Delen via


Problemen met een object oplossen dat niet wordt gesynchroniseerd met Microsoft Entra-id

Als een object niet wordt gesynchroniseerd zoals verwacht met de Microsoft Entra-id, kan dit om verschillende redenen zijn. Als u een foutbericht van Microsoft Entra ID hebt ontvangen of als u de fout in Microsoft Entra Connect Health ziet, lees dan in plaats daarvan Problemen oplossen bij synchronisatie. Maar als u een probleem wilt oplossen waarbij het object zich niet in Microsoft Entra-id bevindt, is dit artikel voor u. Hierin wordt beschreven hoe u fouten kunt vinden in het on-premises onderdeel Microsoft Entra Connect-synchronisatie.

Belangrijk

Voor implementatie van Microsoft Entra Connect met versie 1.1.749.0 of hoger gebruikt u de probleemoplossingstaak in de wizard om problemen met objectsynchronisatie op te lossen.

Synchronisatieproces

Voordat we synchronisatieproblemen onderzoeken, begrijpen we het synchronisatieproces van Microsoft Entra Connect:

diagram van het Microsoft Entra Connect-synchronisatieproces

Terminologie

  • CS: connectorruimte, een tabel in een database
  • MV: Metaverse, een tabel in een database

synchronisatiestappen

Het synchronisatieproces omvat de volgende stappen:

  1. Importeren uit AD: Active Directory-objecten worden overgebracht naar active Directory CS.

  2. Importeren uit Microsoft Entra-id: Microsoft Entra-objecten worden overgebracht naar Microsoft Entra CS.

  3. Synchronisatie: regels voor binnenkomende synchronisatie en uitgaande synchronisatieregels worden uitgevoerd in volgorde van prioriteit, van lager naar hoger. Als u de synchronisatieregels wilt weergeven, gaat u vanuit de bureaubladtoepassingen naar de editor voor synchronisatieregels. De regels voor binnenkomende synchronisatie brengen gegevens van CS naar MV. De regels voor uitgaande synchronisatie verplaatsen gegevens van MV naar CS.

  4. Exporteren naar AD: Na synchronisatie worden objecten geëxporteerd van Active Directory CS naar Active Directory.

  5. Exporteren naar Microsoft Entra-id: Na synchronisatie worden objecten geëxporteerd van Microsoft Entra CS naar Microsoft Entra-id.

Problemen oplossen

Als u de fouten wilt vinden, bekijkt u een aantal verschillende plaatsen, in de volgende volgorde:

  1. De -bewerkingslogboeken om fouten te vinden die tijdens het importeren en synchroniseren door de synchronisatie-engine zijn geïdentificeerd.
  2. Onderzoek de connectorruimte voor het vinden van ontbrekende objecten en synchronisatiefouten.
  3. De metaverse om problemen met betrekking tot gegevens op te sporen.

Start Synchronization Service Manager voordat u met deze stappen begint.

Bedrijfsactiviteiten

Op het tabblad Operations in Synchronization Service Manager moet u beginnen met het oplossen van problemen. Op dit tabblad worden de resultaten van de meest recente bewerkingen weergegeven.

Schermopname van Synchronization Service Manager, met het tabblad Operations geselecteerd

In de bovenste helft van het tabblad Bewerkingen worden alle uitvoeringen in chronologische volgorde weergegeven. Standaard bewaart het bewerkingslogboek informatie over de afgelopen zeven dagen, maar deze instelling kan worden gewijzigd met de scheduler. Zoek naar een run die geen geslaagde status heeft. U kunt de sortering wijzigen door de kopteksten te selecteren.

De kolom Status bevat de belangrijkste informatie en toont het ernstigste probleem voor een run. Hier volgt een kort overzicht van de meest voorkomende statussen in volgorde van onderzoeksprioriteit (waarbij * verschillende mogelijke foutreeksen aangeeft).

Status Commentaar
Gestopt-* De run kon niet worden afgerond. Dit kan bijvoorbeeld gebeuren als het externe systeem niet beschikbaar is en geen contact kan worden opgenomen.
gestopt vanwege foutlimiet Er zijn meer dan 5000 fouten. De uitvoering is automatisch gestopt vanwege het grote aantal fouten.
voltooide-*-fouten De uitvoering is voltooid, maar er zijn fouten (minder dan 5.000) die moeten worden onderzocht.
voltooid-*-waarschuwingen De run is voltooid, maar sommige gegevens hebben niet de verwachte status. Als er fouten zijn, is dit bericht slechts een symptoom. Onderzoek geen waarschuwingen totdat u fouten hebt opgelost.
succes Geen problemen.

