次の方法で共有

クラウド同期のトラブルシューティング

  • [アーティクル]

クラウド同期にはさまざまな依存関係と相互作用があり、さまざまな問題が発生する可能性があります。 この記事は、これらの問題のトラブルシューティングに役立ちます。 ここでは、注目すべき一般的な領域、追加情報を収集する方法、および問題を追跡するために使用できるさまざまな手法について説明します。

エージェントの問題

エージェントの問題のトラブルシューティングを行うときは、エージェントが正しくインストールされていること、およびエージェントが Microsoft Entra ID と通信していることを確認します。 特に、エージェントで最初に確認する内容の一部を次に示します。

  • インストールされていますか?
  • エージェントはローカルで実行されているか。
  • エージェントはポータルにありますか?
  • エージェントは正常とマークされていますか?

これらの項目は、ポータルと、エージェントを実行しているローカル サーバーで確認できます。

Microsoft Entra 管理センターのエージェントの検証

Azure がエージェントを検出し、エージェントが正常であることを確認するには、次の手順に従います。

  1. 少なくとも ハイブリッド管理者として、Microsoft Entra 管理センター にサインインします。
  2. ID>ハイブリッド管理>Microsoft Entra Connect>クラウド同期に移動します。クラウド同期ホーム ページのスクリーンショット。
  1. [クラウド同期] を選択します。
  2. インストールしたエージェントが表示されます。 該当するエージェントが存在することを確認します。 すべてが適切な場合は、エージェントの アクティブ な状態 (緑) が表示されます。

必要な開いているポートを確認する

Microsoft Entra プロビジョニング エージェントが Azure データセンターと正常に通信できることを確認します。 パスにファイアウォールがある場合は、送信トラフィックに対する次のポートが開いていることを確認します。

ポート番号 使用方法
80 TLS/SSL 証明書の検証中の証明書失効リスト (CRL) のダウンロード。
443 アプリケーション プロキシ サービスとの送信通信をすべて処理します。

ファイアウォールが送信元ユーザーに従ってトラフィックを適用する場合は、ネットワーク サービスとして実行される Windows サービスからのトラフィックに対してもポート 80 と 443 を開きます。

URL へのアクセスを許可する

次の URL へのアクセスを許可します。

URL Port 使用方法
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS コネクタとアプリケーション プロキシ クラウド サービス間の通信。
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP コネクタは、これらの URL を使用して証明書を検証します。
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS コネクタでは、登録プロセス中にこれらの URL が使用されます。
ctldl.windowsupdate.com 80/HTTP コネクタでは、登録プロセス中にこの URL が使用されます。

ファイアウォールまたはプロキシでドメイン サフィックスに基づいてアクセス規則を構成できる場合は、*.msappproxy.net*.servicebus.windows.net、およびその他の URL への接続を許可できます。 そうでない場合は、Azure IP 範囲とサービス タグ (パブリック クラウド) へのアクセスを許可する必要があります。 IP 範囲は毎週更新されます。

重要

Microsoft Entra プライベート ネットワーク コネクタと Microsoft Entra アプリケーション プロキシ クラウド サービス間の送信 TLS 通信では、あらゆる形式のインライン検査と終了を回避します。

Microsoft Entra アプリケーション プロキシ エンドポイントの DNS 名前解決

Microsoft Entra アプリケーション プロキシ エンドポイントのパブリック DNS レコードは、A レコードを指すチェーンされた CNAME レコードです。 これにより、障害許容性と柔軟性が確保されます。 Microsoft Entra プライベート ネットワーク コネクタは、常にドメイン サフィックスが *.msappproxy.net または *.servicebus.windows.netホスト名にアクセスすることが保証されます。

ただし、名前解決中に、CNAME レコードにホスト名とサフィックスが異なる DNS レコードが含まれる場合があります。 このため、デバイスがチェーン内のすべてのレコードを解決できることを確認し、解決された IP アドレスへの接続を許可する必要があります。 チェーン内の DNS レコードは随時変更される可能性があるため、DNS レコードの一覧を提供することはできません。

