Condividi tramite

Risoluzione dei problemi end-to-end relativi a oggetti e attributi di Microsoft Entra Connect

  • Articolo

Questo articolo è destinato a stabilire una pratica comune per la risoluzione dei problemi di sincronizzazione in Microsoft Entra ID. Questo metodo si applica alle situazioni in cui un oggetto o un attributo non si sincronizza con Azure Active AD e non visualizza errori nel motore di sincronizzazione, nei log del visualizzatore applicazioni o nei log di Microsoft Entra. È facile perdersi nei dettagli se non c'è un errore ovvio. Tuttavia, usando le procedure consigliate, è possibile isolare il problema e fornire informazioni dettagliate per supporto tecnico Microsoft tecnici.

Quando si applica questo metodo di risoluzione dei problemi all'ambiente, nel corso del tempo sarà possibile eseguire le operazioni seguenti:

  • Risolvere i problemi relativi alla logica del motore di sincronizzazione dalla fine alla fine.
  • Risolvere i problemi di sincronizzazione in modo più efficiente.
  • Identificare i problemi più rapidamente stimando il passaggio in cui si verificheranno.
  • Identificare il punto di partenza per la revisione dei dati.
  • Determinare la risoluzione ottimale.

Screenshot del diagramma di flusso di Microsoft Entra Connect.

I passaggi forniti qui iniziano a livello di Active Directory locale e progrediscono verso Microsoft Entra ID. Questi passaggi rappresentano la direzione più comune della sincronizzazione. Tuttavia, gli stessi principi si applicano alla direzione inversa, ad esempio per il writeback degli attributi.

Prerequisiti

Per una migliore comprensione di questo articolo, leggere prima gli articoli sui prerequisiti seguenti per una migliore comprensione di come cercare un oggetto in origini diverse (AD, AD CS, MV e così via) e comprendere come controllare i connettori e la derivazione di un oggetto.

Procedure di risoluzione dei problemi non valida

Il flag DirSyncEnabled in Microsoft Entra ID controlla se il tenant è pronto ad accettare la sincronizzazione degli oggetti da AD locale. Si è visto che molti clienti hanno l'abitudine di disabilitare DirSync nel tenant durante la risoluzione dei problemi di sincronizzazione degli oggetti o degli attributi. È facile disattivare la sincronizzazione della directory eseguendo il cmdlet di PowerShell seguente:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Note

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Tuttavia, questo può essere irreversibile perché attiva un'operazione back-end complessa e lunga per trasferire SoA da Active Directory locale a Microsoft Entra ID /Exchange Online per tutti gli oggetti sincronizzati nel tenant. Questa operazione è necessaria per convertire ogni oggetto da DirSyncEnabled a solo cloud e pulire tutte le proprietà shadow sincronizzate da AD locale, ad esempio ShadowUserPrincipalName e ShadowProxyAddresses. A seconda delle dimensioni del tenant, questa operazione può richiedere più di 72 ore. Inoltre, non è possibile prevedere al termine dell'operazione. Non usare mai questo metodo per risolvere un problema di sincronizzazione perché ciò causerà danni aggiuntivi e non risolverà il problema. L'abilitazione di DirSync verrà bloccata fino al completamento di questa operazione di disabilitazione. Inoltre, dopo aver riabilitare DirSync, AADC deve corrispondere di nuovo a tutti gli oggetti locali con gli oggetti Microsoft Entra esistenti. Questo processo può essere problematico.

Gli unici scenari in cui questo comando è supportato per disabilitare DirSync sono i seguenti:

  • Si sta ritirando il server di sincronizzazione locale e si vuole continuare a gestire completamente le identità dal cloud anziché dalle identità ibride.
  • Nel tenant sono presenti alcuni oggetti sincronizzati che si vuole mantenere come solo cloud in Microsoft Entra ID e rimuovere definitivamente da AD locale.
  • Attualmente si usa un attributo personalizzato come SourceAnchor in AADC (ad esempio employeeId) e si sta reinstallando AADC per iniziare a usare ms-Ds-Consistency-Guid/ObjectGuid come nuovo attributo SourceAnchor (o viceversa).
  • Esistono alcuni scenari che coinvolgono strategie di migrazione di cassette postali e tenant rischiose.

In alcune situazioni, potrebbe essere necessario arrestare temporaneamente la sincronizzazione o controllare manualmente i cicli di sincronizzazione AADC. Ad esempio, potrebbe essere necessario arrestare la sincronizzazione per poter eseguire un passaggio di sincronizzazione alla volta. Tuttavia, invece di disabilitare DirSync, è possibile arrestare solo l'utilità di pianificazione della sincronizzazione eseguendo il cmdlet seguente:

Set-ADSyncScheduler -SyncCycleEnabled $false

Quando si è pronti, avviare manualmente un ciclo di sincronizzazione eseguendo il cmdlet seguente:

Start-ADSyncSyncCycle

Glossario

Acronimo/abbreviazione Nome/descrizione
AADC Microsoft Entra Connect
AADCA Account connettore Microsoft Entra
AADCS Spazio connettore Microsoft Entra
AADCS:AttributeA Attributo 'A' nello spazio connettore Microsoft Entra
ACL elenchi Controllo di accesso (noti anche come autorizzazioni ADDS)
ADCA Account del connettore AD
ADCS Spazio connettore di Active Directory
ADCS:AttributeA Attributo 'A' nello spazio connettore di Active Directory
ADDS o AD Active Directory Domain Services
CS Spazio connettore
MV Metaverse
Account MSOL Account connettore di AD generato automaticamente (MSOL_######## )
MV:AttributeA Attributo 'A' nell'oggetto Metaverse
SoA Origine dell'autorità

Passaggio 1: Sincronizzazione tra ADDS e ADCS

Obiettivo del passaggio 1

Determinare se l'oggetto o l'attributo è presente e coerente in ADCS. Se è possibile individuare l'oggetto in ADCS e tutti gli attributi hanno i valori previsti, andare al passaggio 2.

