Udostępnij za pośrednictwem

Kompleksowe rozwiązywanie problemów z obiektami i atrybutami w programie Microsoft Entra Connect.

  • Artykuł

Ten artykuł ma na celu ustalenie typowej praktyki rozwiązywania problemów z synchronizacją w identyfikatorze Entra firmy Microsoft. Ta metoda ma zastosowanie do sytuacji, w których obiekt lub atrybut nie synchronizuje się z usługą Azure Active AD i nie wyświetla żadnych błędów w a aparatze synchronizacji, w dziennikach przeglądarki aplikacji lub w dziennikach firmy Microsoft Entra. Łatwo jest zgubić się w szczegółach, jeśli nie ma oczywistego błędu. Jednak przy użyciu najlepszych rozwiązań można odizolować problem i udostępnić szczegółowe informacje dla inżynierów pomoc techniczna firmy Microsoft.

W miarę stosowania tej metody rozwiązywania problemów do środowiska w miarę upływu czasu będzie można wykonać następujące czynności:

  • Rozwiązywanie problemów z logiką aparatu synchronizacji od końca do końca.
  • Wydajniejsze rozwiązywanie problemów z synchronizacją.
  • Szybsze identyfikowanie problemów przez przewidywanie kroku, w którym wystąpią.
  • Zidentyfikuj punkt wyjścia do przeglądania danych.
  • Określ optymalną rozdzielczość.

Zrzut ekranu przedstawiający wykres blokowy Microsoft Entra Connect.

Kroki podane tutaj zaczynają się od lokalnego poziomu usługi Active Directory i postępu w kierunku identyfikatora Entra firmy Microsoft. Te kroki są najczęstszym kierunkiem synchronizacji. Jednak te same zasady dotyczą odwrotnego kierunku (na przykład dla zapisywania zwrotnego atrybutów).

Wymagania wstępne

Aby lepiej zrozumieć ten artykuł, najpierw zapoznaj się z następującymi artykułami wstępnymi, aby lepiej zrozumieć, jak wyszukiwać obiekt w różnych źródłach (AD, AD CS, MV itd.) i zrozumieć, jak sprawdzić łączniki i pochodzenie obiektu.

Nieprawidłowe rozwiązania dotyczące rozwiązywania problemów

Flaga DirSyncEnabled w usłudze Microsoft Entra ID określa, czy dzierżawa jest przygotowana do akceptowania synchronizacji obiektów z lokalnej usługi AD. Wielu klientów wchodziło w nawyk wyłączania narzędzia DirSync w dzierżawie podczas rozwiązywania problemów z synchronizacją obiektów lub atrybutów. Synchronizację katalogów można łatwo wyłączyć, uruchamiając następujące polecenie cmdlet programu PowerShell:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Uwaga 16.

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Może to być jednak katastrofalne, ponieważ wyzwala złożoną i długotrwałą operację zaplecza w celu transferu soA z lokalnej usługi Active Directory do usługi Microsoft Entra ID / Exchange Online dla wszystkich zsynchronizowanych obiektów w dzierżawie. Ta operacja jest konieczna do przekonwertowania każdego obiektu z narzędzia DirSyncEnabled na tylko w chmurze i wyczyszczenia wszystkich właściwości w tle synchronizowanych z lokalnej usługi AD (na przykład ShadowUserPrincipalName i ShadowProxyAddresses). W zależności od rozmiaru dzierżawy ta operacja może potrwać ponad 72 godziny. Ponadto nie można przewidzieć, kiedy operacja zakończy się. Nigdy nie używaj tej metody do rozwiązywania problemu z synchronizacją, ponieważ spowoduje to dodatkową szkodę i nie rozwiąże problemu. Nie będzie można ponownie włączyć narzędzia DirSync do momentu zakończenia tej operacji wyłączania. Ponadto po ponownym włączeniu narzędzia DirSync usługa AADC musi ponownie dopasować wszystkie obiekty lokalne z istniejącymi obiektami firmy Microsoft Entra. Ten proces może być destrukcyjny.

Jedynymi scenariuszami, w których to polecenie jest obsługiwane w celu wyłączenia narzędzia DirSync, są następujące:

  • Likwidujesz lokalny serwer synchronizacji i chcesz kontynuować zarządzanie tożsamościami w całości z chmury zamiast z tożsamości hybrydowych.
  • Niektóre zsynchronizowane obiekty w dzierżawie mają być zachowywane jako tylko w chmurze w usłudze Microsoft Entra ID i trwale usuwane z lokalnej usługi AD.
  • Obecnie używasz atrybutu niestandardowego jako atrybutu SourceAnchor w usłudze AADC (na przykład employeeId), a następnie ponownie instalujesz usługę AADC, aby rozpocząć korzystanie z atrybutu ms-Ds-Consistency-Guid/ObjectGuid jako nowego atrybutu SourceAnchor (lub odwrotnie).
  • Istnieją pewne scenariusze, które obejmują ryzykowną skrzynkę pocztową i strategie migracji dzierżawy.

W niektórych sytuacjach może być konieczne tymczasowe zatrzymanie synchronizacji lub ręczne sterowanie cyklami synchronizacji usługi AADC. Na przykład może być konieczne zatrzymanie synchronizacji, aby można było uruchomić jeden krok synchronizacji naraz. Jednak zamiast wyłączać narzędzie DirSync, można zatrzymać tylko harmonogram synchronizacji, uruchamiając następujące polecenie cmdlet:

Set-ADSyncScheduler -SyncCycleEnabled $false

Gdy wszystko będzie gotowe, ręcznie uruchom cykl synchronizacji, uruchamiając następujące polecenie cmdlet:

Start-ADSyncSyncCycle

Słownik

Akronim/skrót Nazwa/opis
AADC Microsoft Entra Connect
AADCA Konto łącznika usługi Microsoft Entra Connector
AADCS Obszar łącznika Microsoft Entra
AADCS:AttributeA Atrybut "A" w przestrzeni łącznika firmy Microsoft Entra
Listy kontroli dostępu Listy kontroli dostępu (znane również jako uprawnienia programu ADDS)
ADCA Konto łącznika usługi AD
ADCS Obszar łącznika usługi Active Directory
AADCS:AttributeA Atrybut "A" w obszarze łącznika usługi Active Directory
ADDS lub AD Active Directory Domain Services
CS Obszar łącznika
MV Metaverse
Konto MSOL Automatycznie wygenerowane konto łącznika usługi AD (MSOL_########)
MV:AttributeA Atrybut "A" w obiekcie Metaverse
SoA Źródło urzędu

Krok 1. Synchronizacja między usługami ADDS i ADCS

Cel dla kroku 1

Ustal, czy obiekt lub atrybut jest obecny i spójny w usłudze ADCS. Jeśli możesz zlokalizować obiekt w usłudze ADCS, a wszystkie atrybuty mają oczekiwane wartości, przejdź do kroku 2.