ローカル サーバー上

エージェントが実行されていることを確認するには、次の手順に従います。

  1. エージェントがインストールされているサーバーで、Servicesを開きます。 これを行うには、開始>実行>Services.mscに移動します。

  2. サービスで、Microsoft Entra Connect Agent UpdaterMicrosoft Entra Provisioning Agent が存在していることを確認します。 状態が [実行中] であることも確認します。

    ローカル サービスとその状態のスクリーンショット。

エージェントのインストールに関する一般的な問題

以下のセクションでは、エージェントのインストールに関する一般的な問題と、それらの問題の一般的な解決策について説明します。

エージェントの起動に失敗しました

次のようなエラー メッセージが表示されることがあります。

サービス 'Microsoft Entra Provisioning Agent' を開始できませんでした。 システム・サービスを開始するための十分な特権があることを確認します。

この問題は通常、グループ ポリシーによって発生します。 このポリシーにより、インストーラー (NT SERVICE\AADConnectProvisioningAgent) によって作成されたローカル NT Service サインイン アカウントにアクセス許可が適用されなくなります。 これらのアクセス許可は、サービスを開始するために必要です。

この問題を解決するには、次の手順に従います。

  1. 管理者アカウントを使用してサーバーにサインインします。

  2. [スタート]>[実行]>[Services.msc] の順に選択して [サービス] を開きます。

  3. サービスで、Microsoft Entra Provisioning Agentをダブルクリックします。

  4. [ログオン] タブで、[このアカウント] をドメイン管理者に変更してください。次に、サービスを再起動します。

    [ログオン] タブから使用できるオプションを示すスクリーンショット。

エージェントがタイムアウトするか、証明書が無効です

エージェントを登録しようとすると、次のエラー メッセージが表示されることがあります。

タイムアウト エラー メッセージを示すスクリーンショット。

この問題は通常、エージェントがハイブリッド ID サービスに接続できないことが原因で発生します。 この問題を解決するには、送信プロキシを構成します。

プロビジョニング エージェントは、送信プロキシの使用をサポートしています。 これを構成するには、次のエージェント .config ファイルを編集します。C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config

次の行をファイルの末尾に追加し、終了 </configuration> タグの直前に追加します。 [proxy-server] 変数と [proxy-port] 変数をプロキシ サーバー名とポート値に置き換えます。

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

エージェントの登録がセキュリティ エラーで失敗する

クラウド プロビジョニング エージェントをインストールすると、エラー メッセージが表示されることがあります。 この問題は、通常、ローカルの PowerShell 実行ポリシーが原因で、エージェントが PowerShell 登録スクリプトを実行できないことが原因で発生します。

この問題を解決するには、サーバー上の PowerShell 実行ポリシーを変更します。 コンピューターポリシーとユーザーポリシーを Undefined または RemoteSignedとして設定する必要があります。 Unrestrictedとして設定されている場合は、このエラーが表示されます。 詳細については、「PowerShell 実行ポリシーの」を参照してください。

ログ ファイル

既定では、エージェントは最小限のエラー メッセージとスタック トレース情報を出力します。 これらのトレース ログは、C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace フォルダーにあります。

エージェント関連の問題のトラブルシューティングの詳細を収集するには、次の手順に従います。

  1. AADCloudSyncTools PowerShell モジュールをインストールします。
  2. Export-AADCloudSyncToolsLogs PowerShell コマンドレットを使用して情報をキャプチャします。 次のオプションを使用して、データ収集を微調整できます。
    • 詳細ログをキャプチャせずに現在のログのみをエクスポートするように SkipVerboseTrace します (既定値は false)。
    • 別のキャプチャ期間 (既定値は 3 分) を指定 TracingDurationMins
    • 別の出力パスを指定する OutputPath します (既定値はユーザーのドキュメント フォルダー)。

