Partage via

Résoudre les problèmes d’un objet qui ne se synchronise pas avec l’ID Microsoft Entra

  • Article

Si un objet n’est pas synchronisé comme prévu avec l’ID Microsoft Entra, il peut être dû à plusieurs raisons. Si vous avez reçu un e-mail d’erreur de Microsoft Entra ID ou que vous voyez l’erreur dans Microsoft Entra Connect Health, lisez Résolution des erreurs lors de la synchronisation à la place. Mais si vous résolvez un problème où l’objet n’est pas dans Microsoft Entra ID, cet article est destiné à vous. Il décrit comment rechercher des erreurs dans le composant local Microsoft Entra Connect de synchronisation.

Important

Pour le déploiement de Microsoft Entra Connect avec la version 1.1.749.0 ou ultérieure, utilisez la tâche de dépannage dans l’assistant pour résoudre les problèmes de synchronisation des objets.

Processus de synchronisation

Avant d’examiner les problèmes de synchronisation, comprenons le processus de synchronisation Microsoft Entra Connect :

diagramme du processus Microsoft Entra Connect Sync

Terminologie

  • CS : espace de connecteur, une table dans une base de données
  • MV : Métaverse, une table dans une base de données

étapes de synchronisation

Le processus de synchronisation implique les étapes suivantes :

  1. Importer à partir d’AD : les objets Active Directory sont placés dans l’espace de connecteur Active Directory.

  2. Importer depuis Microsoft Entra ID : Les objets Microsoft Entra sont placés dans Microsoft Entra CS.

  3. Synchronisation : règles de synchronisation entrante et les règles de synchronisation sortante sont exécutées dans l’ordre de priorité, de inférieur à supérieur. Pour afficher les règles de synchronisation, accédez à l’Éditeur de règles de synchronisation à partir des applications de bureau. Les règles de synchronisation entrantes apportent des données de CS à MV. Les règles de synchronisation sortante déplacent les données de MV vers CS.

  4. Exporter vers AD : Après la synchronisation, les objets sont exportés depuis active Directory CS vers Active Directory.

  5. Exporter vers l’ID Microsoft Entra : Après la synchronisation, les objets sont exportés de Microsoft Entra CS vers l’ID Microsoft Entra.

Dépannage

Pour rechercher les erreurs, examinez quelques endroits différents, dans l’ordre suivant :

  1. Le processus consigne pour rechercher les erreurs identifiées par le moteur de synchronisation pendant l'importation et la synchronisation.
  2. L’espace connecteur pour rechercher les objets manquants et les erreurs de synchronisation.
  3. Le métaverse pour rechercher les problèmes liés aux données.

Démarrez Synchronization Service Manager avant de commencer ces étapes.

Opérations

L’onglet Operations dans Synchronization Service Manager est l’emplacement où vous devez démarrer votre résolution des problèmes. Cet onglet affiche les résultats des opérations les plus récentes.

Capture d’écran de Synchronization Service Manager, montrant l’onglet Opérations sélectionné

La moitié supérieure de l’onglet Opérations affiche toutes les exécutions dans l’ordre chronologique. Par défaut, le journal des opérations conserve des informations sur les sept derniers jours, mais ce paramètre peut être modifié avec le planificateur . Recherchez toute exécution qui ne présente pas un état de success (réussite). Vous pouvez modifier le tri en sélectionnant les en-têtes.

La colonne Status (État) contient les informations les plus importantes et renseigne sur le problème le plus grave pour une exécution. Voici un résumé rapide des états les plus courants dans l’ordre de priorité d’investigation (où * indique plusieurs chaînes d’erreur possibles).

Statut Commentaire
stopped-* L’exécution n’a pas pu se terminer. Cela peut se produire, par exemple, si le système distant est arrêté et ne peut pas être contacté.
stopped-error-limit Il existe plus de 5 000 erreurs. L’exécution a été automatiquement arrêtée en raison du grand nombre d’erreurs.
completed-*-errors Le processus s'est terminé, mais il y a des erreurs (moins de 5 000) qui doivent être examinées.
completed-*-warnings L’exécution est terminée, mais certaines données ne sont pas dans l’état attendu. S’il existe des erreurs, ce message n’est qu’un symptôme. N’examinez pas les avertissements tant que vous n’avez pas résolu les erreurs.
succès Aucun problème.

