Udostępnij za pośrednictwem

Rozwiązywanie problemów z obiektem, który nie jest synchronizowany z identyfikatorem Entra firmy Microsoft

  • Artykuł

Jeśli obiekt nie jest synchronizowany zgodnie z oczekiwaniami z identyfikatorem Entra firmy Microsoft, może to być spowodowane kilkoma przyczynami. Jeśli otrzymasz wiadomość e-mail o błędzie z identyfikatora entra firmy Microsoft lub zostanie wyświetlony błąd w programie Microsoft Entra Connect Health, przeczytaj Rozwiązywanie problemów podczas synchronizacji zamiast tego. Jeśli jednak rozwiązujesz problem polegający na tym, że obiekt nie znajduje się w identyfikatorze Entra firmy Microsoft, ten artykuł jest przeznaczony dla Ciebie. Opisano, jak znaleźć błędy w komponencie lokalnym synchronizacji Microsoft Entra Connect.

Ważny

W przypadku wdrożenia programu Microsoft Entra Connect w wersji 1.1.749.0 lub nowszej użyj zadania rozwiązywania problemów w kreatorze, aby rozwiązać problemy z synchronizacją obiektów.

Proces synchronizacji

Zanim zbadamy problemy z synchronizacją, zapoznajmy się z procesem synchronizacji programu Microsoft Entra Connect:

Diagram procesu synchronizacji programu Microsoft Entra Connect

Terminologia

  • CS: obszar łącznika, tabela w bazie danych
  • MV: Metaverse— tabela w bazie danych

kroki synchronizacji

Proces synchronizacji obejmuje następujące kroki:

  1. Import z usługi AD: obiekty usługi Active Directory są przenoszone do Active Directory CS.

  2. Import z Microsoft Entra ID: Obiekty Microsoft Entra są wprowadzane do Microsoft Entra CS.

  3. Synchronizacja: reguły synchronizacji przychodzącej i reguły synchronizacji wychodzącej są uruchamiane w kolejności wg numeru przydzielonego pierwszeństwa, od niższego do wyższego. Aby wyświetlić reguły synchronizacji, przejdź do Edytora reguł synchronizacji z aplikacji desktopowych. Reguły synchronizacji przychodzącej przesyłają dane z CS do MV. Reguły synchronizacji ruchu wychodzącego przenoszą dane z mv do CS.

  4. Eksportuj do usługi AD: Po zsynchronizowaniu obiekty są eksportowane z usługi Active Directory CS do usługi Active Directory.

  5. Eksport do Microsoft Entra ID: Po zsynchronizowaniu obiekty są eksportowane z Microsoft Entra CS do Microsoft Entra ID.

Rozwiązywanie problemów

Aby znaleźć błędy, zapoznaj się z kilkoma różnymi miejscami w następującej kolejności:

  1. Dzienniki operacji rejestrują, aby zidentyfikować błędy zidentyfikowane przez mechanizm synchronizacji podczas importowania i synchronizacji.
  2. Aby odnaleźć brakujące obiekty i błędy synchronizacji, użyj obszaru łącznika .
  3. Metaverse znajdować problemy związane z danymi.

Przed rozpoczęciem tych kroków uruchom program Synchronization Service Manager.

Operacji

Karta Operations w programie Synchronization Service Manager to miejsce, w którym należy rozpocząć rozwiązywanie problemów. Na tej karcie są wyświetlane wyniki z najnowszych operacji.

zrzut ekranu programu Synchronization Service Manager z wybraną kartą Operacje

Górna połowa zakładki Operations pokazuje wszystkie uruchomienia w kolejności chronologicznej. Domyślnie dziennik operacji przechowuje informacje o ostatnich siedmiu dniach, ale to ustawienie można zmienić przy użyciu scheduler. Poszukaj dowolnego przebiegu, który nie pokazuje stanu powodzenia . Sortowanie można zmienić, wybierając nagłówki.

Kolumna Status zawiera najważniejsze informacje i pokazuje najpoważniejszy problem dla przebiegu. Oto krótkie podsumowanie najbardziej typowych stanów według priorytetu badania (gdzie * wskazuje kilka możliwych ciągów błędów).

Stan Komentarz
Zatrzymany-* Nie można ukończyć przebiegu. Może się to zdarzyć, na przykład jeśli system zdalny nie działa i nie można się z tym skontaktować.
zatrzymano-limit-błędu Istnieje ponad 5000 błędów. Przebieg został automatycznie zatrzymany z powodu dużej liczby błędów.
ukończono-*-błędy Przebieg zakończył się, ale występują błędy (mniej niż 5000), które należy zbadać.
ukończono-*-ostrzeżenia Przebieg zakończył się, ale niektóre dane nie są w oczekiwanym stanie. Jeśli występują błędy, ten komunikat jest tylko objawem. Nie badaj ostrzeżeń, dopóki nie zostały rozwiązane błędy.
sukces Brak problemów.