Screenshot della replica A D Connector Space A D.

Descrizione per il passaggio 1

La sincronizzazione tra ADDS e ADCS viene eseguita nel passaggio di importazione ed è il momento in cui AADC legge dalla directory di origine e archivia i dati nel database. Ovvero, quando i dati vengono inseriti nello spazio connettore. Durante un'importazione differenziale da ACTIVE Directory, AADC richiede tutte le nuove modifiche apportate dopo una determinata filigrana di directory. Questa chiamata viene avviata da AADC usando il controllo DirSync dei servizi directory sul servizio di replica di Active Directory. Questo passaggio fornisce l'ultima filigrana come ultima importazione di Active Directory riuscita e fornisce ad AD il riferimento temporizzato da quando devono essere recuperate tutte le modifiche (delta). Un'importazione completa è diversa perché AADC importerà da AD tutti i dati (nell'ambito di sincronizzazione) e quindi contrassegna come obsoleti (ed elimina) tutti gli oggetti ancora presenti in ADCS ma non importati da ACTIVE Directory. Tutti i dati tra AD e AADC vengono trasferiti tramite LDAP e vengono crittografati per impostazione predefinita.

Screenshot della finestra di dialogo Opzioni di connessione A D C.

Se la connessione ad AD ha esito positivo, ma l'oggetto o l'attributo non è presente in ADCS (presupponendo che il dominio o l'oggetto sia nell'ambito di sincronizzazione), il problema comporta probabilmente autorizzazioni ADDS. ADCA richiede autorizzazioni di lettura minima per l'oggetto in AD per importare dati in ADCS. Per impostazione predefinita, l'account MSOL dispone di autorizzazioni di lettura/scrittura esplicite per tutte le proprietà utente, gruppo e computer. Tuttavia, questa situazione potrebbe essere ancora problematica se le condizioni seguenti sono vere:

  • AADC usa un'entità ADCA personalizzata, ma non è stata fornita autorizzazioni sufficienti in ACTIVE Directory.
  • Un'unità organizzativa padre ha bloccato l'ereditarietà, che impedisce la propagazione delle autorizzazioni dalla radice del dominio.
  • L'oggetto o l'attributo stesso ha bloccato l'ereditarietà, che impedisce la propagazione delle autorizzazioni.
  • L'oggetto o l'attributo dispone di un'autorizzazione Deny esplicita che impedisce ad ADCA di leggerla.

Risoluzione dei problemi di Active Directory

Connettività con ACTIVE Directory

In Synchronization Service Manager il passaggio "Importa da AD" mostra il controller di dominio contattato in Stato connessione. È probabile che venga visualizzato un errore qui quando si verifica un problema di connettività che influisce su AD.

Screenshot che mostra l'area Stato connessione nel passaggio Importa da A D.

Se è necessario risolvere ulteriormente i problemi di connettività per AD, in particolare se non si verificano errori nel server Microsoft Entra Connect o se si è ancora in corso il processo di installazione del prodotto, iniziare usando ADConnectivityTool.

I problemi di connessione a ADDS presentano le cause seguenti:

  • Credenziali di Active Directory non valide. Ad esempio, ADCA è scaduto o la password è stata modificata.
  • Errore di "ricerca non riuscita", che si verifica quando Il controllo DirSync non comunica con il servizio replica di Active Directory, in genere a causa della frammentazione dei pacchetti di rete elevata.
  • Errore "no-start-ma", che si verifica quando si verificano problemi di risoluzione dei nomi (DNS) in AD.
  • Altri problemi che possono essere causati da problemi di risoluzione dei nomi, problemi di routing di rete, porte di rete bloccate, frammentazione elevata dei pacchetti di rete, nessun controller di dominio scrivibile disponibile e così via. In questi casi, è probabile che sia necessario coinvolgere i team di supporto di Servizi directory o di rete per facilitare la risoluzione dei problemi.

Riepilogo della risoluzione dei problemi

  • Identificare il controller di dominio usato.
  • Usare i controller di dominio preferiti per specificare lo stesso controller di dominio.
  • Identificare correttamente ADCA.
  • Usare ADConnectivityTool per identificare il problema.
  • Usare lo strumento LDP per provare a eseguire l'associazione al controller di dominio con ADCA.
  • Per risolvere i problemi, contattare il team di supporto di Servizi directory o di rete.

Eseguire lo strumento di risoluzione dei problemi di sincronizzazione

Dopo aver risolto i problemi di connettività di ACTIVE Directory, eseguire lo strumento di sincronizzazione degli oggetti perché questo può rilevare solo i motivi più evidenti per cui un oggetto o un attributo non deve eseguire la sincronizzazione.

Screenshot della schermata risoluzione dei problemi di Microsoft Entra Connect.

Autorizzazioni di Active Directory

La mancanza di autorizzazioni di Active Directory può influire su entrambe le direzioni della sincronizzazione:

  • Quando si esegue l'importazione da ADDS ad ADCS, una mancanza di autorizzazioni può causare l'esclusione di oggetti o attributi da AADC in modo che AADC non possa ottenere gli aggiornamenti ADDS nel flusso di importazione. Questo errore si verifica perché ADCA non dispone di autorizzazioni sufficienti per leggere l'oggetto.
  • Quando si esporta da ADCS a ADDS, una mancanza di autorizzazioni genera un errore di esportazione "problema di autorizzazione".