オブジェクト同期の問題

ポータルでは、プロビジョニング ログを使用して、オブジェクト同期の問題の追跡とトラブルシューティングを行うことができます。 ログを表示するには、[ログ]を選択します。

ログ ボタンを示すスクリーンショット。

プロビジョニング ログは、オンプレミスの Active Directory 環境と Azure の間で同期されているオブジェクトの状態に関する豊富な情報を提供します。

プロビジョニング ログに関する情報を示すスクリーンショット。

ビューをフィルター処理して、日付などの特定の問題に焦点を当てることができます。 Active Directory ObjectGuidを使用して、Active Directory オブジェクトに関連するアクティビティのログを検索することもできます。 個々のイベントをダブルクリックすると、追加情報が表示されます。

プロビジョニング ログのドロップダウン リスト情報を示すスクリーンショット。

この情報では、詳細な手順と、同期の問題が発生している場所について説明します。 この方法では、問題の正確な場所を特定できます。

スキップされたオブジェクト

Active Directory からユーザーとグループを同期している場合は、Microsoft Entra ID で 1 つ以上のグループを見つけることができない可能性があります。 これは、同期がまだ完了していないか、Active Directory でのオブジェクトの作成にまだ追いついていないか、Microsoft Entra ID で作成されているオブジェクトをブロックしている同期エラー、またはオブジェクトを除外する同期規則のスコープルールが適用されていることが原因である可能性があります。

同期を再開し、プロビジョニング サイクルが完了したら、プロビジョニング ログで、そのオブジェクトの Active Directory ObjectGuidを使用するオブジェクトに関連するアクティビティを検索します。 ソース ID のみを含み、状態が Skipped の ID を持つイベントがログに存在する場合は、エージェントがスコープ外であるために Active Directory オブジェクトをフィルター処理したことを示すことができます。

既定では、スコープ規則により、次のオブジェクトが Microsoft Entra ID に同期されなくなります。

  • IsCriticalSystemObject が TRUE に設定されているユーザー、グループ、連絡先 (Active Directory の組み込みユーザーとグループの多くを含む)
  • レプリケーション対象オブジェクト

同期スキーマには、追加の制限があります。

Microsoft Entra オブジェクトの削除のしきい値

Microsoft Entra Connect と Microsoft Entra Cloud Sync を使用した実装トポロジがあり、両方とも同じ Microsoft Entra テナントにエクスポートしている場合、または Microsoft Entra Connect を使用して Microsoft Entra Cloud Sync に完全に移行した場合は、定義されたスコープから複数のオブジェクトを削除または移動するときに、次のエクスポート エラー メッセージが表示されることがあります。

エクスポート エラーを示すスクリーンショット。

このエラーは、Microsoft Entra Connect クラウド同期の誤削除防止機能 とは関係ありません。これは、Microsoft Entra Connect から Microsoft Entra ディレクトリに設定 誤削除防止機能によってトリガーされます。 機能を切り替えることができる Microsoft Entra Connect サーバーがインストールされていない場合は、Microsoft Entra Connect クラウド同期エージェントと共にインストールされた "AADCloudSyncTools" PowerShell モジュールを使用して、テナントの設定を無効にし、ブロックされた削除が想定されていて許可される必要があることを確認した後にエクスポートできるようにします。 次のコマンドを使用します。

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

次のプロビジョニング サイクル中に、削除対象としてマークされたオブジェクトを Microsoft Entra ディレクトリから正常に削除する必要があります。

プロビジョニングの検疫に関する問題

クラウド同期は、構成の正常性を監視し、異常なオブジェクトを検疫状態に配置します。 ターゲット システムに対して行われたほとんどの呼び出し (たとえば、無効な管理者資格情報) が原因で一貫して失敗した場合、同期ジョブは検疫中としてマークされます。