Zrzut ekranu przedstawiający replikację A D Connector Space A D.

Opis kroku 1

Synchronizacja między usługami ADDS i ADCS odbywa się w kroku importowania i jest momentem, w którym usługa AADC odczytuje z katalogu źródłowego i przechowuje dane w bazie danych. Oznacza to, że gdy dane są etapowane w przestrzeni łącznika. Podczas importowania różnicowego z usługi AD usługa AADC żąda wszystkich nowych zmian, które wystąpiły po danym znaku wodnym katalogu. To wywołanie jest inicjowane przez usługę AADC przy użyciu kontroli DirSync usług katalogowych względem usługi replikacji usługi Active Directory. Ten krok zawiera ostatni znak wodny jako ostatni pomyślny import usługi AD i daje usłudze AD odwołanie do punktu w czasie od momentu pobrania wszystkich zmian (różnicowych). Pełny import jest inny, ponieważ usługa AADC będzie importować ze wszystkich danych usługi AD (w zakresie synchronizacji), a następnie oznaczyć jako przestarzałe (i usunąć) wszystkie obiekty, które są nadal w usłudze ADCS, ale nie zostały zaimportowane z usługi AD. Wszystkie dane między usługami AD i AADC są przesyłane za pośrednictwem protokołu LDAP i są domyślnie szyfrowane.

Zrzut ekranu przedstawiający okno dialogowe opcje połączenia A D C.

Jeśli połączenie z usługą AD powiedzie się, ale obiekt lub atrybut nie istnieje w usłudze ADCS (przy założeniu, że domena lub obiekt jest w zakresie synchronizacji), problem najprawdopodobniej obejmuje uprawnienia funkcji ADDS. Usługa ADCA wymaga co najmniej uprawnień do odczytu obiektu w usłudze AD w celu zaimportowania danych do usługi ADCS. Domyślnie konto MSOL ma jawne uprawnienia do odczytu/zapisu dla wszystkich właściwości użytkownika, grupy i komputera. Jednak ta sytuacja może nadal być problematyczna, jeśli spełnione są następujące warunki:

  • Usługa AADC używa niestandardowej usługi ADCA, ale nie zapewniała wystarczających uprawnień w usłudze AD.
  • Nadrzędna jednostka organizacyjna zablokowała dziedziczenie, co uniemożliwia propagację uprawnień z katalogu głównego domeny.
  • Sam obiekt lub atrybut zablokował dziedziczenie, co uniemożliwia propagację uprawnień.
  • Obiekt lub atrybut ma jawne uprawnienie Odmów, które uniemożliwia usłudze ADCA odczytywanie go.

Rozwiązywanie problemów z usługą Active Directory

Łączność z usługą AD

W programie Synchronization Service Manager krok "Import from AD" (Importowanie z usługi AD) pokazuje, z którym kontrolerem domeny jest kontaktowany w obszarze Stan połączenia. W tym miejscu najprawdopodobniej wystąpi błąd, gdy występuje problem z łącznością, który ma wpływ na usługę AD.

Zrzut ekranu przedstawiający obszar Stan połączenia w kroku Importowanie z usługi A D.

Jeśli musisz jeszcze bardziej rozwiązać problemy z łącznością z usługą AD, zwłaszcza jeśli nie wystąpią błędy na serwerze Microsoft Entra Connect lub jeśli nadal trwa proces instalowania produktu, zacznij od korzystania z narzędzia ADConnectivityTool.

Problemy z połączeniem z usługą ADDS mają następujące przyczyny:

  • Nieprawidłowe poświadczenia usługi AD. Na przykład usługa ADCA wygasła lub hasło uległo zmianie.
  • Błąd "wyszukiwanie nie powiodło się", który występuje, gdy kontrolka DirSync nie komunikuje się z usługą replikacji usługi AD, zazwyczaj z powodu fragmentacji pakietów o wysokiej sieci.
  • Błąd "no-start-ma", który występuje, gdy występują problemy z rozpoznawaniem nazw (DNS) w usłudze AD.
  • Inne problemy, które mogą być spowodowane przez problemy z rozpoznawaniem nazw, problemy z routingiem sieci, zablokowane porty sieciowe, fragmentację pakietów sieciowych, brak dostępnych zapisywalnych kontrolerów domeny itd. W takich przypadkach prawdopodobnie konieczne będzie zaangażowanie zespołów pomocy technicznej usług katalogowych lub zespołów pomocy technicznej ds. sieci, aby pomóc w rozwiązywaniu problemów.

Podsumowanie rozwiązywania problemów

  • Zidentyfikuj, który kontroler domeny jest używany.
  • Użyj preferowanych kontrolerów domeny, aby zastosować ten sam kontroler domeny.
  • Poprawnie zidentyfikuj usługę ADCA.
  • Użyj narzędzia ADConnectivityTool, aby zidentyfikować problem.
  • Użyj narzędzia LDP, aby spróbować powiązać z kontrolerem domeny z usługą ADCA.
  • Skontaktuj się z usługami katalogowymi lub zespołem pomocy technicznej ds. sieci, aby pomóc w rozwiązywaniu problemów.

Uruchamianie narzędzia do rozwiązywania problemów z synchronizacją

Po rozwiązaniu problemów z łącznością z usługą AD uruchom narzędzie Do rozwiązywania problemów z synchronizacją obiektów, ponieważ może to wykryć najbardziej oczywiste przyczyny braku synchronizacji obiektu lub atrybutu.

Zrzut ekranu przedstawiający ekran rozwiązywania problemów z programem Microsoft Entra Connect.

Uprawnienia usługi AD

Brak uprawnień usługi AD może mieć wpływ na oba kierunki synchronizacji:

  • Podczas importowania z usługi ADDS do usługi ADCS brak uprawnień może spowodować pominięcie obiektów lub atrybutów usługi AADC, aby usługa AADC nie mogła pobrać aktualizacji usługi ADDS w strumieniu importu. Ten błąd występuje, ponieważ usługa ADCA nie ma wystarczających uprawnień do odczytu obiektu.
  • Podczas eksportowania z usługi ADCS do usługi ADDS brak uprawnień generuje błąd eksportu "problemu z uprawnieniami".