Per controllare le autorizzazioni, aprire la finestra Proprietà di un oggetto AD, selezionare Sicurezza>avanzata e quindi esaminare gli ACL di autorizzazione/negazione dell'oggetto selezionando il pulsante Disabilita ereditarietà (se l'ereditarietà è abilitata). È possibile ordinare il contenuto della colonna in base al tipo per individuare tutte le autorizzazioni "nega". Le autorizzazioni di Active Directory possono variare notevolmente. Tuttavia, per impostazione predefinita, potrebbe essere visualizzato un solo "Nega ACL" per "Sottosistema attendibile di Exchange". La maggior parte delle autorizzazioni verrà contrassegnata come Consenti.

Le autorizzazioni predefinite seguenti sono le più rilevanti:

  • Utenti autenticati

    Screenshot che mostra gli utenti autenticati.

  • Tutti

    Screenshot che mostra l'opzione Consenti è impostata su Tutti.

  • Account ADCA o MSOL personalizzato

    Screenshot che mostra l'account ADCA o MSOL personalizzato.

  • Accesso compatibile precedente a Windows 2000

    Screenshot che mostra l'accesso compatibile con Pre-Windows 2000.

  • SELF

    Screenshot che mostra che l'autorizzazione SELF è consentita.

Il modo migliore per risolvere i problemi relativi alle autorizzazioni consiste nell'usare la funzionalità "Accesso effettivo" nella console Utenti e computer di ACTIVE Directory . Questa funzionalità controlla le autorizzazioni valide per un determinato account (ADCA) nell'oggetto o nell'attributo di destinazione che si desidera risolvere i problemi.

Screenshot che mostra le informazioni nella scheda Accesso effettivo nella finestra Impostazioni di sicurezza avanzate.

Importante

La risoluzione dei problemi relativi alle autorizzazioni di Active Directory può essere complessa perché una modifica negli elenchi di controllo di accesso non ha effetto immediato. Tenere sempre presente che tali modifiche sono soggette alla replica di Active Directory.

Ad esempio:

  • Assicurarsi di apportare le modifiche necessarie direttamente al controller di dominio più vicino (vedere la sezione "Connettività con AD"):
  • Attendere che si verifichino le repliche ADDS.
  • Se possibile, riavviare il servizio ADSync per cancellare la cache.

Riepilogo della risoluzione dei problemi

  • Identificare il controller di dominio usato.
  • Usare i controller di dominio preferiti per specificare lo stesso controller di dominio.
  • Identificare correttamente ADCA.
  • Usare lo strumento Configura autorizzazioni account del connettore di Active Directory Domain Services.
  • Usare la funzionalità "Accesso effettivo" in Utenti e computer di ACTIVE Directory.
  • Usare lo strumento LDP per eseguire l'associazione al controller di dominio con ADCA e provare a leggere l'oggetto o l'attributo non riuscito.
  • Aggiungere temporaneamente ADCA agli amministratori dell'organizzazione o agli amministratori di dominio e riavviare il servizio ADSync.

Importante: non usarlo come soluzione.

  • Dopo aver verificato il problema delle autorizzazioni, rimuovere ADCA da tutti i gruppi con privilegi elevati e fornire le autorizzazioni di Active Directory necessarie direttamente ad ADCA.
  • Contattare Servizi directory o un team di supporto di rete per risolvere la situazione.

Repliche di Active Directory

Questo problema è meno probabile che influisca su Microsoft Entra Connect perché causa problemi maggiori. Tuttavia, quando Microsoft Entra Connect importa i dati da un controller di dominio tramite la replica ritardata, non importerà le informazioni più recenti da AD, che causa problemi di sincronizzazione in cui un oggetto o un attributo creato o modificato di recente in AD non si sincronizza con Microsoft Entra ID perché non è stato replicato nel controller di dominio che Microsoft Entra Connect sta contattando. Per verificare che si tratta del problema, controllare il controller di dominio usato da AADC per l'importazione (vedere "Connettività ad AD") e usare la console Utenti e computer di Active Directory per connettersi direttamente a questo server (vedere Modificare controller di dominio nell'immagine successiva). Verificare quindi che i dati in questo server corrispondano ai dati più recenti e se siano coerenti con i rispettivi dati ADCS. In questa fase, AADC genererà un carico maggiore sul controller di dominio e sul livello di rete.

Screenshot dell'opzione Cambia controller di dominio di Active Directory.

Un altro approccio consiste nell'usare lo strumento RepAdmin per controllare i metadati di replica dell'oggetto in tutti i controller di dominio, ottenere il valore da tutti i controller di dominio e controllare lo stato della replica tra i controller di dominio:

  • Valore dell'attributo da tutti i controller di dominio:

    repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

    Screenshot dello strumento RepAdmin con showattr.

  • Metadati degli oggetti da tutti i controller di dominio:

    repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

    Screenshot dello strumento RepAdmin con il comando showobjmeta.

  • Riepilogo replica di Active Directory

    repadmin /replsummary

    Screenshot dello strumento RepAdmin usando il comando replsummary.

Riepilogo della risoluzione dei problemi

  • Identificare il controller di dominio usato.
  • Confrontare i dati tra controller di dominio.
  • Analizzare i risultati di RepAdmin.
  • Per risolvere il problema, contattare il team di supporto di Directory Services o di rete.

Modifiche di dominio e unità organizzative e tipi di oggetto o attributi filtrati o esclusi in ADDS Connector

  • La modifica del filtro del dominio o dell'unità organizzativa richiede un'importazione completa

    Tenere presente che, anche se il filtro del dominio o dell'unità organizzativa viene confermato, le modifiche apportate al filtro del dominio o dell'unità organizzativa diventano effettive solo dopo l'esecuzione di un passaggio di importazione completo.

