Risolvere i problemi di provisioning delle applicazioni locali
Risolvere i problemi di connessione di test
Dopo aver configurato l'agente di provisioning e l'host ECMA (Extensible Connectivity), è possibile testare la connettività dal servizio di provisioning Microsoft Entra all'agente di provisioning, all'host ECMA e all'applicazione. Per eseguire questo test end-to-end, selezionare Test connessione nell'applicazione nel portale di Azure. Assicurarsi di attendere da 10 a 20 minuti dopo l'assegnazione di un agente iniziale o la modifica dell'agente prima di testare la connessione. Se dopo questa volta la connessione di test non riesce, provare i passaggi seguenti per la risoluzione dei problemi:
Verificare che l'agente e l'host ECMA siano in esecuzione:
Nel server con l'agente installato aprire Servizi passando a Avvia Run>
In Servizi verificare che siano presenti l'agente di provisioning Microsoft Entra Connect e i servizi Microsoft ECMA2Host e che il relativo stato sia In esecuzione.
Verificare che il servizio host del connettore ECMA risponda alle richieste.
- Nel server con l'agente installato avviare PowerShell.
- Passare alla cartella in cui è stato installato l'host ECMA, ad esempio
C:\Program Files\Microsoft ECMA2Host
. - Passare alla sottodirectory
Troubleshooting
. - Eseguire lo script
TestECMA2HostConnection.ps1
in tale directory. Specificare come argomenti il nome del connettore e il token segreto quando richiesto.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 Supply values for the following parameters: ConnectorName: CORPDB1 SecretToken: ************
- Questo script invia una richiesta SCIM GET o POST per verificare che l'host del connettore ECMA funzioni e risponda alle richieste. Se l'output non mostra che una connessione HTTP è riuscita, verificare che il servizio sia in esecuzione e che sia stato fornito il token segreto corretto.
Assicurarsi che l'agente sia attivo passando all'applicazione nel portale di Azure, selezionando connettività amministratore, selezionando l'elenco a discesa dell'agente e assicurandosi che l'agente sia attivo.
Controllare se il token segreto fornito è uguale al token segreto locale. Passare a locale, specificare di nuovo il token segreto e quindi copiarlo nel portale di Azure.
Assicurarsi di aver assegnato uno o più agenti all'applicazione nel portale di Azure.
Dopo aver assegnato un agente, è necessario attendere da 10 a 20 minuti per il completamento della registrazione. Il test di connettività non funzionerà fino al completamento della registrazione.
Assicurarsi di usare un certificato valido che non è scaduto. Passare alla scheda Impostazioni dell'host ECMA per visualizzare la data di scadenza del certificato. Se il certificato è scaduto, fare clic per
Generate certificate
generare un nuovo certificato.Riavviare l'agente di provisioning passando alla barra delle applicazioni nella macchina virtuale cercando l'agente di provisioning Microsoft Entra Connect. Fare clic con il pulsante destro del mouse su Arresta e quindi scegliere Avvia.
Se si continua a vedere
The ECMA host is currently importing data from the target application
anche dopo aver riavviato l'host del connettore ECMA e l'agente di provisioning e attendere il completamento dell'importazione iniziale, potrebbe essere necessario annullare e ricominciare a configurare il provisioning nell'applicazione nel portale di Azure.Quando si specifica l'URL del tenant nella portale di Azure, assicurarsi che segua il modello seguente. È possibile sostituire
localhost
con il nome host, ma non è obbligatorio. SostituireconnectorName
con il nome del connettore specificato nell'host ECMA. Il messaggio di errore "risorsa non valida" indica in genere che l'URL non segue il formato previsto.https://localhost:8585/ecma2host_connectorName/scim
Passare alla cartella seguente per esaminare i log dell'agente di provisioning: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace
- Se viene visualizzato l'errore seguente, aggiungere l'account del servizio "NT SERVICE\AADConnectProvisioningAgent" al gruppo locale denominato "Performance Log Users". In questo modo viene eliminato l'errore di eccezione "Impossibile inizializzare l'agente di raccolta metriche" consentendo all'account di accedere alla chiave del Registro di sistema desiderata: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
Unable to initialize metrics collector, exception: 'System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
- Quando si configura l'host ECMA, assicurarsi di fornire un certificato con un oggetto corrispondente al nome host del server Windows. Il certificato generato dall'host ECMA eseguirà automaticamente questa operazione, ma deve essere usato solo a scopo di test.
