Udostępnij za pośrednictwem

Diagnozowanie i naprawianie błędów synchronizacji zduplikowanego atrybutu

  • Artykuł

Omówienie

Poczynając krok dalej w celu podkreślenia błędów synchronizacji, Microsoft Entra Connect Health wprowadza samoobsługowe rozwiązywanie problemów. Rozwiązuje ona problemy z błędami synchronizacji zduplikowanych atrybutów i naprawia obiekty, które są odłączone od Microsoft Entra ID. Funkcja diagnostyki ma następujące korzyści:

  • Zawiera on procedurę diagnostyczną, która zawęża zduplikowane błędy synchronizacji atrybutów. I daje konkretne poprawki.
  • Stosuje poprawkę dla specyficznych scenariuszy w ramach Microsoft Entra ID w celu rozwiązania błędu w jednym kroku.
  • Do włączenia tej funkcji nie jest wymagana żadna aktualizacja ani konfiguracja. Aby uzyskać więcej informacji na temat identyfikatora Entra firmy Microsoft, zobacz Synchronizacja tożsamości i odporność zduplikowanych atrybutów.

Problemy

Typowy scenariusz

W przypadku wystąpienia błędów synchronizacji QuarantinedAttributeValueMustBeUnique i AttributeValueMustBeUnique często dochodzi do konfliktu nazwy użytkownika lub adresów proxy w Microsoft Entra ID. Błędy synchronizacji można rozwiązać, aktualizując obiekt źródłowy powodujący konflikt ze strony lokalnej. Błąd synchronizacji zostanie rozwiązany po następnej synchronizacji. Na przykład ten obraz wskazuje, że dwóch użytkowników ma konflikt z nazwą UserPrincipalName. Oba są Joe.J@contoso.com. Obiekty powodujące konflikt są poddane kwarantannie w identyfikatorze Entra firmy Microsoft.

Diagnozowanie typowego scenariusza błędu synchronizacji

Scenariusz osieroconego obiektu

Czasami może się okazać, że istniejący użytkownik utraci kotwicę źródłową. Usunięcie obiektu źródłowego wystąpiło w lokalnym Active Directory. Jednak zmiana sygnału usuwania nigdy nie została zsynchronizowana z identyfikatorem Entra firmy Microsoft. Ta utrata występuje z powodów, takich jak problemy z aparatem synchronizacji lub migracja domeny. Gdy ten sam obiekt zostanie przywrócony lub utworzony ponownie, logicznie rzecz biorąc, istniejący użytkownik powinien być użytkownikiem do synchronizacji z poziomu punktu zaczepienia źródła.

Gdy istniejący użytkownik jest obiektem tylko w chmurze, możesz również zobaczyć konfliktowego użytkownika zsynchronizowanego z Microsoft Entra ID. Nie można zsynchronizować użytkownika z istniejącym obiektem. Nie ma bezpośredniego sposobu, aby ponownie mapować kotwicę źródłową. Zobacz więcej o istniejącej bazie wiedzy.

Na przykład istniejący obiekt w identyfikatorze Entra firmy Microsoft zachowuje licencję Joe. Nowo zsynchronizowany obiekt z inną kotwicą źródłową występuje w stanie zduplikowanego atrybutu w Microsoft Entra ID. Zmiany Joe w lokalnej usłudze Active Directory nie zostaną zastosowane do oryginalnego użytkownika Joe (istniejącego obiektu) w usłudze Microsoft Entra ID.

Diagnozowanie scenariusza błędu synchronizacji z osieroconym obiektem

Kroki diagnostyki i rozwiązywania problemów w programie Connect Health

Funkcja diagnozowania obsługuje obiekty użytkownika z następującymi zduplikowanymi atrybutami:

Nazwa atrybutu Typy błędów synchronizacji
UserPrincipalName (Nazwa Użytkownika Głównego) QuarantinedAttributeValueMustBeUnique lub AttributeValueMustBeUnique
ProxyAddresses Identyfikatory QuarantinedAttributeValueMustBeUnique lub AttributeValueMustBeUnique
SipProxyAddress Wartość atrybutu musi być unikalna
Identyfikator Bezpieczeństwa OnPremise WartośćAtrybutuMusiByćUnikalna

Ważne

Aby uzyskać dostęp do tej funkcji, wymagane są co najmniej uprawnienia współautora z kontroli dostępu opartej na rolach platformy Azure.