  • Filtro degli attributi con l'app Microsoft Entra e il filtro degli attributi

    Uno scenario facile da perdere per gli attributi non sincronizzati è quando Microsoft Entra Connect è configurato con l'app Microsoft Entra e la funzionalità di filtro degli attributi. Per verificare se la funzionalità è abilitata e per quali attributi accettare un report di diagnostica generale.

  • Tipo di oggetto escluso nella configurazione di ADDS Connector

    Questa situazione non si verifica in genere per utenti e gruppi. Tuttavia, se mancano tutti gli oggetti di un tipo di oggetto specifico in ADCS, potrebbe essere utile esaminare i tipi di oggetto abilitati nella configurazione di ADDS Connector.

    È possibile usare il cmdlet Get-ADSyncConnector per recuperare i tipi di oggetto abilitati nel connettore, come illustrato nell'immagine successiva. Di seguito sono riportati i tipi di oggetto che devono essere abilitati per impostazione predefinita:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

    Di seguito sono riportati i tipi di oggetto che devono essere abilitati per impostazione predefinita:

    Screenshot che mostra i tipi di oggetto Get-ADSyncConnector.

    Note

    Il tipo di oggetto publicFolder è presente solo quando la funzionalità Posta abilitata per la cartella pubblica è abilitata.

  • Attributo escluso in ADCS

    Allo stesso modo, se l'attributo manca per tutti gli oggetti, verificare se l'attributo è selezionato in AD Connector.

    Per verificare la presenza di attributi abilitati in ADDS Connector, usare Synchronization Manager, come illustrato nell'immagine successiva oppure eseguire il cmdlet di PowerShell seguente:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

    Screenshot di Ad Connector Synchronization Manager.

    Note

    L'inclusione o l'esclusione di attributi o tipi di oggetto in Synchronization Service Manager non è supportata.

Riepilogo della risoluzione dei problemi

  • Controllare la funzionalità di filtro degli attributi e dell'app Microsoft Entra
  • Verificare che il tipo di oggetto sia incluso in ADCS.
  • Verificare che l'attributo sia incluso in ADCS.
  • Eseguire un'importazione completa.

Risorse per il passaggio 1

Risorse principali:

  • Get-ADSyncConnectorAccount - Identificare l'account connettore corretto usato da AADC

  • ADConnectivityTool

  • Identificare i problemi di connettività con ADDS

  • Trace-ADSyncToolsADImport (ADSyncTools) - Dati di traccia importati da ADDS

  • LDIFDE - Oggetto dump da ADDS per confrontare i dati tra ADDS e ADCS

  • LDP - Testare la connettività e le autorizzazioni di Associazione AD per leggere l'oggetto nel contesto di sicurezza di ADCA

  • DSACLS - Confrontare e valutare le autorizzazioni ADDS

  • Autorizzazioni per le funzionalità >Set-ADSync< - Applicare le autorizzazioni predefinite di AADC in ADDS

  • RepAdmin - Controllare i metadati degli oggetti di Active Directory e lo stato della replica di Active Directory

Passaggio 2: Sincronizzazione tra ADCS e MV

Screenshot che mostra il grafico di flusso da A D C S a MetaVerse.

Obiettivo del passaggio 2

Questo passaggio controlla se l'oggetto o l'attributo passa da CS a MV ( in altre parole, se l'oggetto o l'attributo viene proiettato nella MV). In questa fase assicurarsi che l'oggetto sia presente o che l'attributo sia corretto in ADCS (descritto nel passaggio 1) e quindi iniziare a esaminare le regole di sincronizzazione e la derivazione dell'oggetto.

Descrizione per il passaggio 2

La sincronizzazione tra ADCS e MV si verifica nel passaggio di sincronizzazione delta/completo. A questo punto, AADC legge i dati di gestione temporanea in ADCS, elabora tutte le regole di sincronizzazione e aggiorna il rispettivo oggetto MV. Questo oggetto MV conterrà collegamenti CS (o connettori) che puntano agli oggetti CS che contribuiscono alle relative proprietà e alla derivazione delle regole di sincronizzazione applicate nel passaggio di sincronizzazione. Durante questa fase, AADC genera un carico maggiore nei livelli di rete e SQL Server (o LocalDB).

Risoluzione dei problemi relativi a MV ADCS > per gli oggetti

  • Controllare le regole di sincronizzazione in ingresso per il provisioning

    Un oggetto presente in ADCS ma mancante in MV indica che non sono presenti filtri di ambito per nessuna delle regole di sincronizzazione del provisioning applicate a tale oggetto. Pertanto, l'oggetto non è stato proiettato in MV. Questo problema può verificarsi se sono presenti regole di sincronizzazione disabilitate o personalizzate.

    Per ottenere un elenco delle regole di sincronizzazione del provisioning in ingresso, eseguire il comando seguente:

    Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Screenshot che mostra il comando Get-ADSyncRule usato per controllare le regole di provisioning in ingresso.

  • Controllare la derivazione dell'oggetto ADCS

    È possibile recuperare l'oggetto non riuscito da ADCS eseguendo una ricerca in "DN o ancoraggio" in "Search Connector Space". Nella scheda Derivazione si noterà probabilmente che l'oggetto è un disconnessore (nessun collegamento a MV) e la derivazione è vuota. Controllare inoltre se l'oggetto presenta errori, nel caso in cui sia presente una scheda di errore di sincronizzazione.

    Screenshot delle proprietà dell'oggetto Spazio connettore in A D C S.

  • Eseguire un'anteprima nell'oggetto ADCS

    Selezionare Anteprima>genera>anteprima commit per verificare se l'oggetto è proiettato in MV. In questo caso, un ciclo di sincronizzazione completo dovrebbe risolvere il problema per altri oggetti nella stessa situazione.