Aby sprawdzić uprawnienia, otwórz okno Właściwości obiektu usługi AD, wybierz pozycję Zaawansowane zabezpieczenia>, a następnie sprawdź listy ACL zezwalania/odmowy obiektu, wybierając przycisk Wyłącz dziedziczenie (jeśli włączono dziedziczenie). Zawartość kolumny można sortować według typu , aby zlokalizować wszystkie uprawnienia "odmów". Uprawnienia usługi AD mogą się znacznie różnić. Jednak domyślnie może być widoczna tylko jedna lista "Odmów listy ACL" dla "Zaufane podsystemu exchange". Większość uprawnień zostanie oznaczona jako Zezwalaj.

Następujące uprawnienia domyślne są najbardziej istotne:

  • Uwierzytelnieni użytkownicy

    Zrzut ekranu przedstawiający uwierzytelnionych użytkowników.

  • Wszyscy

    Zrzut ekranu przedstawiający opcję Zezwalaj jest ustawiona na Wszyscy.

  • Niestandardowe konto USŁUGI ADCA lub MSOL

    Zrzut ekranu przedstawia niestandardowe konto USŁUGI ADCA lub MSOL.

  • Dostęp zgodny z systemem Windows 2000

    Zrzut ekranu przedstawiający dostęp zgodny z systemem Windows 2000.

  • SELF

    Zrzut ekranu przedstawiający uprawnienie SELF jest dozwolone.

Najlepszym sposobem rozwiązywania problemów z uprawnieniami jest użycie funkcji "Skuteczny dostęp" w konsoli Użytkownicy i komputery usługi AD. Ta funkcja sprawdza obowiązujące uprawnienia dla danego konta (ADCA) w obiekcie docelowym lub atrybucie, który chcesz rozwiązać.

Zrzut ekranu przedstawia informacje na karcie Skuteczny dostęp w oknie Ustawienia zabezpieczeń zaawansowanych.

Ważne

Rozwiązywanie problemów z uprawnieniami usługi AD może być trudne, ponieważ zmiana list ACL nie powoduje natychmiastowego efektu. Zawsze należy wziąć pod uwagę, że takie zmiany podlegają replikacji usługi AD.

Na przykład:

  • Upewnij się, że wprowadzasz niezbędne zmiany bezpośrednio do najbliższego kontrolera domeny (zobacz sekcję "Łączność z usługą AD"):
  • Poczekaj na wystąpienie replikacji usługi ADDS.
  • Jeśli to możliwe, uruchom ponownie usługę ADSync, aby wyczyścić pamięć podręczną.

Podsumowanie rozwiązywania problemów

  • Zidentyfikuj, który kontroler domeny jest używany.
  • Użyj preferowanych kontrolerów domeny, aby zastosować ten sam kontroler domeny.
  • Poprawnie zidentyfikuj usługę ADCA.
  • Użyj narzędzia Konfigurowanie uprawnień konta łącznika usług AD DS.
  • Użyj funkcji "Skuteczny dostęp" w obszarze Użytkownicy i komputery usługi AD.
  • Użyj narzędzia LDP, aby powiązać z kontrolerem domeny, który ma usługę ADCA, i spróbuj odczytać błąd obiektu lub atrybutu.
  • Tymczasowo dodaj usługę ADCA do administratorów przedsiębiorstwa lub administratorów domeny i uruchom ponownie usługę ADSync.

Ważne: nie używaj tego jako rozwiązania.

  • Po zweryfikowaniu problemu z uprawnieniami usuń usługę ADCA z dowolnych grup z wysokimi uprawnieniami i podaj wymagane uprawnienia usługi AD bezpośrednio do usługi ADCA.
  • Skontaktuj się z usługami katalogowymi lub zespołem pomocy technicznej sieci, aby rozwiązać ten problem.

Replikacje usługi AD

Ten problem jest mniej prawdopodobne, aby wpłynąć na program Microsoft Entra Connect, ponieważ powoduje większe problemy. Jednak gdy program Microsoft Entra Connect importuje dane z kontrolera domeny przy użyciu replikacji opóźnionej, nie zaimportuje najnowszych informacji z usługi AD, co powoduje problemy z synchronizacją, w których ostatnio utworzony lub zmieniony atrybut w usłudze AD nie jest synchronizowany z identyfikatorem Microsoft Entra ID, ponieważ nie został zreplikowany do kontrolera domeny, z którym kontaktuje się firma Microsoft Entra Connect. Aby sprawdzić, czy jest to problem, sprawdź kontroler domeny używany przez usługę AADC do importowania (zobacz "Łączność z usługą AD") i użyj konsoli Użytkownicy i komputery usługi AD, aby bezpośrednio nawiązać połączenie z tym serwerem (zobacz Zmienianie kontrolera domeny na następnym obrazie). Następnie sprawdź, czy dane na tym serwerze odpowiadają najnowszym danym i czy są zgodne z odpowiednimi danymi usługi ADCS. Na tym etapie usługa AADC wygeneruje większe obciążenie kontrolera domeny i warstwy sieci.

Zrzut ekranu przedstawiający opcję Zmień kontroler domeny usługi Active Directory.

Innym podejściem jest użycie narzędzia RepAdmin w celu sprawdzenia metadanych replikacji obiektu na wszystkich kontrolerach domeny, pobrania wartości ze wszystkich kontrolerów domeny i sprawdzenia stanu replikacji między kontrolerami domeny:

  • Wartość atrybutu ze wszystkich kontrolerów domeny:

    repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

    Zrzut ekranu przedstawiający narzędzie RepAdmin przy użyciu narzędzia showattr.

  • Metadane obiektu ze wszystkich kontrolerów domeny:

    repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

    Zrzut ekranu narzędzia RepAdmin z poleceniem showobjmeta.

  • Podsumowanie replikacji usługi AD

    repadmin /replsummary

    Zrzut ekranu narzędzia RepAdmin przy użyciu polecenia replsummary.

Podsumowanie rozwiązywania problemów

  • Zidentyfikuj, który kontroler domeny jest używany.
  • Porównanie danych między kontrolerami domeny.
  • Przeanalizuj wyniki narzędzia RepAdmin.
  • Skontaktuj się z usługami katalogowymi lub zespołem pomocy technicznej sieci, aby rozwiązać ten problem.