Wykonaj kroki z centrum administracyjnego firmy Microsoft Entra, aby zawęzić szczegóły błędu synchronizacji i udostępnić bardziej szczegółowe rozwiązania:

Kroki diagnostyki błędów synchronizacji

W centrum administracyjnym firmy Microsoft Entra wykonaj kilka kroków, aby zidentyfikować konkretne scenariusze możliwe do naprawienia:

  1. Sprawdź kolumnę Stan diagnozy. Stan pokazuje, czy istnieje możliwy sposób naprawienia błędu synchronizacji bezpośrednio z identyfikatora Entra firmy Microsoft. Innymi słowy, istnieje przepływ rozwiązywania problemów, który może zawęzić przypadek błędu i potencjalnie go naprawić.
Stan Co to oznacza?
Nie rozpoczęto Nie odwiedziłeś tego procesu diagnostyki. W zależności od wyniku diagnostyki istnieje potencjalny sposób usunięcia błędu synchronizacji bezpośrednio z portalu.
Wymagana poprawka ręczna Błąd nie pasuje do kryteriów dostępnych poprawek z portalu. Typy obiektów powodujące konflikt nie są użytkownikami lub zostały już wykonane kroki diagnostyczne, a rozwiązanie problemu nie było dostępne w portalu. W tym ostatnim przypadku poprawka po stronie lokalnej nadal jest jednym z rozwiązań. Przeczytaj więcej na temat poprawek lokalnych.
Oczekiwanie na synchronizację Zastosowano poprawkę. Portal czeka na następny cykl synchronizacji, aby wyczyścić błąd.

Ważne

Kolumna stanu diagnostyki zostanie zresetowana po każdym cyklu synchronizacji.

  1. Wybierz przycisk Diagnozuj w obszarze szczegółów błędu. Odpowiesz na kilka pytań i zidentyfikujesz szczegóły błędu synchronizacji. Odpowiedzi na pytania pomagają zidentyfikować przypadek osieroconego obiektu.

  2. Jeśli na końcu diagnostyki pojawi się przycisk Zamknij, nie ma dostępnej szybkiej poprawki w portalu na podstawie odpowiedzi. Zapoznaj się z rozwiązaniem pokazanym w ostatnim kroku. Poprawki ze środowiska lokalnego są nadal rozwiązaniami. Wybierz przycisk Zamknij. Stan bieżącego błędu synchronizacji zmienia się na wymagana ręczna naprawa. Stan pozostaje w trakcie bieżącego cyklu synchronizacji.

  3. Po zidentyfikowaniu przypadku osieroconego obiektu można naprawić błędy synchronizacji atrybutów bezpośrednio z portalu. Aby wyzwolić proces, wybierz przycisk Zastosuj poprawkę. Stan bieżącego błędu synchronizacji zmienia się na Oczekująca synchronizacja.

  4. Po następnym cyklu synchronizacji błąd powinien zostać usunięty z listy.

Jak odpowiedzieć na pytania diagnostyczne

Czy użytkownik istnieje w usługa Active Directory w trybie lokalnym?

To pytanie próbuje zidentyfikować obiekt źródłowy istniejącego użytkownika z lokalnego Active Directory.

  1. Sprawdź, czy identyfikator Entra firmy Microsoft ma obiekt z podanym atrybutem UserPrincipalName. Jeśli nie, odpowiedz nie.
  2. Jeśli tak, sprawdź, czy obiekt jest nadal w zakresie synchronizacji.
    • Wyszukaj w obszarze łącznika Microsoft Entra przy użyciu DN.
    • Jeśli obiekt zostanie znaleziony w stanie Oczekiwanie na dodanie , odpowiedz Nie. Program Microsoft Entra Connect nie może połączyć obiektu z odpowiednim obiektem Microsoft Entra.
    • Jeśli obiekt nie zostanie znaleziony, odpowiedz Tak.

W tych przykładach pytanie stara się określić, czy Joe Jackson nadal istnieje w lokalnej usłudze Active Directory. W przypadku typowego scenariusza, zarówno użytkownicy Joe Johnson, jak i Joe Jackson są obecni w lokalnej usłudze Active Directory. Obiekty poddane kwarantannie to dwaj różni użytkownicy systemu.

Diagnozowanie typowego scenariusza błędu synchronizacji

W scenariuszu obiektu osieroconego tylko jeden użytkownik Joe Johnson jest obecny w lokalnym Active Directory.

Diagnozowanie błędu synchronizacji dla scenariusza istnienia użytkownika z osieroconym obiektem

Czy oba te konta należą do tego samego użytkownika?

To pytanie sprawdza przychodzącego użytkownika powodującego konflikt i istniejący obiekt użytkownika w identyfikatorze Entra firmy Microsoft, aby sprawdzić, czy należą do tego samego użytkownika.