    Screenshot della schermata di anteprima dell'oggetto A D C S.

    Screenshot della schermata Dettagli oggetto di origine in A D C S.

  • Esportare l'oggetto in XML

    Per un'analisi più dettagliata (o per l'analisi offline), è possibile raccogliere tutti i dati del database correlati all'oggetto usando il cmdlet Export-ADSyncObject . Queste informazioni esportate consentono di determinare quale regola filtra l'oggetto. In altre parole, il filtro di ambito in ingresso nelle regole di sincronizzazione del provisioning impedisce che l'oggetto venga proiettato nella MV.

    Ecco alcuni esempi di sintassi Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Riepilogo della risoluzione dei problemi (oggetti)

  • Controllare i filtri di ambito per le regole di provisioning in ingresso "In From AD".
  • Creare un'anteprima dell'oggetto.
  • Eseguire un ciclo di sincronizzazione completo.
  • Esportare i dati dell'oggetto usando lo script Export-ADSyncObject .

Risoluzione dei problemi relativi a MV ADCS > per gli attributi

  1. Identificare le regole di sincronizzazione in ingresso e le regole di trasformazione dell'attributo

    Ogni attributo ha un proprio set di regole di trasformazione che sono responsabili dell'indirizzamento del valore da ADCS a MV. Il primo passaggio consiste nell'identificare le regole di sincronizzazione che contengono la regola di trasformazione per l'attributo che si sta risolvendo.

    Il modo migliore per identificare le regole di sincronizzazione con una regola di trasformazione per un determinato attributo consiste nell'usare le funzionalità di filtro predefinite dell'Editor regole di sincronizzazione.

    Screenshot dell'editor delle regole di sincronizzazione in A D C S.

  2. Controllare la derivazione dell'oggetto ADCS

    Ogni connettore (o collegamento) tra CS e MV avrà una derivazione che contiene informazioni sulle regole di sincronizzazione applicate a tale oggetto CS. Il passaggio precedente indica quale set di regole di sincronizzazione in ingresso (se il provisioning o l'unione delle regole di sincronizzazione) deve essere presente nella derivazione dell'oggetto per propagare il valore corretto da ADCS a MV. Esaminando la derivazione sull'oggetto ADCS, sarà possibile determinare se tale regola di sincronizzazione è stata applicata all'oggetto .

    Screenshot della schermata di derivazione Delle proprietà dell'oggetto spazio connettore.

    Se sono presenti più connettori (più foreste AD) collegati all'oggetto MV, potrebbe essere necessario esaminare le proprietà dell'oggetto Metaverse per determinare quale connettore contribuisce al valore dell'attributo all'attributo che si sta tentando di risolvere i problemi. Dopo aver identificato il connettore, esaminare la derivazione dell'oggetto ADCS.

    Screenshot della schermata Proprietà oggetto Metaverse.

  3. Controllare i filtri di ambito per la regola di sincronizzazione in ingresso

    Se una regola di sincronizzazione è abilitata ma non presente nella derivazione dell'oggetto, l'oggetto deve essere filtrato in base al filtro di ambito della regola di sincronizzazione. Controllando i filtri di ambito della regola di sincronizzazione, i dati nell'oggetto ADCS e se la regola di sincronizzazione è abilitata o disabilitata, è necessario essere in grado di determinare il motivo per cui tale regola di sincronizzazione non è stata applicata all'oggetto ADCS.

    Di seguito è riportato un esempio di filtro di ambito problematico comune da una regola di sincronizzazione responsabile della sincronizzazione delle proprietà di Exchange. Se l'oggetto ha un valore Null per mailNickName, nessuno degli attributi di Exchange nelle regole di trasformazione passerà all'ID Microsoft Entra.

    Screenshot della schermata Visualizza regola di sincronizzazione in ingresso.

  4. Eseguire un'anteprima nell'oggetto ADCS

    Se non è possibile determinare il motivo per cui la regola di sincronizzazione manca nella derivazione dell'oggetto ADCS, eseguire un'anteprima usando Genera anteprima e Anteprima commit per una sincronizzazione completa dell'oggetto. Se l'attributo viene aggiornato nella MV e ha un'anteprima, un ciclo di sincronizzazione completo deve risolvere il problema per altri oggetti nella stessa situazione.

  5. Esportare l'oggetto in XML

    Per un'analisi più dettagliata o offline, è possibile raccogliere tutti i dati di database correlati all'oggetto usando lo script Export-ADSyncObject . Queste informazioni esportate consentono di determinare la regola di sincronizzazione o la regola di trasformazione mancante nell'oggetto che impedisce la proiezione dell'attributo in MV (vedere gli esempi export-ADSyncObject descritti in precedenza in questo articolo).

Riepilogo della risoluzione dei problemi (per gli attributi)

  • Identificare le regole di sincronizzazione e le regole di trasformazione corrette responsabili del flusso dell'attributo alla MV.
  • Controllare la derivazione dell'oggetto.
  • Controllare se le regole di sincronizzazione sono state abilitate.
  • Controllare i filtri di ambito delle regole di sincronizzazione mancanti nella derivazione dell'oggetto.

Risoluzione avanzata dei problemi della pipeline delle regole di sincronizzazione

Se è necessario eseguire ulteriormente il debug del motore ADSync (noto anche come MiiServer) in termini di elaborazione delle regole di sincronizzazione, è possibile abilitare la traccia ETW nel file con estensione config (C:\Programmi\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Questo metodo genera un file di testo dettagliato completo che mostra tutta l'elaborazione delle regole di sincronizzazione. Tuttavia, potrebbe essere difficile interpretare tutte le informazioni. Usare questo metodo come ultima risorsa o se è indicato da supporto tecnico Microsoft.

