector de Active Directory, podría haber un error de sincronización que impide que el objeto llegue al metaverso. Además, se puede aplicar un filtro de ámbito de regla de sincronización.
Objeto no encontrado en la MV
Si el objeto está en el CS de Active Directory pero no está presente en la MV, se aplica un filtro de ámbito. Para ver el filtro de ámbito, vaya al menú de la aplicación de escritorio y seleccione Editor de reglas de sincronización. Filtre las reglas aplicables al objeto ajustando el filtro siguiente.
Vea cada regla de la lista anterior y compruebe el filtro de ámbito . En el siguiente filtro de ámbito, si el valor de isCriticalSystemObject es null, FALSE o está vacío, está dentro del ámbito.
Vaya a la lista de atributos de la sección Importación del espacio conector y compruebe cuál de los filtros está evitando que el objeto se mueva al metaverso. La lista de atributos del espacio de conector muestra solo los atributos que no son nulos ni vacíos. Por ejemplo, si isCriticalSystemObject no aparece en la lista, el valor de este atributo es null o está vacío.
Objeto no encontrado en Microsoft Entra CS
Si el objeto no está presente en espacio conector de Microsoft Entra ID pero sí lo está en el metaverso, busque el filtro de ámbito de las reglas salientes del espacio conector correspondiente. Determine si el objeto se filtra porque los atributos de MV no cumplen los criterios.
Para ver el filtro de ámbito de salida, seleccione las reglas aplicables para el objeto ajustando el siguiente filtro. Consulte cada regla y examine el valor de atributos del metaverso correspondiente.
Atributos del metaverso
En la pestaña Atributos puede ver los valores y qué conectores los aportaron.
Si un objeto no se está sincronizando, haga las siguientes preguntas sobre los estados de atributo en el metaverso:
- ¿Está presente el atributo cloudFiltered y se establece en True? Si es así, se filtra de acuerdo con los pasos de filtrado basado en atributos mencionados en .
- ¿Está presente el atributo sourceAnchor? En caso negativo, ¿tiene una topología de bosque de cuenta-recurso? Si un objeto se identifica como un buzón vinculado (el atributo msExchRecipientTypeDetails tiene el valor 2), el sourceAnchor es aportado por el bosque con una cuenta de Active Directory habilitada. Asegúrese de que la cuenta maestra se importa y se sincroniza correctamente. La cuenta maestra debe aparecer entre los conectores para el objeto.
Conectores de MV
La pestaña Conectores muestra todos los espacios del conector que tienen una representación del objeto.
Deberías tener un conector para:
- Cada bosque de Active Directory en el que está representado el usuario. Esta representación puede incluir foreignSecurityPrincipals y objetos de contacto.
- Un conector en el identificador de Entra de Microsoft.
Si falta el conector en Microsoft Entra ID, revise la sección de Atributos del metaverso para comprobar los criterios de aprovisionamiento en Microsoft Entra ID.
Desde la pestaña Conectores también puede ir al objeto del espacio conector. Seleccione una fila y seleccione Propiedades.
Pasos siguientes
- Obtenga más información sobre Microsoft Entra Connect Sync.
- Obtenga más información sobre la identidad híbrida .