Wanneer u een rij selecteert, wordt de onderkant van het tabblad Bewerkingen bijgewerkt om de details van dat proces weer te geven. Aan de uiterst linkerkant van dit gebied kan er een lijst zijn met de titel Step #. Deze lijst wordt alleen weergegeven als er meerdere domeinen in uw forest zijn en elk domein wordt vertegenwoordigd door een stap. De domeinnaam vindt u onder de kop Partition. Onder de kop Synchronisatiestatistieken vindt u meer informatie over het aantal wijzigingen dat is verwerkt. Selecteer de koppelingen om een lijst met de gewijzigde objecten op te halen. Als er objecten met fouten zijn, worden deze fouten weergegeven onder de Synchronisatiefouten kop.

Fouten op het tabblad Bewerkingen

Wanneer er fouten zijn, toont Synchronization Service Manager zowel het object als de fout zelf als koppelingen die meer informatie bieden.

Schermafbeelding van fouten in Synchronization Service Manager
Selecteer eerst de fouttekenreeks. (In de voorgaande afbeelding is de fouttekenreeks sync-rule-error-function-triggeredte zien.) U krijgt eerst een overzicht van het object. Als u de werkelijke fout wilt zien, selecteert u Stack Trace. Deze trace biedt gedetailleerde debuginformatie over de fout.

Selecteer met de rechtermuisknop het Oproepstackinformatie, selecteer Alles selecterenen selecteer vervolgens Kopiëren. Kopieer vervolgens de stack en bekijk de fout in uw favoriete editor, zoals Kladblok.

Als de fout afkomstig is van SyncRulesEngine, worden in de aanroepstackgegevens eerst alle kenmerken van het object vermeld. Schuif omlaag totdat u de kop InnerException =>ziet.

Schermopname van Synchronization Service Manager, met foutinformatie onder de kop InnerException =>

De regel na de koptekst toont de fout. In de voorgaande afbeelding is de fout afkomstig van een aangepaste synchronisatieregel die Fabrikam heeft gemaakt.

Als de fout onvoldoende informatie geeft, is het tijd om de gegevens zelf te bekijken. Kies de koppeling met de object-id en ga verder met het oplossen van problemen met het in de -connectorruimte geïmporteerde object.

Eigenschappen van verbindingsruimteobject

Als op het tabblad Bewerkingen geen fouten worden weergegeven, volgt u het connectorruimteobject van Active Directory naar de metaverse en vervolgens naar de Microsoft Entra ID. In dit pad moet u vinden waar het probleem zich bevindt.

Zoeken naar een object in cs

Selecteer in Synchronization Service Manager Connectors, selecteer de Active Directory-connector en selecteer zoekconnectorruimte.

In het vak Bereik, selecteer RDN wanneer u wilt zoeken op het kenmerk CN, of selecteer DN of anker wanneer u wilt zoeken op het kenmerk distinguishedName. Voer een waarde in en selecteer zoeken.

Schermopname van een zoekopdracht in een connectorruimte

Als u het object dat u zoekt niet vindt, is het mogelijk gefilterd door domeingebaseerde filtering of op organisatie-eenheid gebaseerde filtering. Lees Microsoft Entra Connect Sync: Filterconfigureren om te controleren of het filter is geconfigureerd zoals verwacht.

U kunt nog een nuttige zoekopdracht uitvoeren door Microsoft Entra Connector te selecteren. Schakel in het vak Bereikimporteren in behandeling in en schakel vervolgens het selectievakje toevoegen in. Met deze zoekopdracht krijgt u alle gesynchroniseerde objecten in Microsoft Entra-id die niet kunnen worden gekoppeld aan een on-premises object.

Schermopname van wezen in een connectorruimte zoekopdracht

Deze objecten zijn gemaakt door een andere synchronisatie-engine of een synchronisatie-engine met een andere filterconfiguratie. Deze verweesde objecten worden niet meer beheerd. Bekijk deze lijst en overweeg deze objecten te verwijderen met behulp van de Microsoft Graph PowerShell cmdlets.