Lorsque vous sélectionnez une ligne, le bas de l’onglet Opérations est mis à jour pour afficher les détails de cette exécution. Sur le côté gauche de cette zone, il peut y avoir une liste intitulée Étape #. Cette liste s’affiche uniquement s’il existe plusieurs domaines dans votre forêt et que chaque domaine est représenté par une étape. Le nom de domaine se trouve sous le titre partition. Sous le titre Statistiques de synchronisation, vous trouverez plus d’informations sur le nombre de modifications traitées. Sélectionnez les liens pour obtenir la liste des objets modifiés. S’il existe des objets avec des erreurs, ces erreurs s’affichent sous le titre Erreurs de synchronisation.

Erreurs sous l’onglet Opérations

En cas d’erreurs, Synchronization Service Manager affiche à la fois l’objet en erreur et l’erreur elle-même en tant que liens qui fournissent plus d’informations.

La capture d'écran Capture d’écran d’erreurs dans Synchronization Service Manager
Commencez par sélectionner la chaîne d’erreur. (Dans la figure précédente, la chaîne d’erreur est sync-rule-error-function-triggered.) On vous présente d'abord un aperçu de l'objet. Pour voir l’erreur détaillée, sélectionnez Stack Trace (Trace de la pile). Cette trace vous fournit des informations de débogage pour l’erreur.

Cliquez avec le bouton droit dans la zone Call Stack Information (Informations de la pile des appels), choisissez Select All (Tout sélectionner), puis Copy (Copier). Copiez ensuite la pile et examinez l’erreur dans votre éditeur favori, par exemple le Bloc-notes.

Si l’erreur provient de SyncRulesEngine, les informations de la pile des appels affichent d’abord la liste de tous les attributs sur l’objet. Faites défiler vers le bas jusqu'à ce que l'en-tête InnerException =>apparaisse.

Capture d’écran du Gestionnaire de services de synchronisation, montrant les informations d’erreur sous le titre InnerException =>

La ligne après le titre affiche l’erreur. Dans la figure précédente, l’erreur provient d’une règle de synchronisation personnalisée créée par Fabrikam.

Si l’erreur ne donne pas suffisamment d’informations, il est temps d’examiner les données elles-mêmes. Sélectionnez le lien avec l’identificateur d’objet et continuez à résoudre les problèmes liés à l’objet importédans l'espace du connecteur .

Propriétés de l’objet espace connecteur

Si l'onglet Opérations n'affiche aucune erreur, suivez l'objet d'espace de connecteur d'Active Directory vers le métaverse jusqu'à Microsoft Entra ID. Dans ce chemin, vous devez trouver où se trouve le problème.

Recherche d’un objet dans le CS

Dans Synchronization Service Manager, sélectionnez Connecteurs, sélectionnez le connecteur Active Directory, puis Search Connector Space.

Dans la zone Scope, sélectionnez RDN lorsque vous souhaitez effectuer une recherche sur l’attribut CN, ou sélectionnez DN ou ancre lorsque vous souhaitez effectuer une recherche sur l’attribut distinguishedName. Entrez une valeur et sélectionnez Recherche.

Capture d’écran Capture d’écran d’une recherche dans l’espace connecteur

Si vous ne trouvez pas l’objet recherché, celui-ci peut avoir été filtré avec le filtrage basé sur le domaine ou le filtrage basé sur l’unité d’organisation. Pour vérifier que le filtrage est configuré comme prévu, lisez Microsoft Entra Connect Sync : Configurer le filtrage.

Vous pouvez effectuer une autre recherche utile en sélectionnant Microsoft Entra Connector. Dans la zone Scope (Étendue), sélectionnez Pending Import (Importation en attente), puis cochez l’option Add (Ajouter). Cette recherche vous donne tous les objets synchronisés dans l’ID Microsoft Entra qui ne peuvent pas être associés à un objet local.

Capture d’écran d’orphelins dans une recherche d’espace connecteur de recherche d’espace connecteur

Ces objets ont été créés par un autre moteur de synchronisation ou un moteur de synchronisation avec une configuration de filtrage différente. Ces objets orphelins ne sont plus gérés. Passez en revue cette liste et envisagez de supprimer ces objets à l’aide des applets de commande Microsoft Graph PowerShell .