Risorse per il passaggio 2

  • Interfaccia utente di Synchronization Service Manager
  • Editor regole di sincronizzazione
  • Script Export-ADsyncObject
  • Start-ADSyncSyncCycle -PolicyType Initial
  • Traccia ETW SyncRulesPipeline (miiserver.exe.config)

Passaggio 3: Sincronizzazione tra MV e AADCS

Screenshot del diagramma di flusso M V e A D C S.

Obiettivo del passaggio 3

Questo passaggio controlla se l'oggetto o l'attributo passa da MV a AADCS. A questo punto, assicurarsi che l'oggetto sia presente o che l'attributo sia corretto in ADCS e MV (illustrato nei passaggi 1 e 2). Esaminare quindi le regole di sincronizzazione e la derivazione dell'oggetto. Questo passaggio è simile al passaggio 2, in cui è stata esaminata la direzione in ingresso da ADCS a MV, tuttavia, in questa fase, ci concentreremo sulle regole di sincronizzazione in uscita e sugli attributi che passano da MV a AADCS.

Descrizione per il passaggio 3

La sincronizzazione tra MV e AADCS viene eseguita nel passaggio di sincronizzazione differenziale/completa, quando AADC legge i dati in MV, elabora tutte le regole di sincronizzazione e aggiorna il rispettivo oggetto AADCS. Questo oggetto MV conterrà collegamenti CS (noti anche come connettori) che puntano agli oggetti CS che contribuiscono alle relative proprietà e alla derivazione delle regole di sincronizzazione applicate nel passaggio di sincronizzazione. A questo punto, AADC genera un carico maggiore su SQL Server (o localDB) e sul livello di rete.

Risoluzione dei problemi di MV a AADCS per gli oggetti

  1. Controllare le regole di sincronizzazione in uscita per il provisioning

    Un oggetto presente in MV ma mancante in AADCS indica che non sono presenti filtri di ambito per nessuna delle regole di sincronizzazione del provisioning applicate a tale oggetto. Ad esempio, vedere le regole di sincronizzazione "Out to Microsoft Entra ID" (Out to Microsoft Entra ID) illustrate nell'immagine successiva. Pertanto, il provisioning dell'oggetto non è stato eseguito in AADCS. Questo errore può verificarsi se sono presenti regole di sincronizzazione disabilitate o personalizzate.

    Per ottenere un elenco delle regole di sincronizzazione del provisioning in ingresso, eseguire il comando seguente:

    Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Screenshot di Get-ADSyncRule usato per controllare le regole di sincronizzazione in uscita.

  2. Controllare la derivazione dell'oggetto ADCS

    Per recuperare l'oggetto non riuscito dalla MV, usare una ricerca metaverse e quindi esaminare la scheda connettori. In questa scheda è possibile determinare se l'oggetto MV è collegato a un oggetto AADCS. Controllare inoltre se l'oggetto presenta errori, nel caso in cui sia presente una scheda di errore di sincronizzazione.

    Screenshot della schermata Ricerca metaverse.

    Se non è presente alcun connettore AADCS, l'oggetto è probabilmente impostato su cloudFiltered=True. È possibile verificare se l'oggetto è filtrato nel cloud esaminando gli attributi MV per cui la regola di sincronizzazione contribuisce con il valore cloudFiltered .

  3. Eseguire un'anteprima nell'oggetto AADCS

    Selezionare Anteprima>Genera anteprima>Commit anteprima per determinare se l'oggetto si connette ad AADCS. In tal caso, un ciclo di sincronizzazione completo dovrebbe risolvere il problema per altri oggetti nella stessa situazione.

  4. Esportare l'oggetto in XML

    Per un'analisi più dettagliata o offline, è possibile raccogliere tutti i dati di database correlati all'oggetto usando lo script Export-ADSyncObject . Queste informazioni esportate, insieme alla configurazione delle regole di sincronizzazione (in uscita), consentono di determinare quale regola filtra l'oggetto e può determinare quale filtro di ambito in uscita nelle regole di sincronizzazione del provisioning impedisce all'oggetto di connettersi con AADCS.

    Ecco alcuni esempi di sintassi Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
    • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Riepilogo della risoluzione dei problemi per gli oggetti

  • Controllare i filtri di ambito nelle regole di provisioning in uscita "Out to Microsoft Entra ID" (Out to Microsoft Entra ID) in uscita.
  • Creare un'anteprima dell'oggetto.
  • Eseguire un ciclo di sincronizzazione completo.
  • Esportare i dati dell'oggetto usando lo script Export-ADSyncObject .

Risoluzione dei problemi di MV a AADCS per gli attributi

  1. Identificare le regole di sincronizzazione in uscita e le regole di trasformazione dell'attributo

    Ogni attributo ha un proprio set di regole di trasformazione che sono responsabili del flusso del valore da MV a AADCS. Per iniziare, identificare le regole di sincronizzazione che contengono la regola di trasformazione per l'attributo che si sta risolvendo.

    Il modo migliore per identificare le regole di sincronizzazione con una regola di trasformazione per un determinato attributo consiste nell'usare le funzionalità di filtro predefinite dell'Editor regole di sincronizzazione.

    Screenshot dell'editor regole di sincronizzazione.

  2. Controllare la derivazione dell'oggetto ADCS

    Ogni connettore (o collegamento) tra CS e MV avrà una derivazione che contiene informazioni sulle regole di sincronizzazione applicate all'oggetto CS. Il passaggio precedente indica quale set di regole di sincronizzazione in uscita (se il provisioning o l'aggiunta di regole di sincronizzazione) deve essere presente nella derivazione dell'oggetto per passare il valore corretto da MV a AADCS. Esaminando la derivazione nell'oggetto AADCS, è possibile determinare se tale regola di sincronizzazione è stata applicata all'oggetto .

