Risolvere i problemi relativi a un oggetto che non esegue la sincronizzazione con Microsoft Entra ID
Se un oggetto non viene sincronizzato come previsto con Microsoft Entra ID, può essere dovuto a diversi motivi. Se è stato ricevuto un messaggio di posta elettronica di errore da Microsoft Entra ID o viene visualizzato l'errore in Microsoft Entra Connect Health, leggere Risoluzione degli errori durante la sincronizzazione. Se stai risolvendo un problema in cui l'oggetto non è in Microsoft Entra ID, questo articolo fa per te. Descrive come trovare gli errori nel componente locale del Microsoft Entra Connect di sincronizzazione.
Importante
Per la distribuzione di Microsoft Entra Connect con la versione 1.1.749.0 o successiva, usare l'attività di risoluzione dei problemi nella procedura guidata per risolvere i problemi di sincronizzazione degli oggetti.
Processo di sincronizzazione
Prima di analizzare i problemi di sincronizzazione, è possibile comprendere il processo di sincronizzazione Microsoft Entra Connect:
terminologia
- CS: spazio connettore, una tabella in un database
- MV: Metaverse, una tabella in un database
procedura di sincronizzazione
Il processo di sincronizzazione prevede i passaggi seguenti:
Importa da Active Directory: Gli oggetti di Active Directory vengono importati in Active Directory CS.
Importa da Microsoft Entra ID: gli oggetti di Microsoft Entra vengono importati nel Microsoft Entra CS.
Sincronizzazione: regole di sincronizzazione in ingresso e regole di sincronizzazione in uscita vengono eseguite nell'ordine di numero di precedenza, da inferiore a superiore. Per visualizzare le regole di sincronizzazione, vai all'Editor regole di sincronizzazione nelle applicazioni desktop. Le regole di sincronizzazione in ingresso portano i dati da CS a MV. Le regole di sincronizzazione in uscita spostano i dati da MV a CS.
Esporta in ACTIVE Directory: Dopo la sincronizzazione, gli oggetti vengono esportati da Active Directory CS ad Active Directory.
Esporta in Microsoft Entra ID: Dopo la sincronizzazione, gli oggetti vengono esportati da Microsoft Entra CS all'ID Microsoft Entra.
Risoluzione dei problemi
Per trovare gli errori, esaminare alcune posizioni diverse, nell'ordine seguente:
- I log delle operazioni per individuare gli errori identificati dal motore di sincronizzazione durante l'importazione e la sincronizzazione.
- Lo spazio connettore per trovare gli oggetti mancanti e gli errori di sincronizzazione.
- Il metaverse per individuare i problemi correlati ai dati.
Avvia Synchronization Service Manager prima di iniziare questa procedura.
Operazioni
La scheda operazioni
La metà superiore della scheda Operazioni mostra tutte le esecuzioni in ordine cronologico. Per impostazione predefinita, il log delle operazioni mantiene informazioni sugli ultimi sette giorni, ma questa impostazione può essere modificata con lo scheduler . Cerca qualsiasi esecuzione che non mostri uno stato di successo . È possibile modificare l'ordinamento selezionando le intestazioni.
La colonna Stato contiene le informazioni più importanti e mostra il problema più grave per un'esecuzione. Ecco un breve riepilogo degli stati più comuni in ordine di priorità di indagine (dove * indica diverse stringhe di errore possibili).
| Stato | Commento |
|---|---|
| fermata-* | Impossibile completare l'esecuzione. Questo problema può verificarsi, ad esempio, se il sistema remoto è inattivo e non può essere contattato. |
| limite-di-errore-bloccato | Sono presenti più di 5.000 errori. L'esecuzione è stata arrestata automaticamente a causa dell'elevato numero di errori. |
| errori-completati-*- | L'esecuzione è stata completata, ma sono presenti errori (meno di 5.000) da analizzare. |
| completato-*-avvisi | L'esecuzione è stata completata, ma alcuni dati non sono nello stato previsto. In caso di errori, questo messaggio è solo un sintomo. Non analizzare gli avvisi finché non sono stati risolti gli errori. |
| successo | Nessun problema. |
Quando si seleziona una riga, la parte inferiore della scheda Operazioni viene aggiornata per mostrare i dettagli dell'esecuzione. Sul lato sinistro di questa area potrebbe essere presente un elenco denominato Passaggio #. Questo elenco viene visualizzato solo se nella foresta sono presenti più domini e ogni dominio è rappresentato da un passaggio. Il nome di dominio è disponibile sotto l'intestazione Partition. Sotto l'intestazione Statistiche di Sincronizzazione, è possibile trovare altre informazioni sul numero di modifiche elaborate. Selezionare i collegamenti per ottenere un elenco degli oggetti modificati. Se sono presenti oggetti con errori, tali errori vengono visualizzati sotto l'intestazione Errori di sincronizzazione.