CS importeren

Wanneer u een CS-object opent, bevinden zich bovenaan verschillende tabbladen. Op het tabblad Import worden de gegevens weergegeven die na een import zijn klaargezet.

Schermopname van het venster Eigenschappen van connectorruimteobject, met het tabblad Importeren geselecteerd

In de kolom Oude waarde ziet u wat er momenteel is opgeslagen in Connect. In de kolom Nieuwe waarde ziet u wat er van het bronsysteem is ontvangen en nog niet is toegepast. Als er een fout optreedt in het object, worden wijzigingen niet verwerkt.

Het tabblad Synchronisatiefout is alleen zichtbaar in het venster Eigenschappen van verbindingslijnruimteobject als er een probleem is met het object. Raadpleeg voor meer informatie hoe u synchronisatiefouten kunt oplossen op het tabblad Bewerkingen tabblad.

Schermopname van het tabblad Synchronisatiefout in het venster Eigenschappen van connectorruimteobject

CS-herkomst

Het tabblad Herkomst in het venster Eigenschappen van verbindingslijnruimteobject laat zien hoe het verbindingslijnruimteobject is gerelateerd aan het metaverse-object. U kunt zien wanneer de connector voor het laatst een wijziging heeft geïmporteerd van het verbonden systeem en welke regels zijn toegepast om gegevens in de metaverse in te vullen.

Schermopname van het tabblad Herkomst in het venster Eigenschappen van connectorruimteobject

In de vorige afbeelding toont de kolom Actie een regel voor binnenkomende synchronisatie met de actie Inrichten. Dit geeft aan dat zolang dit verbindingslijnruimteobject aanwezig is, het metaverse-object blijft bestaan. Als in de lijst met synchronisatieregels een uitgaande synchronisatieregel wordt weergegeven met een actie Inrichten, wordt dit object verwijderd wanneer het metaverse-object wordt verwijderd.

Schermopname van een herkomstvenster op het tabblad Herkomst in het venster Eigenschappen van verbindingslijnruimteobject

In de voorgaande afbeelding kunt u ook zien in de kolom PasswordSync dat de ruimte voor binnenkomende connectors kan bijdragen aan wijzigingen van het wachtwoord, aangezien één synchronisatieregel de waarde Trueheeft. Dit wachtwoord wordt via de uitgaande regel naar Microsoft Entra-id verzonden.

Ga op het tabblad Herkomst naar de metaverse door Metaverse-objecteigenschappente selecteren.

Voorbeeld

In de linkerbenedenhoek van het venster Eigenschappen van connectorruimteobject bevindt zich de knop Voorbeeld. Selecteer deze knop om de preview-pagina te openen, waar u één object kunt synchroniseren. Deze pagina is handig als u problemen met aangepaste synchronisatieregels wilt oplossen en het effect van een wijziging op één object wilt zien. U kunt een volledige synchronisatie of een Delta-synchronisatieselecteren. U kunt ook Preview-genereren selecteren, waardoor alleen de wijziging in het geheugen wordt behouden. Of selecteer doorvoervoorbeeld, waarmee de metaverse wordt bijgewerkt en alle wijzigingen in de doelconnectorruimten worden gefaseerd.

Schermopname van de pagina Voorvertoning, met Voorvertoning starten geselecteerd

In het voorbeeld kunt u het object controleren en zien welke regel is toegepast op een bepaalde kenmerkstroom.

Schermafbeelding van de voorbeeldpagina, die de importstroom voor attributen toont

Logboek

Selecteer naast de knop Voorbeeld de knop Log om de pagina Log te openen. Hier ziet u de status en geschiedenis van de wachtwoordsynchronisatie. Zie Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Connect Syncvoor meer informatie.

Eigenschappen van metaverse-objecten

Het is beter om te zoeken vanuit de bronruimte van de Active Directory-connector. Maar u kunt ook beginnen met zoeken vanuit de metaverse.

Zoeken naar een object in de MV

Selecteer in Synchronization Service Manager Metaverse Search, zoals in de volgende afbeelding. Maak een query waarvan u zeker weet dat deze de gebruiker vindt. Zoek naar algemene kenmerken, zoals accountName (sAMAccountName) en userPrincipalName. Voor meer informatie, zie Sync Service Manager Metaverse zoekopdracht.

schermopname van Synchronization Service Manager, met het tabblad Metaverse Search geselecteerd

Selecteer het object in het venster Zoekresultaten.