    Screenshot che mostra i dettagli della scheda Derivazione nell'oggetto A D C S.

  3. Controllare i filtri di ambito per la regola di sincronizzazione in uscita

    Se una regola di sincronizzazione è abilitata ma non presente nella derivazione dell'oggetto, deve essere filtrata in base al filtro di ambito della regola di sincronizzazione. Controllando la presenza dei filtri di ambito della regola di sincronizzazione e i dati nell'oggetto MV e se la regola di sincronizzazione è abilitata o disabilitata, è necessario essere in grado di determinare il motivo per cui tale regola di sincronizzazione non è stata applicata all'oggetto AADCS.

  4. Eseguire un'anteprima nell'oggetto AADCS

    Se si determina il motivo per cui la regola di sincronizzazione non è presente nella derivazione dell'oggetto ADCS, eseguire un'anteprima che usa Generate Preview e Commit Preview per una sincronizzazione completa dell'oggetto. Se l'attributo viene aggiornato nella MV con un'anteprima, un ciclo di sincronizzazione completo deve risolvere il problema per altri oggetti nella stessa situazione.

  5. Esportare l'oggetto in XML

    Per un'analisi più dettagliata o offline, è possibile raccogliere tutti i dati di database correlati all'oggetto usando lo script "Export-ADSyncObject". Queste informazioni esportate, insieme alla configurazione delle regole di sincronizzazione (in uscita), consentono di determinare quale regola di sincronizzazione o regola di trasformazione non è presente nell'oggetto che impedisce il flusso dell'attributo a AADCS (vedere gli esempi "Export-ADSyncObject" in precedenza).

Riepilogo della risoluzione dei problemi per gli attributi

  • Identificare le regole di sincronizzazione e le regole di trasformazione corrette responsabili del flusso dell'attributo in AADCS.
  • Controllare la derivazione dell'oggetto.
  • Verificare che le regole di sincronizzazione siano abilitate.
  • Controllare i filtri di ambito delle regole di sincronizzazione mancanti nella derivazione dell'oggetto.

Risolvere i problemi relativi alla pipeline della regola di sincronizzazione

Se è necessario eseguire ulteriormente il debug del motore ADSync (noto anche come MiiServer) in termini di elaborazione delle regole di sincronizzazione, è possibile abilitare la traccia ETW nel file con estensione config (C:\Programmi\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Questo metodo genera un file di testo dettagliato completo che mostra tutta l'elaborazione delle regole di sincronizzazione. Tuttavia, potrebbe essere difficile interpretare tutte le informazioni. Usare questo metodo solo come ultima risorsa o se è indicato da supporto tecnico Microsoft.

Risorse

  • Interfaccia utente di Synchronization Service Manager
  • Editor regole di sincronizzazione
  • Script Export-ADsyncObject
  • Start-ADSyncSyncCycle -PolicyType Initial
  • Traccia ETW SyncRulesPipeline (miiserver.exe.config)

Passaggio 4: Sincronizzazione tra AADCS e AzureAD

Screenshot del grafico a flusso di sincronizzazione tra A D C S e Microsoft Entra ID.

Obiettivo del passaggio 4

Questa fase confronta l'oggetto AADCS con il rispettivo oggetto di cui viene effettuato il provisioning in Microsoft Entra ID.

Descrizione per il passaggio 4

Più componenti e processi coinvolti nell'importazione e nell'esportazione dei dati da e verso Microsoft Entra ID possono causare i problemi seguenti:

  • Connettività a Internet
  • Firewall interni e connettività ISP (ad esempio, traffico di rete bloccato)
  • Microsoft Entra Gateway davanti a DirSync Webservice (noto anche come endpoint AdminWebService)
  • The DirSync Webservice API
  • Servizio directory Microsoft Entra Core

Fortunatamente, i problemi che interessano questi componenti generano in genere un errore nei registri eventi che possono essere tracciati da supporto tecnico Microsoft. Di conseguenza, questi problemi non rientrano nell'ambito di questo articolo. Tuttavia, ci sono ancora alcuni problemi "silenziosi" che possono essere esaminati.

Risoluzione dei problemi di AADCS

  • Esportazione di più server AADC attivi in Microsoft Entra ID

    In uno scenario comune in cui gli oggetti in Microsoft Entra ID capovolgono i valori degli attributi in avanti e indietro, ci sono più server Microsoft Entra Connect attivi e uno di questi server perde il contatto con l'AD locale, ma è ancora connesso a Internet e in grado di esportare i dati in Microsoft Entra ID. Pertanto, ogni volta che questo server "non aggiornato" importa una modifica da Microsoft Entra ID in un oggetto sincronizzato eseguito dall'altro server attivo, il motore di sincronizzazione ripristina tale modifica in base ai dati AD non aggiornati presenti in ADCS. Un sintomo tipico in questo scenario è che si apporta una modifica in ACTIVE Directory sincronizzata con Microsoft Entra ID, ma la modifica viene ripristinata al valore originale alcuni minuti dopo (fino a 30 minuti). Per attenuare rapidamente questo problema, tornare a tutti i server o alle macchine virtuali precedenti che sono state rimosse e verificare se il servizio ADSync è ancora in esecuzione.

  • Attributo mobile con DirSyncOverrides

    Quando l'amministratore usa il modulo MSOnline o AzureAD PowerShell o se l'utente accede al portale di Office e aggiorna l'attributo Mobile , il numero di telefono aggiornato verrà sovrascritto in AzureAD nonostante l'oggetto sincronizzato da AD locale (noto anche come DirSyncEnabled).