Error code: SystemForCrossDomainIdentityManagementCredentialValidationUnavailable
Details: We received this unexpected response from your application: Received response from Web resource. Resource: https://localhost/Users?filter=PLACEHOLDER+eq+"8646d011-1693-4cd3-9ee6-0d7482ca2219" Operation: GET Response Status Code: InternalServerError Response Headers: Response Content: An error occurred while sending the request. Please check the service and try again.
Impossibile configurare l'host ECMA, visualizzare i log in Visualizzatore eventi o avviare il servizio host ECMA
Per risolvere i problemi seguenti, eseguire la configurazione guidata dell'host ECMA come amministratore:
Viene visualizzato un errore quando si apre la procedura guidata host ECMA.
È possibile configurare la procedura guidata host ECMA, ma non è possibile visualizzare i log dell'host ECMA. In questo caso, è necessario aprire la configurazione guidata dell'host ECMA come amministratore e configurare un connettore end-to-end. Questo passaggio può essere semplificato esportando un connettore esistente e importandolo di nuovo.
È possibile configurare la procedura guidata host ECMA, ma non è possibile avviare il servizio host ECMA.
Attivare la registrazione dettagliata
Per impostazione predefinita, switchValue
per l'host del connettore ECMA è impostato su Verbose
. Questa impostazione genera una registrazione dettagliata che consente di risolvere i problemi. È possibile modificare il livello di dettaglio in Error
se si vuole limitare il numero di log generati solo agli errori. Si usa il connettore SQL senza autenticazione integrata di Windows, è consigliabile impostare su switchValue
Error
perché garantisce che il stringa di connessione non venga generato nei log. Per modificare il livello di dettaglio in caso di errore, aggiornare in entrambe le posizioni l'oggetto switchValue
in entrambe le posizioni, come illustrato di seguito.
Il percorso del file per la registrazione dettagliata del servizio è C:\Programmi\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<startup>
<supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />
</startup>
<appSettings>
<add key="Debug" value="true" />
</appSettings>
<system.diagnostics>
<sources>
<source name="ConnectorsLog" switchValue="Error">
<listeners>
<add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack">
<filter type=""/>
</add>
</listeners>
</source>
<!-- Choose one of the following switchTrace: Off, Error, Warning, Information, Verbose -->
<source name="ECMA2Host" switchValue="Error">
<listeners>
<add initializeData="ECMA2Host" type="System.Diagnos
Il percorso del file per la registrazione guidata è C:\Programmi\Microsoft ECMA2Host\Wizard\Microsoft.ECMA2Host.ConfigWizard.exe.config.
<source name="ConnectorsLog" switchValue="Error">
<listeners>
<add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack">
<filter type=""/>
</add>
</listeners>
</source>
<!-- Choose one of the following switchTrace: Off, Error, Warning, Information, Verbose -->
<source name="ECMA2Host" switchValue="Error">
<listeners>
<add initializeData="ECMA2Host" type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ECMA2HostListener" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack" />
Eseguire una query sulla cache host ECMA
L'host ECMA ha una cache di utenti nell'applicazione che viene aggiornata in base alla pianificazione specificata nella pagina delle proprietà della procedura guidata host ECMA. Per eseguire query sulla cache, seguire questa procedura:
Impostare il flag Debug su
true
.Tenere presente che l'impostazione del flag di debug per
true
disabilitare l'autenticazione nell'host ECMA. Sarà necessario impostarlo di nuovofalse
su e riavviare il servizio host ECMA al termine dell'esecuzione di query sulla cache.Il percorso del file per la registrazione dettagliata del servizio è
C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config
.<?xml version="1.0" encoding="utf-8"?> <configuration> <startup> <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> </startup> <appSettings> <add key="Debug" value="true" /> </appSettings>
Riavviare il servizio
Microsoft ECMA2Host
.Attendere che l'host ECMA si connetta ai sistemi di destinazione e rilette la cache da ognuno dei sistemi connessi. Se sono presenti molti utenti in tali sistemi connessi, questo processo di importazione potrebbe richiedere alcuni minuti.