Po wybraniu wiersza dolna część karty Operations zostaje zaktualizowana, aby pokazać szczegóły dotyczące tego przebiegu. Po skrajnie lewej stronie tego obszaru może znajdować się lista zatytułowana Step #. Ta lista jest wyświetlana tylko wtedy, gdy w lesie znajduje się wiele domen, a każda domena jest reprezentowana przez krok. Nazwę domeny można znaleźć pod nagłówkiem Partition. Pod nagłówkiem Synchronization Statistics (Statystyki synchronizacji) znajdziesz więcej informacji na temat liczby przetworzonych zmian. Wybierz linki, aby uzyskać listę zmienionych obiektów. Jeśli występują obiekty z błędami, te błędy są wyświetlane pod nagłówkiem Błędy Synchronizacji.

Błędy na karcie Operacje

W przypadku wystąpienia błędów program Synchronization Service Manager wyświetla zarówno obiekt w błędzie, jak i sam błąd jako linki, które zawierają więcej informacji.

zrzut ekranu przedstawiający błędy w programie Synchronization Service Manager
Zacznij od wybrania ciągu błędu. (Na powyższym rysunku ciąg błędu to sync-rule-error-function-triggered). Najpierw zostanie przedstawiony przegląd obiektu. Aby wyświetlić rzeczywisty błąd, wybierz opcję Ślad stosu. Ten zapis zawiera informacje poziomu debugowania dotyczące błędu.

Kliknij prawym przyciskiem myszy na pole Informacje o stosie wywołań, wybierz Zaznacz wszystko, a następnie wybierz Kopiuj. Następnie skopiuj stos i przeanalizuj błąd w swoim ulubionym edytorze, takim jak Notatnik.

Jeśli błąd pochodzi z SyncRulesEngine, informacja o stosie wywołań najpierw wymienia wszystkie atrybuty obiektu. Przewiń w dół do momentu wyświetlenia nagłówka InnerException =>.

zrzut ekranu programu Synchronization Service Manager przedstawiający informacje o błędzie pod nagłówkiem InnerException =>

Wiersz następujący po nagłówku pokazuje błąd. Na powyższym rysunku błąd pochodzi z niestandardowej reguły synchronizacji utworzonej przez firmę Fabrikam.

Jeśli błąd nie daje wystarczającej ilości informacji, nadszedł czas, aby przyjrzeć się samym danym. Wybierz link z identyfikatorem obiektu i kontynuuj rozwiązywanie problemów z przestrzenią łącznika i zaimportowanym obiektem.

Właściwości obiektu przestrzeni połączeń

Jeśli karta Operations nie zawiera błędów, postępuj zgodnie z obiektem przestrzeni łącznika od usługi Active Directory do metaverse, a następnie do Microsoft Entra ID. W tej ścieżce należy znaleźć miejsce, w którym występuje problem.

Wyszukiwanie obiektu w cs

W programie Synchronization Service Manager wybierz pozycję Connectors, wybierz łącznik usługi Active Directory, a następnie wybierz pozycję Search Connector Space.

W polu zakresu wybierz RDN, jeśli chcesz wyszukać atrybut CN, lub wybierz DN lub anchor, gdy chcesz wyszukać atrybut distinguishedName. Wprowadź wartość i wybierz Wyszukaj.

Zrzut ekranu przedstawiający wyszukiwanie obszaru łącznika

Jeśli nie znajdziesz szukanego obiektu, mógł on zostać odfiltrowany przy użyciu filtrowania opartego na domenie lub filtrowania opartego na jednostki organizacyjnej. Aby sprawdzić, czy filtrowanie jest skonfigurowane zgodnie z oczekiwaniami, przeczytaj Microsoft Entra Connect Sync: Konfigurowanie filtrowania.

Możesz wykonać inne przydatne wyszukiwanie, wybierając łącznik Microsoft Entra Connector. W polu zakresu wybierz pozycję Oczekujące na import, a następnie zaznacz pole wyboru Dodaj. To wyszukiwanie udostępnia wszystkie zsynchronizowane obiekty w identyfikatorze Entra firmy Microsoft, których nie można skojarzyć z obiektem lokalnym.

zrzut ekranu przedstawiający osieroty w wyszukiwaniu obszaru łącznika

Te obiekty zostały utworzone przez inny aparat synchronizacji lub aparat synchronizacji z inną konfiguracją filtrowania. Te osierocone obiekty nie są już zarządzane. Przejrzyj tę listę i rozważ usunięcie tych obiektów przy użyciu poleceń cmdlet programu PowerShell programu Microsoft Graph.