    Insieme a questo aggiornamento, Microsoft Entra ID imposta anche un DirSyncOverrides sull'oggetto per contrassegnare che l'utente ha il numero di telefono cellulare "sovrascritto" in Microsoft Entra ID. Da questo punto in poi, qualsiasi aggiornamento all'attributo mobile originato dall'ambiente locale verrà ignorato perché questo attributo non sarà più gestito da AD locale.

    Per altre informazioni sulla funzionalità BypassDirSyncOverrides e su come ripristinare la sincronizzazione degli attributi Mobile e altri attributiMobile da Microsoft Entra ID a Active Directory locale, vedere Come usare la funzionalità BypassDirSyncOverrides di un tenant di Microsoft Entra.

  • Le modifiche di UserPrincipalName non vengono aggiornate in Microsoft Entra ID

    Se l'attributo UserPrincipalName non viene aggiornato in Microsoft Entra ID, mentre altri attributi vengono sincronizzati come previsto, è possibile che nel tenant non sia abilitata una funzionalità denominata SynchronizeUpnForManagedUsers . Questo scenario si verifica frequentemente.

    Prima dell'aggiunta di questa funzionalità, tutti gli aggiornamenti all'UPN provenienti dall'ambiente locale dopo il provisioning dell'utente nell'ID Microsoft Entra e una licenza venivano ignorati in modo invisibile all'utente. Un amministratore deve usare MSOnline o Azure AD PowerShell per aggiornare l'UPN direttamente in Microsoft Entra ID. Dopo l'aggiornamento di questa funzionalità, tutti gli aggiornamenti dell'UPN verranno trasmessi a Microsoft Entra indipendentemente dal fatto che l'utente abbia una licenza (gestita).

    Note

    Dopo l'abilitazione, questa funzionalità non può essere disabilitata.

    Gli aggiornamenti di UserPrincipalName funzioneranno se l'utente non ha una licenza. Tuttavia, senza la funzionalità SynchronizeUpnForManagedUsers , UserPrincipalName cambia dopo il provisioning dell'utente e viene assegnata una licenza che non verrà aggiornata in Microsoft Entra ID. Si noti che Microsoft non disabilita questa funzionalità per conto del cliente.

  • Caratteri non validi e elementi interni di ProxyCalc

    I problemi che coinvolgono caratteri non validi che non generano errori di sincronizzazione sono più problematici negli attributi UserPrincipalName e ProxyAddresses a causa dell'effetto a catena nell'elaborazione ProxyCalc che eliminerà automaticamente il valore sincronizzato da AD locale. Questa situazione si verifica nel modo seguente:

    1. L'elemento UserPrincipalName risultante nell'ID Microsoft Entra sarà il dominio iniziale MailNickName o CommonName @ (at). Ad esempio, invece di John.Smith@Contoso.com, l'ID UserPrincipalName in Microsoft Entra ID potrebbe diventare smithj@Contoso.onmicrosoft.com perché esiste un carattere invisibile nel valore UPN di AD locale.

    2. Se proxyAddress contiene uno spazio, ProxyCalc lo scarterà e genera automaticamente un indirizzo di posta elettronica basato su MailNickName nel dominio iniziale. Ad esempio, "SMTP: John.Smith@Contoso.com" non verrà visualizzato in Microsoft Entra ID perché contiene un carattere di spazio dopo i due punti.

    3. UserPrincipalName che include uno spazio o proxyAddress che include un carattere invisibile causerà lo stesso problema.

      Per risolvere i problemi relativi a un carattere non valido in UserPrincipalName o ProxyAddress, esaminare il valore archiviato in AD locale da un LDIFDE o PowerShell esportato in un file. Un semplice trucco per rilevare un carattere invisibile consiste nel copiare il contenuto del file esportato e incollarlo in una finestra di PowerShell. Il carattere invisibile verrà sostituito da un punto interrogativo (?), come illustrato nell'esempio seguente.

      Screenshot che mostra un esempio per risolvere i problemi relativi a UserPrincipalName o ProxyAddress.

  • Attributo ThumbnailPhoto (KB4518417)

    C'è un malinteso generale che dopo aver sincronizzato ThumbnailPhoto da AD per la prima volta, non è più possibile aggiornarlo, che è solo parzialmente vero.

    In genere, ThumbnailPhoto in Microsoft Entra ID viene aggiornato continuamente. Tuttavia, si verifica un problema se l'immagine aggiornata non viene più recuperata dall'ID Microsoft Entra dal rispettivo carico di lavoro o partner (ad esempio, EXO o SfBO). Questo problema causa la falsa impressione che l'immagine non sia stata sincronizzata da AD locale a Microsoft Entra ID.

    Passaggi di base per risolvere i problemi di ThumbnailPhoto

    1. Assicurarsi che l'immagine sia archiviata correttamente in ACTIVE Directory e che non superi il limite di dimensioni di 100 KB.

    2. Controllare l'immagine nel portale degli account o usare Get-AzureADUserThumbnailPhoto perché questi metodi leggono ThumbnailPhoto direttamente da Microsoft Entra ID.

    3. Se l'anteprima di AD (o AzureAD)Photo ha l'immagine corretta ma non è corretta in altri Servizi online, potrebbero essere applicate le condizioni seguenti:

    • La cassetta postale dell'utente contiene un'immagine HD e non accetta immagini a bassa risoluzione da Microsoft Entra thumbnailPhoto. La soluzione consiste nell'aggiornare direttamente l'immagine della cassetta postale dell'utente.
    • L'immagine della cassetta postale dell'utente è stata aggiornata correttamente, ma viene comunque visualizzata l'immagine originale. La soluzione consiste nell'attendere almeno sei ore per visualizzare l'immagine aggiornata nel portale utenti di Office 365 o nel portale di Azure.

Risorse aggiuntive

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.