Eseguire una query su questo endpoint dal server in cui è installato l'host ECMA, sostituendo
{connector name}
con il nome del connettore, specificato nella pagina delle proprietà dell'host ECMA:https://localhost:8585/ecma2host_{connectorName}/scim/cache
.- Nel server con l'agente installato avviare PowerShell.
- Passare alla cartella in cui è stato installato l'host ECMA, ad esempio
C:\Program Files\Microsoft ECMA2Host
. - Passare alla sottodirectory
Troubleshooting
. - Eseguire lo script
TestECMA2HostConnection.ps1
in tale directory e specificare come argomenti il nome del connettore e ilObjectTypePath
valorecache
. Quando richiesto, digitare il token segreto configurato per tale connettore.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 -ConnectorName CORPDB1 -ObjectTypePath cache Supply values for the following parameters: SecretToken: ************
- Questo script invia una richiesta SCIM GET per verificare che l'host del connettore ECMA funzioni e risponda alle richieste. Se l'output non mostra che una connessione HTTP è riuscita, verificare che il servizio sia in esecuzione e che sia stato fornito il token segreto corretto.
Impostare nuovamente il flag debug su
false
o rimuovere l'impostazione dopo aver eseguito una query sulla cache.Riavviare il servizio
Microsoft ECMA2Host
.
Attributo di destinazione mancante
Il servizio di provisioning individua automaticamente gli attributi nell'applicazione di destinazione. Se viene visualizzato che un attributo di destinazione non è presente nell'elenco di attributi di destinazione nel portale di Azure, eseguire il passaggio di risoluzione dei problemi seguente:
- Esaminare la pagina Selezione attributi della configurazione host ECMA per verificare che l'attributo sia stato selezionato, in modo che venga esposto al portale di Azure.
- Verificare che il servizio host ECMA sia in esecuzione.
- Dopo aver assegnato gli agenti all'applicazione aziendale, completare il passaggio di connessione di test e salvare le credenziali di amministratore, aggiornare il browser. In questo modo il servizio di provisioning dovrà effettuare una richiesta /schemas e individuare gli attributi di destinazione.
- Esaminare i log dell'host ECMA per verificare che sia stata effettuata una richiesta /schemas ed esaminare gli attributi nella risposta. Queste informazioni saranno utili per il supporto per la risoluzione del problema.
Raccogliere i log da Visualizzatore eventi come file ZIP
È possibile usare uno script incluso per acquisire i log eventi in un file ZIP ed esportarli.
- Nel server con l'agente installato fare clic con il pulsante destro del mouse su PowerShell nel menu Start e scegliere .
Run as administrator
- Passare alla cartella in cui è stato installato l'host ECMA, ad esempio
C:\Program Files\Microsoft ECMA2Host
. - Passare alla sottodirectory
Troubleshooting
. - Eseguire lo script
CollectTroubleshootingInfo.ps1
in tale directory. - Lo script creerà un file ZIP in tale directory contenente i log eventi.
Esaminare gli eventi in Visualizzatore eventi
Dopo aver configurato il mapping dello schema host del connettore ECMA, avviare il servizio in modo che sia in ascolto delle connessioni in ingresso. Monitorare quindi le richieste in ingresso.
- Selezionare il menu Start, immettere il visualizzatore eventi e selezionare Visualizzatore eventi.
- In Visualizzatore eventi espandere Registri applicazioni e servizi e selezionare Microsoft ECMA2Host Logs (Log ECMA2Host Microsoft).
- Man mano che le modifiche vengono ricevute dall'host del connettore, gli eventi verranno scritti nel log applicazioni.