Zmiany domeny i jednostki organizacyjnej oraz typy obiektów lub atrybuty filtrowane lub wykluczone w łączniku ADDS

  • Zmiana filtrowania domeny lub jednostki organizacyjnej wymaga pełnego importu

    Należy pamiętać, że nawet jeśli filtrowanie domeny lub jednostki organizacyjnej zostało potwierdzone, wszelkie zmiany w domenie lub filtrowaniu jednostki organizacyjnej zostaną zastosowane dopiero po uruchomieniu pełnego kroku importowania.

  • Filtrowanie atrybutów za pomocą aplikacji Microsoft Entra i filtrowania atrybutów

    Łatwy do chybienia scenariusz dla atrybutów, który nie jest synchronizowany, jest wtedy, gdy program Microsoft Entra Connect jest skonfigurowany za pomocą aplikacji Microsoft Entra i funkcji filtrowania atrybutów . Aby sprawdzić, czy funkcja jest włączona, i dla których atrybutów należy podjąć ogólny raport diagnostyczny.

  • Typ obiektu wykluczony w konfiguracji łącznika programu ADDS

    Ta sytuacja nie występuje tak często w przypadku użytkowników i grup. Jeśli jednak w usłudze ADCS brakuje wszystkich obiektów określonego typu, warto sprawdzić, które typy obiektów są włączone w konfiguracji łącznika programu ADDS.

    Możesz użyć polecenia cmdlet Get-ADSyncConnector , aby pobrać typy obiektów, które są włączone w łączniku, jak pokazano na następnej ilustracji. Poniżej przedstawiono typy obiektów, które powinny być domyślnie włączone:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

    Poniżej przedstawiono typy obiektów, które powinny być domyślnie włączone:

    Zrzut ekranu przedstawiający typy obiektów Get-ADSyncConnector.

    Uwaga 16.

    Typ obiektu publicFolder jest obecny tylko wtedy, gdy jest włączona funkcja Folder publiczny z włączoną obsługą poczty.

  • Atrybut wykluczony w usłudze ADCS

    W ten sam sposób, jeśli brakuje atrybutu dla wszystkich obiektów, sprawdź, czy atrybut jest wybrany w łączniku usługi AD.

    Aby sprawdzić atrybuty włączone w łączniku adds, użyj Menedżera synchronizacji, jak pokazano na następnej ilustracji, lub uruchom następujące polecenie cmdlet programu PowerShell:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

    Zrzut ekranu przedstawiający Menedżera synchronizacji łącznika usługi AD.

    Uwaga 16.

    Dołączanie lub wykluczanie typów obiektów lub atrybutów w programie Synchronization Service Manager nie jest obsługiwane.

Podsumowanie rozwiązywania problemów

  • Sprawdź funkcję filtrowania atrybutów i aplikacji Microsoft Entra
  • Sprawdź, czy typ obiektu jest uwzględniony w usłudze ADCS.
  • Sprawdź, czy atrybut jest uwzględniony w usłudze ADCS.
  • Uruchom pełny import.

Zasoby dla kroku 1

Główne zasoby:

  • Get-ADSyncConnectorAccount — identyfikowanie poprawnego konta łącznika używanego przez usługę AADC

  • ADConnectivityTool

  • Identyfikowanie problemów z łącznością z usługą ADDS

  • Trace-ADSyncToolsADImport (ADSyncTools) — dane śledzenia importowane z modułu ADDS

  • LDIFDE — zrzut obiektu z modułu ADDS w celu porównania danych między usługami ADDS i ADCS

  • LDP — testowanie łączności i uprawnień powiązania usługi AD w celu odczytu obiektu w kontekście zabezpieczeń usługi ADCA

  • DSACLS — porównywanie i ocenianie uprawnień modułu ADDS

  • Uprawnienia funkcji >Set-ADSync< — stosowanie domyślnych uprawnień usługi AADC w usłudze ADDS

  • RepAdmin — sprawdzanie metadanych obiektu usługi AD i stanu replikacji usługi AD

Krok 2. Synchronizacja między usługami ADCS i MV

Zrzut ekranu przedstawia wykres blokowy A D C S to MetaVerse.

Cel dla kroku 2

Ten krok sprawdza, czy obiekt lub atrybut przepływa z CS do MV (innymi słowy, czy obiekt lub atrybut jest przewidywany do MV). Na tym etapie upewnij się, że obiekt jest obecny lub że atrybut jest poprawny w usługach ADCS (opisanym w kroku 1), a następnie zacznij patrzeć na reguły synchronizacji i pochodzenie obiektu.

Opis kroku 2

Synchronizacja między usługami ADCS i MV odbywa się w kroku delty/pełnej synchronizacji. W tym momencie usługa AADC odczytuje dane etapowe w usługach ADCS, przetwarza wszystkie reguły synchronizacji i aktualizuje odpowiedni obiekt MV. Ten obiekt MV będzie zawierać łącza CS (lub łączniki) wskazujące obiekty CS, które przyczyniają się do jego właściwości i pochodzenia reguł synchronizacji, które zostały zastosowane w kroku synchronizacji. Na tym etapie usługa AADC generuje większe obciążenie warstw programu SQL Server (lub LocalDB) i sieci.

Rozwiązywanie problemów z usługą ADCS > MV dla obiektów

  • Sprawdzanie reguł synchronizacji ruchu przychodzącego na potrzeby aprowizacji

    Obiekt, który znajduje się w usłudze ADCS, ale brakuje go w mv wskazuje, że nie było filtrów określania zakresu dla żadnego z reguł synchronizacji aprowizacji, które zostały zastosowane do tego obiektu. W związku z tym obiekt nie został przewidywany na MV. Ten problem może wystąpić, jeśli istnieją wyłączone lub dostosowane reguły synchronizacji.

    Aby uzyskać listę reguł synchronizacji aprowizacji dla ruchu przychodzącego, uruchom następujące polecenie:

    Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Zrzut ekranu przedstawiający polecenie Get-ADSyncRule służy do sprawdzania reguł aprowizacji dla ruchu przychodzącego.

  • Sprawdzanie pochodzenia obiektu ADCS

    Obiekt, który kończy się niepowodzeniem, można pobrać z usługi ADCS, wyszukując ciąg "DN lub Anchor" w obszarze "Obszar łącznika wyszukiwania". Na karcie Pochodzenie prawdopodobnie zobaczysz, że obiekt jest rozłączeniem (bez linków do mv), a pochodzenie jest puste. Sprawdź również, czy obiekt ma jakiekolwiek błędy, na wypadek wystąpienia karty błędu synchronizacji.

    Zrzut ekranu przedstawiający właściwości obiektu obszaru łącznika w usłudze A D C S.