Importowanie cs

Gdy otwierasz obiekt CS, u góry znajduje się kilka kart. Karta Import pokazuje dane, które są przygotowywane do użycia po zaimportowaniu.

Zrzut ekranu przedstawiający okno Właściwości obiektu przestrzeni połączeń z wybraną kartą Import

Kolumna starej wartości pokazuje, co jest obecnie przechowywane w Connect. Kolumna Nowa wartość pokazuje to, co jest otrzymywane z systemu źródłowego i nie zostało jeszcze zastosowane. Jeśli w obiekcie wystąpi błąd, zmiany nie są przetwarzane.

Karta Błąd synchronizacji jest widoczna w oknie właściwości obiektu przestrzeni łącznika tylko wtedy, gdy występuje problem z obiektem. Aby uzyskać więcej informacji, zapoznaj się z sposobami rozwiązywania problemów z błędami synchronizacji na karcieOperacje .

zrzut ekranu przedstawiający kartę Błąd synchronizacji w oknie Właściwości obiektu obszaru łącznika

Linia CS

Karta pochodzenia w oknie właściwości obiektu w przestrzeni łącznika pokazuje, jak obiekt przestrzeni łącznika jest powiązany z obiektem metaverse. Możesz zobaczyć, kiedy łącznik ostatnio zaimportował zmianę z połączonego systemu oraz które reguły zostały zastosowane do wypełniania danych w metaverse.

zrzut ekranu przedstawiający kartę Pochodzenie w oknie Właściwości obiektu obszaru łącznika

Na powyższym rysunku kolumna Akcja pokazuje regułę synchronizacji przychodzącej z akcją Provision. Oznacza to, że tak długo, jak ten obiekt przestrzeni łącznika jest obecny, obiekt metaverse pozostaje. Jeśli na liście reguł synchronizacji jest wyświetlana reguła synchronizacji wychodzącej z akcją Provisioning, obiekt ten zostanie usunięty po usunięciu obiektu metaverse.

Zrzut ekranu przedstawiający okno powiązań na karcie Pochodzenie w oknie Właściwości obiektu przestrzeni łącznika

Na powyższym rysunku można również zobaczyć w kolumnie PasswordSync, że przestrzeń połączeń przychodzących może przyczyniać się do zmian hasła, ponieważ jedna reguła synchronizacji ma wartość True. To hasło jest wysyłane do Microsoft Entra ID za pośrednictwem reguły wychodzącej.

Na karcie linii możesz przejść do metaverse'u, wybierając Właściwości obiektu Metaverse.

Prapremiera

W lewym dolnym rogu okna Właściwości obiektu obszaru łącznika znajduje się przycisk Podgląd . Wybierz ten przycisk, aby otworzyć stronę Preview, na której można zsynchronizować pojedynczy obiekt. Ta strona jest przydatna, jeśli rozwiązujesz problemy z niestandardowymi regułami synchronizacji i chcesz zobaczyć wpływ zmiany na pojedynczy obiekt. Możesz wybrać pełną synchronizację lub synchronizację różnicową. Możesz również wybrać Wygeneruj podgląd, która przechowuje tylko zmianę w pamięci. Możesz też wybrać opcję Commit Preview (Zatwierdź podgląd), która aktualizuje metaverse i przygotowuje wszystkie zmiany do przestrzeni docelowego łącznika.

Zrzut ekranu strony podglądu z zaznaczoną opcją Rozpocznij podgląd

W podglądzie można sprawdzić obiekt i sprawdzić, która reguła jest stosowana dla określonego przepływu atrybutów.

Zrzut ekranu strony podglądu pokazującej przepływ importu atrybutów

Rejestr

Obok przycisku Podgląd wybierz przycisk Dziennik, aby otworzyć stronę Dziennik. W tym miejscu można zobaczyć stan synchronizacji haseł i historię. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą programu Microsoft Entra Connect Sync.

Właściwości obiektu Metaverse

Lepiej zacząć wyszukiwanie od przestrzeni źródłowej łącznika usługi Active Directory. Jednak możesz również rozpocząć wyszukiwanie z metaverse.

Wyszukiwanie obiektu w MV

W programie Synchronization Service Manager wybierz pozycję Metaverse Search, jak pokazano na poniższej ilustracji. Utwórz zapytanie, o którym wiesz, że znajduje użytkownika. Wyszukaj typowe atrybuty, takie jak accountName (sAMAccountName) i userPrincipalName. Aby uzyskać więcej informacji, zobacz Sync Service Manager Metaverse search.

zrzut ekranu programu Synchronization Service Manager z wybraną kartą Metaverse Search (Wyszukiwanie metaverse)

W oknie wyników wyszukiwania wybierz obiekt.