Errori comuni
Error | Risoluzione |
---|---|
Impossibile caricare il file o l'assembly 'file:///C:\Programmi\Microsoft ECMA2Host\Service\ECMA\Cache\8b514472-c18a-4641-9a44-732c296534e8\Microsoft.IAM.Connector.GenericSql.dll' o una delle relative dipendenze. Accesso negato. | Assicurarsi che l'account del servizio di rete disponga delle autorizzazioni "controllo completo" sulla cartella della cache. Se l'account dispone di autorizzazioni, ma .NET tenta di creare una copia della DLL del connettore, potrebbe essere necessario aggiungere la DLL alla Global Assembly Cache. |
Stile LDAP non valido del DN dell'oggetto. DN: username@domain.com" o Target Site: ValidByLdapStyle |
Verificare che la casella di controllo "DN is Anchor" non sia selezionata nella pagina "connectivity" dell'host ECMA. Verificare che la casella di controllo "autogenerated" sia selezionata nella pagina "object types" dell'host ECMA. Per altre informazioni, vedere Informazioni sugli attributi di ancoraggio e sui nomi distinti. |
ExportErrorCustomContinueRun. objectClass: valore numero non valido per sintassi | Assicurarsi che il mapping dell'attributo di provisioning all'attributo objectClass includa solo i nomi delle classi oggetto riconosciute dal server di directory. |
Informazioni sulle richieste SCIM in ingresso
Le richieste effettuate da Microsoft Entra ID all'agente di provisioning e all'host connettore usano il protocollo SCIM. Le richieste effettuate dall'host alle app usano il protocollo supportato dall'app. Le richieste dall'host all'agente a Microsoft Entra ID si basano su SCIM. Per altre informazioni sull'implementazione SCIM, vedere Esercitazione: Sviluppare e pianificare il provisioning per un endpoint SCIM in Microsoft Entra ID.
Il servizio di provisioning Di Microsoft Entra esegue in genere una chiamata get-user per verificare la presenza di un utente fittizio in tre situazioni: all'inizio di ogni ciclo di provisioning, prima di eseguire il provisioning su richiesta e quando viene selezionata la connessione di test. Questo controllo garantisce che l'endpoint di destinazione sia disponibile e restituisca risposte conformi a SCIM al servizio di provisioning Microsoft Entra.
Ricerca per categorie risolvere i problemi dell'agente di provisioning?
È possibile che si verifichino gli scenari di errore seguenti.
Non è stato possibile avviare l'agente
Potrebbe essere visualizzato un messaggio di errore analogo al seguente:
"L'avvio del servizio 'Microsoft Entra Connect Provisioning Agent' non è riuscito. Verificare di disporre di privilegi sufficienti per avviare i servizi di sistema".
Questo problema è in genere causato da criteri di gruppo che impedivano l'applicazione delle autorizzazioni all'account di accesso del servizio NT locale creato dal programma di installazione (NT SERVICE\AADConnectProvisioningAgent). Queste autorizzazioni sono necessarie per avviare il servizio.
Per risolvere questo problema:
- Accedere al server con un account amministratore.
- Aprire Servizi passando all'opzione relativa oppure selezionando Start>Esegui>Services.msc.
- In Servizi fare doppio clic su Microsoft Entra Connect Provisioning Agent.
- Nella scheda Connessione impostare Account su un amministratore di dominio. Quindi riavviare il servizio.
Questo test verifica che gli agenti possano comunicare con Azure sulla porta 443. Aprire un browser e passare all'URL precedente dal server in cui è installato l'agente.
Timeout dell'agente o certificato non valido
Quando si tenta di registrare l'agente, è possibile che venga visualizzato il messaggio di errore seguente.
Questo problema in genere è dovuto al fatto che l'agente non riesce a connettersi al servizio di gestione delle identità ibride e richiede la configurazione di un proxy HTTP. Per risolvere il problema, configurare un proxy in uscita.