  • Uruchamianie podglądu w obiekcie ADCS

    Wybierz pozycję Podgląd>wygeneruj podgląd zatwierdzenia podglądu>, aby sprawdzić, czy obiekt jest przewidywany na mv. Jeśli tak jest, wówczas cykl pełnej synchronizacji powinien rozwiązać problem dla innych obiektów w tej samej sytuacji.

    Zrzut ekranu przedstawiający ekran podglądu obiektu A D C S.

    Zrzut ekranu przedstawiający ekran Szczegóły obiektu źródłowego w usłudze A D C S.

  • Eksportowanie obiektu do formatu XML

    Aby uzyskać bardziej szczegółową analizę (lub analizę offline), możesz zebrać wszystkie dane bazy danych powiązane z obiektem przy użyciu polecenia cmdlet Export-ADSyncObject . Te wyeksportowane informacje pomogą określić, która reguła filtruje obiekt. Innymi słowy, który filtr określania zakresu dla ruchu przychodzącego w regułach synchronizacji aprowizacji uniemożliwia projekcję obiektu do mv.

    Oto kilka przykładów składni Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Podsumowanie rozwiązywania problemów (obiekty)

  • Sprawdź filtry określania zakresu w regułach aprowizacji dla ruchu przychodzącego "W usłudze AD".
  • Utwórz podgląd obiektu.
  • Uruchom cykl pełnej synchronizacji.
  • Wyeksportuj dane obiektu przy użyciu skryptu Export-ADSyncObject .

Rozwiązywanie problemów z usługą ADCS > MV dla atrybutów

  1. Identyfikowanie reguł synchronizacji ruchu przychodzącego i reguł przekształcania atrybutu

    Każdy atrybut ma własny zestaw reguł przekształceń, które są odpowiedzialne za kierowanie wartości z usług ADCS do MV. Pierwszym krokiem jest zidentyfikowanie, które reguły synchronizacji zawierają regułę przekształcania dla atrybutu, który rozwiązujesz.

    Najlepszym sposobem określenia, które reguły synchronizacji mają regułę przekształcania dla danego atrybutu, jest użycie wbudowanych funkcji filtrowania w Edytorze reguł synchronizacji.

    Zrzut ekranu edytora reguł synchronizacji w usłudze A D C S.

  2. Sprawdzanie pochodzenia obiektu ADCS

    Każdy łącznik (lub łącze) między cs i MV będzie miał pochodzenie zawierające informacje o regułach synchronizacji, które są stosowane do tego obiektu CS. W poprzednim kroku przedstawiono, który zestaw reguł synchronizacji ruchu przychodzącego (niezależnie od tego, czy aprowizacja, czy dołączanie reguł synchronizacji) musi znajdować się w wierszu obiektu, aby przepływać prawidłową wartość z usług ADCS do MV. Sprawdzając pochodzenie obiektu ADCS, będzie można określić, czy ta reguła synchronizacji została zastosowana do obiektu.

    Zrzut ekranu przedstawiający ekran Właściwości obiektu obszaru łącznika.

    Jeśli istnieje wiele łączników (wiele lasów usługi AD) połączonych z obiektem MV, może być konieczne sprawdzenie właściwości obiektu Metaverse w celu określenia, który łącznik współtworuje wartość atrybutu do atrybutu, który próbujesz rozwiązać. Po zidentyfikowaniu łącznika sprawdź pochodzenie tego obiektu ADCS.

    Zrzut ekranu przedstawiający ekran Właściwości obiektu Metaverse.

  3. Sprawdzanie filtrów określania zakresu w regule synchronizacji ruchu przychodzącego

    Jeśli reguła synchronizacji jest włączona, ale nie istnieje w pochodzenia obiektu, obiekt powinien zostać odfiltrowany przez filtr określania zakresu reguły synchronizacji. Sprawdzając filtry określania zakresu reguły synchronizacji, dane w obiekcie ADCS oraz czy reguła synchronizacji jest włączona, czy wyłączona, należy określić, dlaczego ta reguła synchronizacji nie została zastosowana do obiektu usługi ADCS.

    Oto przykład typowego kłopotliwego filtru określania zakresu z reguły synchronizacji odpowiedzialnej za synchronizowanie właściwości programu Exchange. Jeśli obiekt ma wartość null dla mailNickName, żaden z atrybutów programu Exchange w regułach przekształcania nie będzie przepływać do identyfikatora Entra firmy Microsoft.

    Zrzut ekranu przedstawiający ekran Wyświetlanie reguły synchronizacji ruchu przychodzącego.

  4. Uruchamianie podglądu w obiekcie ADCS

    Jeśli nie możesz określić, dlaczego w pochodzenia obiektu ADCS brakuje reguły synchronizacji, uruchom podgląd przy użyciu opcji Generuj podgląd i Zatwierdź podgląd , aby uzyskać pełną synchronizację obiektu. Jeśli atrybut jest aktualizowany w mv i ma podgląd, pełny cykl synchronizacji powinien rozwiązać problem dla innych obiektów w tej samej sytuacji.

  5. Eksportowanie obiektu do formatu XML

    Aby uzyskać bardziej szczegółową analizę lub analizę offline, można zebrać wszystkie dane bazy danych powiązane z obiektem przy użyciu skryptu Export-ADSyncObject . Te wyeksportowane informacje mogą pomóc określić, która reguła synchronizacji lub reguła przekształcania brakuje w obiekcie, który uniemożliwia projekcję atrybutu do wzorca MV (zobacz przykłady Export-ADSyncObject we wcześniejszej sekcji tego artykułu).

Podsumowanie rozwiązywania problemów (dla atrybutów)

  • Zidentyfikuj prawidłowe reguły synchronizacji i reguły przekształcania odpowiedzialne za przepływ atrybutu do mv.
  • Sprawdź pochodzenie obiektu.
  • Sprawdź, czy reguły synchronizacji zostały włączone.
  • Sprawdź filtry określania zakresu reguł synchronizacji, których brakuje w pochodzenia obiektu.

Zaawansowane rozwiązywanie problemów z potokiem reguły synchronizacji

Jeśli musisz dodatkowo debugować aparat ADSync (znany również jako MiiServer) pod względem przetwarzania reguł synchronizacji, możesz włączyć śledzenie ETW w pliku .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Ta metoda generuje obszerny pełny plik tekstowy, który pokazuje wszystkie przetwarzanie reguł synchronizacji. Jednak interpretacja wszystkich informacji może być trudna. Użyj tej metody w ostateczności lub jeśli jest ona wskazana przez pomoc techniczna firmy Microsoft.