Errori nella scheda Operazioni
In caso di errori, Synchronization Service Manager visualizza sia l'oggetto in errore che l'errore stesso come collegamenti che forniscono altre informazioni.
Per iniziare, selezionare la stringa di errore. Nella figura precedente, la stringa di errore è sync-rule-error-function-triggered. Viene visualizzata per prima una panoramica dell'oggetto. Per visualizzare l'errore effettivo, selezionare Stack Trace. Questa traccia fornisce informazioni a livello di debug per l'errore.
Fare clic con il tasto destro del mouse sulla casella Call Stack Information, selezionare Seleziona tuttoe quindi selezionare Copia. Copiare quindi lo stack e osservare l'errore nell'editor preferito, ad esempio Blocco note.
Se l'errore proviene da SyncRulesEngine, le informazioni sullo stack di chiamate elencano di seguito tutti gli attributi dell'oggetto. Scorrere verso il basso fino a visualizzare l'intestazione InnerException =>.
La riga dopo l'intestazione mostra l'errore. Nella figura precedente l'errore proviene da una regola di sincronizzazione personalizzata creata da Fabrikam.
Se l'errore non fornisce informazioni sufficienti, è possibile esaminare i dati stessi. Selezionare il collegamento con l'identificatore dell'oggetto e continuare a risolvere i problemi relativi all'oggetto importato nello spazio-connettore .
Proprietà dell'oggetto spazio connettore
Se la scheda operazioni non visualizza errori, seguire l'oggetto spazio connettore da Active Directory al metaverso in Microsoft Entra ID. In questo percorso si dovrebbe trovare dove si trova il problema.
Ricerca di un oggetto nel cs
In Synchronization Service Manager, selezionare Connectors, selezionare il connettore Active Directory e selezionare Search Connector Space.
Nella casella Ambito, selezionare RDN quando si desidera cercare l'attributo CN, o selezionare DN o ancoraggio quando si desidera cercare l'attributo distinguishedName. Immettere un valore e selezionare Cerca.
Se non si trova l'oggetto che si sta cercando, potrebbe essere stato filtrato con filtro basato su dominio o filtro basato su unità organizzativa. Per verificare che la configurazione dei filtri sia impostata come previsto, leggere Sincronizzazione Microsoft Entra Connect: Configurazione dei filtri.
È possibile eseguire un'altra ricerca utile selezionando Microsoft Entra Connector. Nella casella Ambito, selezionare Importazione in sospeso, e quindi selezionare la casella di controllo Aggiungi. Questa ricerca offre tutti gli oggetti sincronizzati in Microsoft Entra ID che non possono essere associati a un oggetto locale.
Tali oggetti sono stati creati da un altro motore di sincronizzazione o da un motore di sincronizzazione con una configurazione di filtro diversa. Questi oggetti orfani non sono più gestiti. Esaminare questo elenco e provare a rimuovere questi oggetti usando i cmdlet di Microsoft Graph PowerShell
Importazione CS
Quando si apre un oggetto CS, nella parte superiore sono presenti diverse schede. Nella scheda Importa vengono visualizzati i dati che sono in attesa dopo un'importazione.
La colonna valore precedente mostra cosa è attualmente archiviato in Connect. La colonna Nuovo Valore mostra cosa viene ricevuto dal sistema di origine ma non è ancora applicato. Se si verifica un errore nell'oggetto, le modifiche non vengono elaborate.
La scheda errore di sincronizzazione è visibile nella finestra delle proprietà dell'oggetto spazio connettore solo se si verifica un problema con l'oggetto. Per altre informazioni, vedere come
Derivazione CS
La scheda derivazione nella finestra Proprietà dell'oggetto nello spazio del connettore indica in che modo l'oggetto nello spazio del connettore è correlato all'oggetto metaverse. È possibile visualizzare quando il connettore ha importato l'ultima modifica dal sistema connesso e quali regole sono state applicate per popolare i dati nel metaverso.
Nella figura precedente, la colonna Azione mostra una regola di sincronizzazione in ingresso con l'azione Provision. Ciò indica che, purché questo connettore di spazio sia presente, l'oggetto metaverse continua a esistere. Se l'elenco delle regole di sincronizzazione mostra invece una regola di sincronizzazione in uscita con un'azione di Provision, questo oggetto viene eliminato quando l'oggetto metaverse viene eliminato.
Nella figura precedente è anche possibile vedere nella colonna PasswordSync che lo spazio del connettore in ingresso può apportare modifiche alla password dato che una delle regole di sincronizzazione ha il valore True. Questa password viene inviata all'ID Microsoft Entra tramite la regola outbound.
Dalla scheda derivazione, è possibile accedere al Metaverse selezionando Proprietà dell'oggetto Metaverse.