Importation de CS

Lorsque vous ouvrez un objet CS, il existe plusieurs onglets en haut. L’onglet Import affiche les données préparées après une importation.

Capture d’écran de la fenêtre Propriétés de l’objet espace connecteur, avec l’onglet Importer sélectionné

La colonne Ancienne valeur indique ce qui est actuellement stocké dans Connect. La colonne Nouvelle valeur indique ce qui est reçu du système source et n’est pas encore appliqué. En cas d’erreur sur l’objet, les modifications ne sont pas traitées.

L'onglet erreur de synchronisation est visible dans la fenêtre des propriétés de l’objet dans l’espace connecteur uniquement s’il y a un problème avec l’objet. Pour plus d’informations, consultez Résoudre les erreurs de synchronisation dans l’onglet Operations.

Capture d’écran de l’onglet Erreur de synchronisation dans la fenêtre Propriétés de l’objet espace connecteur

Lignage CS

L’onglet Lineage (Lignage) dans la fenêtre Connector Space Object Properties (Propriétés de l’objet espace connecteur) montre de quelle manière l’objet espace connecteur est lié à l’objet métaverse. Vous pouvez voir quand le connecteur a importé pour la dernière fois une modification du système connecté et quelles règles ont été appliquées pour remplir les données dans le métaverse.

Capture d’écran de la fenêtre des propriétés de l’objet espace connecteur, avec l’onglet Lineage sélectionné

Dans la figure précédente, la colonne Action affiche une règle de synchronisation entrante avec l’action Approvisionnement. Cela indique que tant que cet objet d’espace connecteur est présent, l’objet métaverse reste. Si la liste des règles de synchronisation affiche plutôt une règle de synchronisation sortante avec une action de Provision, cet objet est supprimé lorsque l’objet métaverse est supprimé.

Capture d’écran d’une zone de lignage dans l’onglet Lineage de la fenêtre des propriétés de l’objet espace connecteur

Dans la figure précédente, vous pouvez également voir dans la colonne PasswordSync que l’espace connecteur entrant peut apporter des modifications au mot de passe, car une règle de synchronisation a la valeur True. Ce mot de passe est envoyé à Microsoft Entra ID via la règle de trafic sortant.

Sous l’onglet Lineage (Lignage), vous pouvez accéder au métaverse en sélectionnant Metaverse Object Properties (Propriétés de l’objet métaverse).

Aperçu

Le bouton Preview (Aperçu) se trouve en bas à gauche dans la fenêtre Connector Space Object Properties (Propriétés de l’objet espace connecteur). Sélectionnez ce bouton pour ouvrir la page Aperçu, où vous pouvez synchroniser un seul objet. Cette page est utile si vous résolvez certains problèmes de règles de synchronisation personnalisées et souhaitez voir l’effet d’une modification sur un seul objet. Vous pouvez sélectionner une synchronisation complète ou une synchronisation delta . Vous pouvez également sélectionner Générer un aperçu, qui conserve uniquement le changement en mémoire. Sinon, sélectionnez Commit Preview (Aperçu Validation), qui met à jour le métaverse et implémente toutes les modifications dans les espaces connecteur cibles.

capture d’écran de la page Aperçu, avec l’option Démarrer l'Aperçu sélectionnée

Dans l'aperçu, vous pouvez inspecter l'objet et voir quelle règle est appliquée pour un flux d'attribut particulier.

capture d’écran Capture d’écran de la page d’aperçu, montrant le flux des attributs d’importation

Journal

À côté du bouton Preview (Aperçu), sélectionnez le bouton Log (Journal) pour ouvrir la page Log (Journal). Ici, vous pouvez voir l’état et l’historique de synchronisation de mot de passe. Pour plus d’informations, consultez Dépannage de la synchronisation du hachage des mots de passe avec Microsoft Entra Connect Sync.

Propriétés de l’objet métaverse

Il est préférable de commencer à rechercher à partir de l’espace de connecteur Active Directory source. Mais vous pouvez également commencer à effectuer des recherches à partir du métaverse.

Recherche d’un objet dans la MV

Dans Synchronization Service Manager, sélectionnez metaverse Search, comme dans la figure suivante. Créez une requête que vous connaissez pour trouver l’utilisateur. Recherchez des attributs courants, tels que accountName (sAMAccountName) et userPrincipalName. Pour plus d’informations, consultez Recherche dans le métaverse de Sync Service Manager.