Zasoby dla kroku 2

  • Interfejs użytkownika programu Synchronization Service Manager
  • Edytor reguł synchronizacji
  • Skrypt Export-ADsyncObject
  • Start-ADSyncSyncCycle -PolicyType Initial
  • Śledzenie ETW SyncRulesPipeline (miiserver.exe.config)

Krok 3. Synchronizacja między mv i AADCS

Zrzut ekranu przedstawiający wykres blokowy M V i A D C S.

Cel dla kroku 3

Ten krok sprawdza, czy obiekt lub atrybut przepływa z mv do usługi AADCS. W tym momencie upewnij się, że obiekt jest obecny lub że atrybut jest poprawny w usługach ADCS i MV (opisanych w krokach 1 i 2). Następnie sprawdź reguły synchronizacji i pochodzenie obiektu. Ten krok jest podobny do kroku 2, w którym zbadano kierunek ruchu przychodzącego z usług ADCS do MV. Jednak na tym etapie skoncentrujemy się na regułach synchronizacji ruchu wychodzącego i atrybucie, który przepływa z mv do usługi AADCS.

Opis kroku 3

Synchronizacja między mv i AADCS odbywa się w kroku delta/pełnej synchronizacji, gdy usługa AADC odczytuje dane w programie MV, przetwarza wszystkie reguły synchronizacji i aktualizuje odpowiedni obiekt usługi AADCS. Ten obiekt MV będzie zawierać łącza CS (znane również jako łączniki), które wskazują obiekty CS, które przyczyniają się do jego właściwości i pochodzenia reguł synchronizacji, które zostały zastosowane w kroku synchronizacji. W tym momencie usługa AADC generuje większe obciążenie programu SQL Server (lub localDB) i warstwy sieciowej.

Rozwiązywanie problemów z usługą MV do usługi AADCS dla obiektów

  1. Zapoznaj się z regułami synchronizacji ruchu wychodzącego na potrzeby aprowizacji

    Obiekt, który jest obecny w mv, ale brakuje w usłudze AADCS wskazuje, że nie było filtrów określania zakresu dla żadnego z reguł synchronizacji aprowizacji, które zostały zastosowane do tego obiektu. Zobacz na przykład reguły synchronizacji "Out to Microsoft Entra ID" pokazane na następnej ilustracji. W związku z tym obiekt nie został aprowizowany w usłudze AADCS. Ten błąd może wystąpić, jeśli istnieją wyłączone lub dostosowane reguły synchronizacji.

    Aby uzyskać listę reguł synchronizacji aprowizacji dla ruchu przychodzącego, uruchom następujące polecenie:

    Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Zrzut ekranu przedstawiający polecenie Get-ADSyncRule używane do sprawdzania reguł synchronizacji ruchu wychodzącego.

  2. Sprawdzanie pochodzenia obiektu ADCS

    Aby pobrać obiekt, który kończy się niepowodzeniem z mv, użyj wyszukiwania metaverse, a następnie sprawdź kartę łączników. Na tej karcie można określić, czy obiekt MV jest połączony z obiektem usługi AADCS. Sprawdź również, czy obiekt ma jakiekolwiek błędy, na wypadek wystąpienia karty błędu synchronizacji.

    Zrzut ekranu przedstawiający ekran wyszukiwania metaverse.

    Jeśli nie ma łącznika usługi AADCS, obiekt jest najprawdopodobniej ustawiony na cloudFiltered=True. Możesz sprawdzić, czy obiekt jest filtrowany w chmurze, sprawdzając atrybuty MV, dla których reguła synchronizacji współtworzy wartość cloudFiltered .

  3. Uruchamianie podglądu w obiekcie usługi AADCS

    Wybierz pozycję Podgląd>Generuj podgląd Zatwierdź podgląd>, aby określić, czy obiekt łączy się z usługą AADCS. Jeśli tak, cały cykl synchronizacji powinien rozwiązać problem dla innych obiektów w tej samej sytuacji.

  4. Eksportowanie obiektu do formatu XML

    Aby uzyskać bardziej szczegółową analizę lub analizę offline, można zebrać wszystkie dane bazy danych powiązane z obiektem przy użyciu skryptu Export-ADSyncObject . Te wyeksportowane informacje, wraz z konfiguracją reguł synchronizacji ruchu wychodzącego, mogą pomóc określić, która reguła filtruje obiekt i może określić, który filtr określania zakresu ruchu wychodzącego w regułach synchronizacji aprowizacji uniemożliwia obiektowi nawiązywanie połączenia z usługą AADCS).

    Oto kilka przykładów składni Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
    • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Podsumowanie rozwiązywania problemów z obiektami

  • Sprawdź filtry określania zakresu dla reguł aprowizacji ruchu wychodzącego "Out to Microsoft Entra ID".
  • Utwórz podgląd obiektu.
  • Uruchom cykl pełnej synchronizacji.
  • Wyeksportuj dane obiektu przy użyciu skryptu Export-ADSyncObject .

Rozwiązywanie problemów z usługą MV do usługi AADCS dla atrybutów

  1. Identyfikowanie reguł synchronizacji ruchu wychodzącego i reguł przekształcania atrybutu

    Każdy atrybut ma własny zestaw reguł przekształcania, które są odpowiedzialne za przepływ wartości z MV do usługi AADCS. Zacznij od zidentyfikowania, które reguły synchronizacji zawierają regułę przekształcania dla atrybutu, który rozwiązujesz.

    Najlepszym sposobem określenia, które reguły synchronizacji mają regułę przekształcania dla danego atrybutu, jest użycie wbudowanych funkcji filtrowania w Edytorze reguł synchronizacji.

    Zrzut ekranu edytora reguł synchronizacji.

  2. Sprawdzanie pochodzenia obiektu ADCS

    Każdy łącznik (lub łącze) między cs i MV będzie miał pochodzenie zawierające informacje o regułach synchronizacji zastosowanych do tego obiektu CS. W poprzednim kroku zostanie wyświetlony komunikat, który zestaw reguł synchronizacji ruchu wychodzącego (niezależnie od tego, czy aprowizacja, czy łączenie reguł synchronizacji) musi znajdować się w wierszu obiektu w celu przepływu prawidłowej wartości z mv do usługi AADCS. Sprawdzając pochodzenie obiektu usługi AADCS, można określić, czy ta reguła synchronizacji została zastosowana do obiektu.