検疫の状態を示すスクリーンショット。

状態を選択すると、検疫に関する追加情報を確認できます。 エラー コードとメッセージを取得することもできます。

検疫に関する追加情報を示すスクリーンショット。

状態を右クリックすると、次の追加オプションが表示されます。

  • プロビジョニング ログを表示します。
  • エージェントを表示します。
  • 検疫をクリアします。

右クリック メニュー オプションを示すスクリーンショット。

検疫を解決する

検疫を解決するには、2 つの方法があります。 検疫をクリアすることも、プロビジョニング ジョブを再起動することもできます。

検疫をクリアする

透かしをクリアし、確認後にプロビジョニング ジョブで差分同期を実行するには、状態を右クリックし、[検疫のクリア] を選択します。

検疫がクリアされていることを示す通知が表示されます。

検疫がクリアされていることを示すスクリーンショット。

その後、エージェントの状態が正常であることを確認できるはずです。

エージェントの状態が正常であることを示すスクリーンショット。

プロビジョニング ジョブを再起動する

ポータルを使用してプロビジョニング ジョブを再起動します。 [エージェントの構成] ページで、[再起動 同期] を選択します。

エージェント構成ページのオプションを示すスクリーンショット。

または、Microsoft Graph を使用して、プロビジョニング ジョブ 再起動することもできます。 再起動する内容を完全に制御できます。 次の内容をクリアできます。

  • エスクロー。検疫状態を発生させるエスクロー カウンターを再起動します。
  • 検疫。アプリケーションを検疫から削除します。
  • ウォーターマーク。

次の要求を使用します。

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

クラウド同期サービス アカウントを修復する

クラウド同期サービス アカウントを修復する必要がある場合は、Repair-AADCloudSyncToolsAccount コマンドを使用できます。

  1. AADCloudSyncTools PowerShell モジュールをインストールします。

  2. 管理者特権を持つ PowerShell セッションから、次のように入力するか、コピーして貼り付けます。

    Connect-AADCloudSyncTools

  3. Microsoft Entra グローバル管理者の資格情報を入力します。

  4. 次のように入力するか、コピーして貼り付けます。

    Repair-AADCloudSyncToolsAccount

  5. これが完了すると、アカウントが正常に修復されたと表示されます。

パスワード書き戻し

クラウド同期でパスワード ライトバックを有効にして使用するには、次の点に注意してください。

  • gMSA のアクセス許可を更新する必要がある場合は、これらのアクセス許可がディレクトリ内のすべてのオブジェクトにレプリケートされるまでに 1 時間以上かかることがあります。 これらのアクセス許可を割り当てない場合、ライトバックは正しく構成されているように見えますが、ユーザーがクラウドからオンプレミスのパスワードを更新するときにエラーが発生する可能性があります。 権限は、このオブジェクトおよび すべての子孫オブジェクトに適用される必要があります。そうすることで、Unexpire パスワード を表示できます。
  • 一部のユーザー アカウントのパスワードがオンプレミス ディレクトリに書き戻されない場合は、オンプレミスの Active Directory Domain Services (AD DS) 環境のアカウントに対して継承が無効になっていないことを確認してください。 機能が正しく機能するためには、子孫オブジェクトにパスワードの書き込みアクセス許可を適用する必要があります。
  • オンプレミスの AD DS 環境のパスワード ポリシーにより、パスワード リセットが正しく処理されない場合があります。 この機能をテストしていて、ユーザーのパスワードを 1 日に複数回リセットする場合は、パスワードの最小有効期間のグループ ポリシーを 0 に設定する必要があります。 この設定は、gpmc.msc 内の コンピューター構成>ポリシー>Windows 設定>セキュリティ設定>アカウント ポリシーにあります。
    • グループ ポリシーを更新する場合は、更新されたポリシーがレプリケートされるまで待機するか、gpupdate /force コマンドを使用します。
    • パスワードをすぐに変更するには、パスワードの最小有効期間を 0 に設定する必要があります。 ただし、ユーザーがオンプレミス のポリシーに従い、パスワードの最小有効期間が 0 より大きい値に設定されている場合、オンプレミス ポリシーの評価後にパスワード ライトバックは機能しません。

次の手順