Jeśli nie odnaleziono obiektu, nie dotarł do metawersu. Kontynuuj wyszukiwanie obiektu w obszarze przestrzeni łącznika Active Directory . Jeśli znajdziesz obiekt w przestrzeni łącznika Active Directory, może wystąpić błąd synchronizacji, który blokuje przekazanie obiektu do metaverse. Można też zastosować filtr określania zakresu reguły synchronizacji.

Nie można odnaleźć obiektu w MV

Jeśli obiekt znajduje się w Active Directory CS, ale nie istnieje w MV, zostanie zastosowany filtr zakresu. Aby zapoznać się z filtrem określania zakresu, przejdź do menu aplikacji komputerowej i wybierz Edytor reguł synchronizacji. Przefiltruj reguły dotyczące obiektu, dostosowując poniższy filtr.

zrzut ekranu edytora reguł synchronizacji przedstawiający wyszukiwanie reguł synchronizacji dla ruchu przychodzącego

Wyświetl każdą regułę z powyższej listy i sprawdź zakres filtru. W poniższym filtrze zakresu, jeśli wartość dla isCriticalSystemObject jest null, FAŁSZ lub pusta, znajduje się w zakresie.

Zrzut ekranu przedstawiający filtr zakresu w wyszukiwaniu reguł synchronizacji dla ruchu przychodzącego

Przejdź do listy atrybutów CS Import i sprawdź, który filtr blokuje przejście obiektu do MV. Lista atrybutów obszaru łącznika zawiera tylko atrybuty inne niż null i niepuste. Jeśli na przykład isCriticalSystemObject nie jest wyświetlana na liście, wartość tego atrybutu ma wartość null lub jest pusta.

Nie można odnaleźć obiektu w microsoft Entra CS

Jeśli obiekt nie znajduje się w przestrzeni łącznika Entra ID firmy Microsoft, ale znajduje się w MV, sprawdź filtr zakresu reguł wychodzących odpowiadającej przestrzeni łącznika. Ustal, czy obiekt jest filtrowany, ponieważ atrybuty MV nie spełniają kryteriów.

Aby zapoznać się z filtrem określania zakresu dla ruchu wychodzącego, wybierz odpowiednie reguły dla obiektu, dostosowując następujący filtr. Wyświetl każdą regułę i przyjrzyj się odpowiedniej wartości atrybutu MV.

Zrzut ekranu z wyszukiwania reguł synchronizacji wychodzącej w Edytorze Reguł Synchronizacji

Atrybuty MV

Na karcie Atrybuty można zobaczyć wartości i łączniki, które się do nich przyczyniły.

zrzut ekranu przedstawiający okno Właściwości obiektu Metaverse z wybraną kartą Atrybuty

Jeśli obiekt nie jest synchronizowany, zadaj następujące pytania dotyczące stanów atrybutów w metaverse:

  • Czy atrybut cloudFiltered jest obecny i ustawiony na wartość True? Jeśli tak, to jest filtrowane zgodnie z krokami filtrowania opartego na atrybutach w .
  • Czy atrybut sourceAnchor jest obecny? Jeśli nie, czy masz topologię lasu zasobów konta? Jeśli obiekt jest identyfikowany jako połączona skrzynka pocztowa (atrybut msExchRecipientTypeDetails ma wartość 2), sourceAnchor jest dostarczany przez las z włączonym kontem usługi Active Directory. Upewnij się, że konto główne zostało zaimportowane i zsynchronizowane poprawnie. Konto główne musi być wymienione pośród łączników oznaczonych jako i dla danego obiektu.

Łączniki MV

Karta Connectors zawiera wszystkie przestrzenie łączników, które mają reprezentację obiektu.

Zrzut ekranu przedstawiający okno Właściwości obiektu Metaverse z wybraną kartą Łączniki

Należy mieć łącznik do:

  • Każdy las usługi Active Directory, w którym użytkownik jest reprezentowany. Ta reprezentacja może obejmować obiekty foreignSecurityPrincipals i Contact.
  • Łącznik w usłudze Microsoft Entra ID.

Jeśli brakuje łącznika do identyfikatora Entra firmy Microsoft, zapoznaj się z sekcją dotyczącą atrybutów MV, aby sprawdzić kryteria aprowizacji identyfikatora Entra firmy Microsoft.

Na karcie Connectors można również przejść do obiektu obszaru łącznika . Wybierz wiersz i wybierz właściwości .

Następne kroki