    Zrzut ekranu przedstawiający szczegóły karty Pochodzenie obiektu A D C S.

  3. Sprawdzanie filtrów określania zakresu w regule synchronizacji ruchu wychodzącego

    Jeśli reguła synchronizacji jest włączona, ale nie istnieje w pochodzenia obiektu, powinna zostać odfiltrowana przez filtr określania zakresu reguły synchronizacji. Sprawdzając obecność filtrów określania zakresu reguły synchronizacji oraz danych w obiekcie MV oraz czy reguła synchronizacji jest włączona, czy wyłączona, należy określić, dlaczego ta reguła synchronizacji nie została zastosowana do obiektu usługi AADCS.

  4. Uruchamianie podglądu w obiekcie usługi AADCS

    Jeśli określisz, dlaczego brakuje reguły synchronizacji z pochodzenia obiektu ADCS, uruchom wersję zapoznawcza korzystającą z funkcji Generate Preview (Generowanie podglądu) i Commit Preview (Zatwierdź podgląd) w celu przeprowadzenia pełnej synchronizacji obiektu. Jeśli atrybut został zaktualizowany w mv przez wyświetlenie podglądu, cykl pełnej synchronizacji powinien rozwiązać problem dla innych obiektów w tej samej sytuacji.

  5. Eksportowanie obiektu do formatu XML

    Aby uzyskać bardziej szczegółową analizę lub analizę offline, można zebrać wszystkie dane bazy danych powiązane z obiektem przy użyciu skryptu "Export-ADSyncObject". Te wyeksportowane informacje wraz z konfiguracją reguł synchronizacji (wychodzących) mogą pomóc określić, której reguły synchronizacji lub reguły przekształcania brakuje w obiekcie uniemożliwiającym przepływ atrybutu do usługi AADCS (zobacz przykłady "Export-ADSyncObject" wcześniej).

Podsumowanie rozwiązywania problemów z atrybutami

  • Zidentyfikuj prawidłowe reguły synchronizacji i reguły przekształcania, które są odpowiedzialne za przepływ atrybutu do usługi AADCS.
  • Sprawdź pochodzenie obiektu.
  • Sprawdź, czy reguły synchronizacji są włączone.
  • Sprawdź filtry określania zakresu reguł synchronizacji, których brakuje w pochodzenia obiektu.

Rozwiązywanie problemów z potokiem reguły synchronizacji

Jeśli musisz dodatkowo debugować aparat ADSync (znany również jako MiiServer) pod względem przetwarzania reguł synchronizacji, możesz włączyć śledzenie ETW w pliku .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Ta metoda generuje obszerny pełny plik tekstowy, który pokazuje wszystkie przetwarzanie reguł synchronizacji. Jednak interpretacja wszystkich informacji może być trudna. Użyj tej metody tylko w ostateczności lub jeśli jest wskazana przez pomoc techniczna firmy Microsoft.

Zasoby

  • Interfejs użytkownika programu Synchronization Service Manager
  • Edytor reguł synchronizacji
  • Skrypt Export-ADsyncObject
  • Start-ADSyncSyncCycle -PolicyType Initial
  • Śledzenie ETW SyncRulesPipeline (miiserver.exe.config)

Krok 4. Synchronizacja między usługą AADCS i usługą AzureAD

Zrzut ekranu przedstawiający wykres blokowy Synchronizacja między identyfikatorami A D C S i Microsoft Entra ID.

Cel dla kroku 4

Ten etap porównuje obiekt usługi AADCS z odpowiednim obiektem aprowizacji w identyfikatorze Entra firmy Microsoft.

Opis kroku 4

Wiele składników i procesów, które są związane z importowaniem i eksportowaniem danych do i z identyfikatora Entra firmy Microsoft, może powodować następujące problemy:

  • Łączność z Internetem
  • Wewnętrzne zapory i łączność usługodawcy internetowego (na przykład zablokowany ruch sieciowy)
  • Brama Microsoft Entra Gateway przed usługą internetową DirSync (znaną również jako punkt końcowy AdminWebService)
  • Interfejs API usługi internetowej DirSync
  • Usługa katalogowa Microsoft Entra Core

Na szczęście problemy, które mają wpływ na te składniki, zwykle generują błąd w dziennikach zdarzeń, które mogą być śledzone przez pomoc techniczna firmy Microsoft. W związku z tym te problemy nie należą do zakresu tego artykułu. Niemniej jednak nadal istnieją pewne "ciche" kwestie, które można zbadać.

Rozwiązywanie problemów z usługą AADCS

  • Wiele aktywnych serwerów usługi AADC eksportowanych do identyfikatora Entra firmy Microsoft

    W typowym scenariuszu, w którym obiekty w usłudze Microsoft Entra ID przerzucają wartości atrybutów tam iz powrotem, istnieje więcej niż jeden aktywny serwer Microsoft Entra Connect, a jeden z tych serwerów traci kontakt z lokalną usługą AD, ale nadal jest połączony z Internetem i może eksportować dane do identyfikatora Entra firmy Microsoft. W związku z tym za każdym razem, gdy ten "nieaktualny" serwer importuje zmianę z identyfikatora Entra firmy Microsoft na zsynchronizowanym obiekcie wykonanym przez inny aktywny serwer, aparat synchronizacji przywraca tę zmianę na podstawie nieaktualnych danych usługi AD znajdujących się w usłudze ADCS. Typowym objawem w tym scenariuszu jest wprowadzenie zmiany w usłudze AD zsynchronizowanej z identyfikatorem Microsoft Entra ID, ale zmiana zostanie przywrócona do oryginalnej wartości kilka minut później (do 30 minut). Aby szybko rozwiązać ten problem, wróć do wszystkich starych serwerów lub maszyn wirtualnych, które zostały zlikwidowane, i sprawdź, czy usługa ADSync jest nadal uruchomiona.

  • Atrybut urządzenia przenośnego z dirSyncOverrides

    Jeśli administrator używa modułu MSOnline lub AzureAD PowerShell lub jeśli użytkownik przejdzie do portalu pakietu Office i zaktualizuje atrybut Mobile , zaktualizowany numer telefonu zostanie zastąpiony w usłudze AzureAD, mimo że obiekt jest synchronizowany z lokalnej usługi AD (znany również jako DirSyncEnabled).