Capture d’écran de Synchronization Service Manager, avec l’onglet Recherche métaverse sélectionné

Dans la fenêtre résultats de la recherche, sélectionnez l'objet.

Si vous ne trouvez pas l’objet, il n’a pas atteint le métaverse. Continuez à rechercher l’objet dans l’espace connecteur Active Directory . Si vous trouvez l’objet dans l’espace du connecteur Active Directory, il peut y avoir une erreur de synchronisation qui empêche l’objet d’arriver au métaverse. Il se peut qu'un filtre de portée de règle de synchronisation soit appliqué.

Objet introuvable dans MV

Si l’objet se trouve dans la CS Active Directory, mais qu’il n’est pas présent dans la MV, un filtre d’étendue est appliqué. Pour examiner le filtre d’étendue, accédez au menu de l’application de bureau et sélectionnez Éditeur de règles de synchronisation. Filtrez les règles applicables à l’objet en ajustant le filtre ci-dessous.

Capture d’écran de l’éditeur de règles de synchronisation, montrant une recherche de règles de synchronisation entrante

Affichez chaque règle dans la liste ci-dessus et vérifiez le filtre d’étendue . Dans le filtre d’étendue qui suit, si isCriticalSystemObject a la valeur Null ou FALSE, ou s’il n’est pas défini, il se situe dans l’étendue.

Capture d’écran d’un filtre d’étendue dans une recherche de règles de synchronisation entrante

Accédez à la liste d’attributs CS Import et vérifiez quel filtre bloque le déplacement de l’objet vers la MV. La liste d’attributs de l'espace connecteur affiche uniquement les attributs non nulles et non vides. Par exemple, si isCriticalSystemObject ne s’affiche pas dans la liste, la valeur de cet attribut est null ou vide.

Objet introuvable dans Microsoft Entra CS

Si l'objet n'est pas présent dans l'espace de connecteur de Microsoft Entra ID mais est présent dans le MV, examinez le filtre de portée des règles de trafic sortant de l'espace de connecteur correspondant. Déterminez si l’objet est filtré, car les attributs MV ne répondent pas aux critères.

Pour examiner le filtre de périmètre sortant, sélectionnez les règles applicables à l'objet en modifiant le filtre suivant. Affichez chaque règle et examinez la valeur correspondante de l’attribut MV.

Capture d’écran d’une recherche de règles de synchronisation sortante dans l’éditeur de règles de synchronisation

Attributs MV

Sous l’onglet Attributs, vous pouvez voir les valeurs et les connecteurs qui y ont contribué.

Capture d’écran de la fenêtre Propriétés de l’objet métaverse, avec l’onglet Attributs sélectionné

Si un objet n’est pas synchronisé, posez les questions suivantes sur les états d’attribut dans le métaverse :

  • L’attribut cloudFiltered est-il présent et défini sur true ? Si c’est le cas, il est filtré selon la procédure décrite dans Filtrage par attribut.
  • Est-ce que l’attribut sourceAnchor est présent ? Si ce n’est pas le cas, utilisez-vous une topologie de forêt compte-ressource ? Si un objet est identifié comme une boîte aux lettres liée (l’attribut msExchRecipientTypeDetails a la valeur 2), le sourceAnchor est fourni par la forêt avec un compte Active Directory activé. Vérifiez que le compte maître est importé et synchronisé correctement. Le compte maître doit être répertorié parmi les connecteurs pour l’objet.

Connecteurs MV

L’onglet connecteurs affiche tous les espaces de connecteur qui ont une représentation de l’objet.

Capture d’écran de la fenêtre Propriétés de l’objet métaverse, avec l’onglet Connecteurs sélectionné

Vous devez disposer d’un connecteur pour :

  • Chaque forêt Active Directory dans laquelle l’utilisateur est représenté. Cette représentation peut inclure des objets Contact et foreignSecurityPrincipals.
  • Un connecteur dans Microsoft Entra ID.

Si le connecteur de Microsoft Entra ID vous manque, passez en revue la section sur les attributs MV pour vérifier les critères de provisionnement vers Microsoft Entra ID.

Dans l’onglet Connectors (Connecteurs) , vous pouvez également accéder à l’objet espace connecteur. Sélectionnez une ligne, puis sélectionnez Propriétés.

Étapes suivantes