Als u het object niet hebt gevonden, heeft het de metaverse niet bereikt. Ga door met zoeken naar het object in de connectorruimte van Active Directory. Als u het object in de Active Directory-connectorruimte vindt, kan er een synchronisatiefout optreden waardoor het object niet naar de metaverse wordt verzonden. Of een bereikfilter voor synchronisatieregels kan worden toegepast.

Object niet gevonden in de MV

Als het object zich in de Active Directory CS bevindt, maar niet aanwezig is in de MV, wordt een bereikfilter toegepast. Als u het bereikfilter wilt bekijken, gaat u naar het menu van de bureaubladtoepassing en selecteert u Editor voor synchronisatieregels. Filter de regels die van toepassing zijn op het object door het onderstaande filter aan te passen.

Schermopname van de editor voor synchronisatieregels, met een zoekfunctie voor binnenkomende synchronisatieregels

Bekijk elke regel in de bovenstaande lijst en controleer het bereikfilter. Als in de volgende scoping filter de waarde van isCriticalSystemObject null, FALSE of leeg is, valt het binnen het bereik.

Schermopname van een bereikfilter in een zoekactie voor binnenkomende synchronisatieregels

Ga naar de CS Import kenmerklijst en controleer welk filter het object tegenhoudt om naar de MV te verplaatsen. In de koppelruimte bevat de kenmerklijst alleen attributen die niet nul zijn en niet leeg. Als bijvoorbeeld IsCriticalSystemObject niet wordt weergegeven in de lijst, is de waarde van dit kenmerk null of leeg.

Object niet gevonden in Microsoft Entra CS

Als het object niet aanwezig is in de connectorruimte van Microsoft Entra ID, maar aanwezig is in de MV, bekijkt u het bereikfilter van de uitgaande regels van de bijbehorende connectorruimte. Bepaal of het object is gefilterd omdat de MV-kenmerken niet voldoen aan de criteria.

Als u het uitgaande bereikfilter wilt bekijken, selecteert u de toepasselijke regels voor het object door het volgende filter aan te passen. Bekijk elke regel en bekijk de bijbehorende MV-kenmerk waarde.

Schermopname van een zoekopdracht naar uitgaande synchronisatieregels in de Synchronisatieregels-editor

MV-kenmerken

Op het tabblad Kenmerken kunt u de waarden zien en welke connectors eraan hebben bijgedragen.

Schermopname van het venster Metaverse-objecteigenschappen, met het tabblad Kenmerken geselecteerd

Als een object niet wordt gesynchroniseerd, stelt u de volgende vragen over kenmerkstatussen in de metaverse:

  • Is het kenmerk cloudFiltered aanwezig en ingesteld op True? Zo ja, dan wordt deze gefilterd volgens de stappen in kenmerkgebaseerd filteren.
  • Is het kenmerk sourceAnchor aanwezig? Zo niet, hebt u een foresttopologie voor accountresources? Als een object wordt geïdentificeerd als een gekoppeld postvak (het kenmerk msExchRecipientTypeDetails de waarde heeft 2), wordt de sourceAnchor bijgedragen door het forest waarvoor een Active Directory-account is ingeschakeld. Zorg ervoor dat het hoofdaccount correct is geïmporteerd en gesynchroniseerd. Het hoofdaccount moet worden vermeld onder de aansluitingen voor het object.

MV connectors

Op het tabblad Connectoren worden alle connectorruimtes weergegeven die een weergave van het object hebben.

Schermopname van het venster Metaverse-objecteigenschappen, met het tabblad Connectors geselecteerd

U moet een connector hebben voor het volgende:

  • Elke Active Directory-forest waarin de gebruiker voorkomt. Deze weergave kan foreignSecurityPrincipals en Contact objecten bevatten.
  • Een connector in Microsoft Entra ID.

Als u de connector voor Microsoft Entra ID mist, raadpleegt u de sectie over MV-kenmerken om de criteria voor provisioning naar Microsoft Entra ID te controleren.

Vanuit het tabblad Connectors kunt u ook naar het verbindingsruimteobject gaan. Selecteer een rij en selecteer Eigenschappen.

Volgende stappen