  1. Obiekt powodujący konflikt jest nowo synchronizowany z identyfikatorem Entra firmy Microsoft. Porównaj atrybuty obiektów:
    • Wyświetlana nazwa
    • NazwaGłównaUżytkownika lub NazwaLogowania
    • Identyfikator obiektu
  2. Jeśli Microsoft Entra ID nie zdoła ich porównać, sprawdź, czy Active Directory zawiera obiekty z podanymi UserPrincipalNames. Odpowiedź Nie , jeśli znajdziesz oba te elementy.

W poniższym przykładzie dwa obiekty należą do tego samego użytkownika Joe Johnsona.

Diagnozowanie błędu synchronizacji oddzielonego obiektu tego samego scenariusza użytkownika

Co się stanie po zastosowaniu poprawki w sytuacji osieroconego obiektu

Na podstawie odpowiedzi na powyższe pytania zobaczysz przycisk Zastosuj poprawkę , gdy istnieje poprawka dostępna z identyfikatora Entra firmy Microsoft. W takim przypadku obiekt lokalny synchronizuje się z nieoczekiwanym obiektem Firmy Microsoft Entra. Dwa obiekty są mapowane przy użyciu kotwicy źródłowej. Zmiana Zastosuj poprawkę wykonuje następujące lub podobne kroki:

  1. Aktualizuje Source Anchor do poprawnego obiektu w Microsoft Entra ID.
  2. Usuwa obiekt powodujący konflikt w identyfikatorze Entra firmy Microsoft, jeśli jest obecny.

Diagnozowanie błędu synchronizacji po naprawieniu

Ważne

Zmiana Zastosuj poprawkę ma zastosowanie tylko do przypadków osieroconych obiektów.

Po poprzednich krokach użytkownik może uzyskać dostęp do oryginalnego zasobu, który jest linkiem do istniejącego obiektu. Wartość Status diagnozy na liście jest aktualizowana do Oczekuje na synchronizację. Błąd synchronizacji zostanie naprawiony po następnej synchronizacji. Program Connect Health nie będzie już pokazywał błędu synchronizacji po jego rozwiązaniu w widoku listy.

Błędy i komunikaty o błędach

Użytkownik z konfliktem atrybutów jest tymczasowo usunięty w Microsoft Entra ID. Przed ponowieniu próby upewnij się, że użytkownik jest trwale usunięty.
Użytkownik z atrybutem powodującym konflikt w identyfikatorze Entra firmy Microsoft powinien zostać oczyszczony przed zastosowaniem poprawki. Sprawdź , jak trwale usunąć użytkownika w identyfikatorze Entra firmy Microsoft przed ponowieniu próby naprawienia. Użytkownik zostanie również automatycznie usunięty trwale po upływie 30 dni w stanie usunięcia nietrwałego.

Aktualizowanie kotwicy źródłowej do użytkownika w chmurze w Twoim lokatorze nie jest obsługiwane.
Użytkownik chmury w Microsoft Entra ID nie powinien mieć anchor źródłowego. Aktualizowanie kotwicy źródłowej nie jest obsługiwane w tym przypadku. Ręczna naprawa jest wymagana na miejscu.

Proces naprawy nie może zaktualizować wartości. Określone ustawienia, takie jak UserWriteback w programie Microsoft Entra Connect , nie są obsługiwane. Wyłącz w ustawieniach.

Często zadawane pytania

Pytanie. Co się stanie, jeśli zastosowanie poprawki Zastosuj rozwiązanie nie powiedzie się?
Odp. Jeśli wykonanie nie powiedzie się, możliwe, że program Microsoft Entra Connect uruchamia błąd eksportu. Odśwież stronę portalu i spróbuj ponownie po następnej synchronizacji. Domyślny cykl synchronizacji to 30 minut.

Pyt. Co zrobić, jeśli istniejący obiekt powinien być obiektem do usunięcia?
Odp. Jeśli istniejący obiekt powinien zostać usunięty, proces nie obejmuje zmiany Source Anchor. Zazwyczaj można to naprawić za pomocą lokalnego usługi Active Directory.

Pyt. Jakie uprawnienia użytkownik musi zastosować poprawkę?
A.Współautor z kontroli dostępu opartej na rolach platformy Azure ma uprawnienia dostępu do procesu diagnostyki i rozwiązywania problemów. Jest to minimalne wymagane uprawnienie.

Pyt. Czy muszę skonfigurować program Microsoft Entra Connect lub zaktualizować agenta microsoft Entra Connect Health dla tej funkcji?
Odp. Nie, proces diagnozowania jest kompletną funkcją opartą na chmurze.

Pytanie. Jeśli istniejący obiekt zostanie usunięty nietrwale, czy proces diagnostyki ponownie uaktywni obiekt?
Odp. Nie, poprawka nie zaktualizuje atrybutów obiektu innych niż kotwica źródłowa.