Anteprima
Nell'angolo inferiore sinistro della finestra Proprietà dell'oggetto Spazio Connettore è presente il pulsante Anteprima. Selezionare questo pulsante per aprire la pagina anteprima, in cui è possibile sincronizzare un singolo oggetto. Questa pagina è utile se si stanno risolvendo alcune regole di sincronizzazione personalizzate e si vuole visualizzare l'effetto di una modifica su un singolo oggetto. È possibile selezionare una sincronizzazione completa o una sincronizzazione Delta . È anche possibile selezionare genera anteprima, che mantiene solo la modifica in memoria. In alternativa, selezionare Commit Preview, che aggiorna il metaverse e applica tutte le modifiche apportate agli spazi dei connettori di destinazione.
Nell'anteprima è possibile esaminare l'oggetto e vedere quale regola sia stata applicata per un determinato flusso di attributi.
Registro
Accanto al pulsante Anteprima, selezionare il pulsante Log per aprire la pagina Log. Qui è possibile visualizzare lo stato e la cronologia della sincronizzazione delle password. Per altre informazioni, vedere Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync.
Proprietà dell'oggetto Metaverse
È preferibile iniziare la ricerca dallo spazio connettore di Active Directory di origine. Ma è anche possibile iniziare a cercare dal metaverse.
Ricerca di un oggetto nella MV
In Synchronization Service Manager selezionare Metaverse Search, come illustrato nella figura seguente. Crea una query che sai trova l'utente. Cercare attributi comuni, ad esempio accountName (sAMAccountName) e userPrincipalName. Per altre informazioni, vedere Sync Service Manager Metaverse search.
Nella finestra Risultati della ricerca, seleziona l'oggetto.
Se non hai trovato l'oggetto, non è ancora arrivato nel metaverso. Continuare a cercare l'oggetto nello spazio connettore di Active Directory . Se si trova l'oggetto nello spazio connettore di Active Directory, potrebbe verificarsi un errore di sincronizzazione che blocca l'arrivo dell'oggetto nel metaverse. In alternativa, è possibile applicare un filtro di ambito di una regola di sincronizzazione.
Oggetto non trovato nella MV
Se l'oggetto si trova in Active Directory CS ma non presente nella MV, viene applicato un filtro di ambito. Per esaminare il filtro di ambito, passare al menu dell'applicazione desktop e selezionare Editor delle regole di sincronizzazione. Filtrare le regole applicabili all'oggetto modificando il filtro seguente.
Visualizza ogni regola nell'elenco sopra e controlla il filtro di ambito . Nel filtro di ambito seguente, se il valore di isCriticalSystemObject è null, FALSE o vuoto, è in ambito.
Vai all'elenco di attributi di importazione CS e controlla quale filtro blocca lo spostamento dell'oggetto nella MV. L'elenco di attributi del connettore mostra solo attributi non null e non vuoti. Ad esempio, se isCriticalSystemObject non viene visualizzato nell'elenco, il valore di questo attributo è null o vuoto.
Oggetto non trovato in Microsoft Entra CS
Se l'oggetto non è presente nello spazio connettore di Microsoft Entra ID ma è presente nell'ambiente MV, esaminare il filtro di ambito delle regole in uscita dello spazio connettore corrispondente. Determinare se l'oggetto viene filtrato perché gli attributi MV non soddisfano i criteri.
Per esaminare il filtro di ambito in uscita, selezionare le regole applicabili per l'oggetto regolando il filtro seguente. Visualizzare ogni regola e guardare il valore dell'attributo MV corrispondente .
Attributi MV
Nella scheda attributi è possibile visualizzare i valori e quali connettori li hanno forniti.
Se un oggetto non è sincronizzato, porre le domande seguenti sugli stati degli attributi nel metaverse:
- L'attributo cloudFiltered è presente e impostato su Vero? In tal caso, viene filtrato secondo i passaggi del filtro basato su attributi come descritto in .
- L'attributo sourceAnchor è presente? In caso contrario, si dispone di una topologia della foresta di risorse dell'account? Se un oggetto viene identificato come cassetta postale collegata (l'attributo msExchRecipientTypeDetails ha il valore 2), il sourceAnchor viene fornito dalla foresta con un account di Active Directory abilitato. Assicurarsi che l'account master sia importato e sincronizzato correttamente. L'account master deve essere elencato tra i connettori per l'oggetto.
Connettori MV
La scheda Connettori mostra tutti gli spazi connettore con una rappresentazione dell'oggetto.
È necessario disporre di un connettore per:
- Ogni foresta Active Directory in cui è rappresentato l'utente. Questa rappresentazione può includere foreignSecurityPrincipals e oggetti Contatto.
- Un connettore in Microsoft Entra ID.
Se ti manca il connettore per Microsoft Entra ID, rivedi la sezione sugli attributi MV per verificare i criteri di provisioning in Microsoft Entra ID.
Dalla scheda
Passaggi successivi
- Scopri di più su Microsoft Entra Connect Sync.
- Per saperne di più su identità ibrida.