    Wraz z tą aktualizacją identyfikator Entra firmy Microsoft ustawia również identyfikator DirSyncOverrides na obiekcie, aby oznaczyć, że ten użytkownik ma numer telefonu komórkowego "zastąpiony" w identyfikatorze Entra firmy Microsoft. Od tego momentu każda aktualizacja atrybutu mobilnego pochodzącego ze środowiska lokalnego zostanie zignorowana, ponieważ ten atrybut nie będzie już zarządzany przez lokalną usługę AD.

    Aby uzyskać więcej informacji na temat funkcji BypassDirSyncOverrides i sposobu przywracania synchronizacji atrybutów Mobile i innych Atrybutów mobilnych z identyfikatora Entra firmy Microsoft do lokalna usługa Active Directory, zobacz Jak używać funkcji BypassDirSyncOverrides dzierżawy firmy Microsoft Entra.

  • Zmiany UserPrincipalName nie są aktualizowane w identyfikatorze Entra firmy Microsoft

    Jeśli atrybut UserPrincipalName nie jest aktualizowany w identyfikatorze Entra firmy Microsoft, podczas gdy inne atrybuty są synchronizowane zgodnie z oczekiwaniami, możliwe, że funkcja o nazwie SyncUpnForManagedUsers nie jest włączona w dzierżawie. Ten scenariusz występuje często.

    Przed dodaniu tej funkcji wszelkie aktualizacje nazwy UPN pochodzącej ze środowiska lokalnego po aprowizowaniu użytkownika w identyfikatorze Microsoft Entra ID i przypisaniu licencji były ignorowane w trybie dyskretnym. Administrator musiałby użyć narzędzia MSOnline lub programu Azure AD PowerShell, aby zaktualizować nazwę UPN bezpośrednio w identyfikatorze Microsoft Entra ID. Po zaktualizowaniu tej funkcji wszystkie aktualizacje nazwy UPN będą przepływać do firmy Microsoft Entra niezależnie od tego, czy użytkownik ma licencję (zarządzaną).

    Uwaga 16.

    Po włączeniu tej funkcji nie można jej wyłączyć.

    Aktualizacje UserPrincipalName będą działać, jeśli użytkownik nie ma licencji. Jednak bez funkcji SyncUpnForManagedUsers, userPrincipalName zmienia się po aprowizacji użytkownika i ma przypisaną licencję, która nie zostanie zaktualizowana w identyfikatorze Entra firmy Microsoft. Zauważ, że firma Microsoft nie wyłącza tej funkcji w imieniu klienta.

  • Nieprawidłowe znaki i elementy wewnętrzne proxyCalc

    Problemy, które obejmują nieprawidłowe znaki, które nie generują żadnych błędów synchronizacji, są bardziej kłopotliwe w atrybutach UserPrincipalName i ProxyAddresses ze względu na efekt kaskadowy przetwarzania ProxyCalc, który dyskretnie odrzuci wartość zsynchronizowaną z lokalnej usługi AD. Taka sytuacja występuje w następujący sposób:

    1. Wynikowa nazwa UserPrincipalName w identyfikatorze Entra firmy Microsoft będzie domeną początkową MailNickName lub CommonName @ (at). Na przykład zamiast parametru John.Smith@Contoso.comuserPrincipalName w identyfikatorze Entra firmy Microsoft może stać sięsmithj@Contoso.onmicrosoft.com, ponieważ w wartości nazwy UPN z lokalnej usługi AD występuje niewidoczny znak.

    2. Jeśli element ProxyAddress zawiera znak spacji, funkcja ProxyCalc odrzuci go i automatycznie wygeneruje adres e-mail na podstawie nazwy MailNickName w domenie początkowej. Na przykład "SMTP: John.Smith@Contoso.com" nie będzie wyświetlany w identyfikatorze Entra firmy Microsoft, ponieważ zawiera znak spacji po dwukropku.

    3. Element UserPrincipalName zawierający znak spacji lub adres proxy , który zawiera niewidoczny znak, spowoduje ten sam problem.

      Aby rozwiązać problem z nieprawidłowym znakiem w właściwości UserPrincipalName lub ProxyAddress, sprawdź wartość przechowywaną w lokalnej usłudze AD z pliku LDIFDE lub programu PowerShell wyeksportowanego do pliku. Łatwym sposobem wykrywania niewidocznego znaku jest skopiowanie zawartości wyeksportowanego pliku, a następnie wklejenie go w oknie programu PowerShell. Niewidoczny znak zostanie zastąpiony znakiem zapytania (?), jak pokazano w poniższym przykładzie.

      Zrzut ekranu przedstawia przykład rozwiązywania problemów z atrybutem UserPrincipalName lub ProxyAddress.

  • Atrybut ThumbnailPhoto (KB4518417)

    Istnieje ogólne błędne przekonanie, że po zsynchronizowaniu programu ThumbnailPhoto z usługi AD po raz pierwszy nie można go zaktualizować, co jest tylko częściowo prawdziwe.

    Zazwyczaj element ThumbnailPhoto w usłudze Microsoft Entra ID jest stale aktualizowany. Jednak problem występuje, jeśli zaktualizowany obraz nie jest już pobierany z firmy Microsoft Entra ID przez odpowiednie obciążenie lub partnera (na przykład EXO lub SfBO). Ten problem powoduje fałszywe wrażenie, że obraz nie został zsynchronizowany z lokalnej usługi AD do identyfikatora Entra firmy Microsoft.

    Podstawowe kroki rozwiązywania problemów z elementem ThumbnailPhoto

    1. Upewnij się, że obraz jest poprawnie przechowywany w usłudze AD i nie przekracza limitu rozmiaru 100 KB.

    2. Sprawdź obraz w portalu kont lub użyj polecenia Get-AzureADUserThumbnailPhoto, ponieważ te metody odczytują miniaturęPhoto bezpośrednio z identyfikatora Entra firmy Microsoft.

    3. Jeśli miniatura usługi AD (lub AzureAD) ma poprawny obraz, ale nie jest poprawna w innych Usługi online, mogą mieć zastosowanie następujące warunki:

    • Skrzynka pocztowa użytkownika zawiera obraz HD i nie akceptuje obrazów o niskiej rozdzielczości z aplikacji Microsoft Entra thumbnailPhoto. Rozwiązaniem jest bezpośrednie zaktualizowanie obrazu skrzynki pocztowej użytkownika.
    • Obraz skrzynki pocztowej użytkownika został poprawnie zaktualizowany, ale nadal widzisz oryginalny obraz. Rozwiązaniem jest odczekanie co najmniej sześciu godzin, aby zobaczyć zaktualizowany obraz w portalu użytkowników usługi Office 365 lub w witrynie Azure Portal.

Dodatkowe materiały

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.