L'agente di provisioning supporta l'uso di un proxy in uscita. È possibile configurarla modificando il file di configurazione dell'agente C:\Programmi\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Aggiungere le righe seguenti, verso la fine del file subito prima del tag di chiusura </configuration>
.
Sostituire le variabili [proxy-server]
e [proxy-port]
con i valori del nome del server proxy e delle porte.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
La registrazione dell'agente non riesce e viene visualizzato un errore relativo alla sicurezza
Quando si installa l'agente di provisioning cloud, è possibile che venga visualizzato un messaggio di errore.
Questo problema è in genere causato dall'impossibilità dell'agente di eseguire gli script di registrazione di PowerShell a causa dei criteri di esecuzione di PowerShell locali.
Per risolvere il problema, cambiare i criteri di esecuzione di PowerShell nel server. È necessario che i criteri computer e utente siano impostati su Undefined o RemoteSigned. Se sono impostati come Senza restrizioni, verrà visualizzato questo errore. Per altre informazioni, vedere Criteri di esecuzione di PowerShell.
File di registro
Per impostazione predefinita, l'agente genera un numero ridotto di messaggi di errore e informazioni minime di analisi dello stack. È possibile trovare i log di traccia nella cartella C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.
Per raccogliere altre informazioni per la risoluzione dei problemi correlati all'agente:
Installare il
AADCloudSyncTools
modulo PowerShell come descritto nelAADCloudSyncTools
modulo PowerShell per la sincronizzazione cloud di Microsoft Entra Connect.Usare il cmdlet
Export-AADCloudSyncToolsLogs
di PowerShell per acquisire le informazioni. Usare le opzioni seguenti per ottimizzare la raccolta dati. Usa:- SkipVerboseTrace per esportare solo i log correnti senza acquisire log dettagliati (impostazione predefinita = false).
- TracingDurationMins per specificare una durata di acquisizione diversa (impostazione predefinita = 3 minuti).
- OutputPath per specificare un percorso di output diverso (impostazione predefinita = documenti dell'utente).
Usando Microsoft Entra ID, è possibile monitorare il servizio di provisioning nel cloud e raccogliere i log in locale. Il servizio di provisioning genera i log per ogni utente valutato come parte del processo di sincronizzazione. Questi log possono essere usati tramite l'interfaccia utente, le API e l'analisi dei log di portale di Azure. L'host ECMA genera anche i log in locale. Mostra ogni richiesta di provisioning ricevuta e la risposta inviata all'ID Microsoft Entra.
L'installazione dell'agente non riesce
L'errore
System.ComponentModel.Win32Exception: The specified service already exists
indica che l'host ECMA precedente non è stato disinstallato correttamente. Disinstallare l'applicazione host. Passare ai file di programma e rimuovere la cartella host ECMA. È possibile archiviare il file di configurazione per il backup.L'errore seguente indica che non è stato soddisfatto un prerequisito. Assicurarsi di avere installato .NET 4.7.1.
Method Name : <>c__DisplayClass0_1 : RegisterNotLoadedAssemblies Error during load assembly: System.Management.Automation.resources.dll --------- Outer Exception Data --------- Message: Could not load file or assembly 'file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\System.Management.Automation.resources.dll' or one of its dependencies. The system cannot find the file specified.
Viene visualizzato un errore DN di stile LDAP non valido quando si tenta di configurare l'host del connettore ECMA con SQL
Per impostazione predefinita, il connettore SQL generico prevede che il DN venga popolato usando lo stile LDAP (quando l'attributo "DN è ancoraggio" viene lasciato deselezionato nella prima pagina di connettività). Nel messaggio Invalid LDAP style DN
di errore o Target Site: ValidByLdapStyle
si noterà che il campo DN contiene un nome dell'entità utente (UPN) anziché un DN di stile LDAP previsto dal connettore.
Per risolvere questo messaggio di errore, assicurarsi che la generazione automatica sia selezionata nella pagina tipi di oggetto quando si configura il connettore.
Per altre informazioni, vedere Informazioni sugli attributi di ancoraggio e sui nomi distinti.