Solucionar problemas de um objeto que não está sincronizando com a ID do Microsoft Entra
Se um objeto não estiver sincronizando conforme o esperado com a ID do Microsoft Entra, ele pode ser devido a vários motivos. Se você recebeu um email de erro do Microsoft Entra ID ou estiver vendo o erro em Integridade do Microsoft Entra Connect, leia o artigo Solucionando erros durante a sincronização. Mas se você estiver solucionando um problema em que o objeto não está na ID do Microsoft Entra, este artigo é para você. Ele descreve como encontrar erros na sincronização do componente local Microsoft Entra Connect.
Importante
Para a implantação do Microsoft Entra Connect com a versão 1.1.749.0 ou superior, use a tarefa de solução de problemas no assistente para solucionar problemas na sincronização de objetos.
Processo de sincronização
Antes de investigarmos os problemas de sincronização, vamos entender o processo de sincronização do Microsoft Entra Connect:
Terminologia
- CS: espaço conector, uma tabela em um banco de dados
- MV: Metaverso, uma tabela em um banco de dados
Etapas de Sincronização
O processo de sincronização envolve as seguintes etapas:
Importar do AD: objetos do Active Directory são trazidos para o CS do Active Directory.
Importar do Microsoft Entra ID: objetos do Microsoft Entra são trazidos para o Microsoft Entra CS.
Sincronização: regras de sincronização de entrada e regras de sincronização de saída são executadas na ordem do número de precedência, de menor para superior. Para exibir as regras de sincronização, acesse o Editor de Regras de Sincronização dos aplicativos da área de trabalho. As regras de sincronização de entrada trazem dados de CS para MV. As regras de sincronização de saída movem dados de MV para CS.
Exportar para o AD: Após a sincronização, os objetos são exportados do CS do Active Directory para o Active Directory.
Exportar para a ID do Microsoft Entra: Após a sincronização, os objetos são exportados do Microsoft Entra CS para a ID do Microsoft Entra.
Resolução de problemas
Para localizar os erros, examine alguns locais diferentes, na seguinte ordem:
- Os logs de operação, para encontrar erros identificados pelo mecanismo de sincronização durante a importação e a sincronização.
- O espaço conector, para encontrar objetos ausentes e erros de sincronização.
- O metaverso para localizar problemas relacionados a dados.
Inicie o Synchronization Service Manager antes de começar estas etapas.
Operações
A guia Operações no Synchronization Service Manager é o local em que você deve iniciar a solução de problemas. Essa guia mostra os resultados das operações mais recentes.
A metade superior da guia Operações mostra todas as execuções em ordem cronológica. Por padrão, o log de operações mantém informações sobre os últimos sete dias, mas essa configuração pode ser alterada com o agendador . Procure qualquer execução que não mostre o status de bem-sucedida. Você pode alterar a classificação selecionando os cabeçalhos.
A coluna Status contém as informações mais importantes e mostra o problema mais grave de uma execução. Aqui está um resumo rápido dos status mais comuns em ordem de prioridade de investigação (em que * indica várias cadeias de caracteres de erro possíveis).
| Estado | Comentário |
|---|---|
| stopped-* | Não foi possível concluir a execução. Isso pode acontecer, por exemplo, se o sistema remoto estiver inativo e não puder ser contatado. |
| stopped-error-limit | Há mais de 5.000 erros. A execução foi interrompida automaticamente devido ao grande número de erros. |
| completed-*-errors | A execução foi finalizada, mas há erros (menos de 5.000) que devem ser investigados. |
| completed-*-warnings | A execução foi concluída, mas alguns dados não estão no estado esperado. Se houver erros, essa mensagem será apenas um sintoma. Não investigue os avisos até que você tenha resolvido erros. |
| êxito | Sem problemas. |
Quando você seleciona uma linha, a parte inferior da guia Operações é atualizada para mostrar os detalhes dessa execução. Na extremidade esquerda desta área, pode haver uma lista chamada Etapa Nº. Essa lista será exibida somente se houver vários domínios em sua floresta e cada domínio for representado por uma etapa. O nome de domínio pode ser encontrado sob o título Partição. No título Estatísticas de Sincronização, você pode encontrar mais informações sobre o número de alterações que foram processadas. Selecione os links para obter uma lista dos objetos alterados. Se houver objetos com erros, esses erros aparecerão no título Erros de Sincronização.
Erros na guia Operações
Quando há erros, o Gerenciador de Serviços de Sincronização mostra o objeto em erro e o próprio erro como links que fornecem mais informações.
do Gerenciador de Serviços de Sincronização
Comece selecionando a cadeia de caracteres de erro. (Na figura anterior, a cadeia de caracteres de erro é sync-rule-error-function-triggered.) Primeiro, você terá uma visão geral do objeto. Para ver o erro real, selecione Rastreamento de Pilha. Esse rastreamento fornece informações de nível de depuração sobre o erro.
Clique com o botão direito do mouse na caixa Informações da Pilha de Chamadas, selecione Selecionar Todos e selecione Copiar. Copie a pilha e examine o erro em seu editor favorito, como o Bloco de Notas.
Se o erro for de SyncRulesEngine, as informações da pilha de chamadas listarão primeiro todos os atributos no objeto. Role para baixo até ver o título InnerException =>.
A linha após o título mostra o erro. Na figura anterior, o erro é de uma regra de sincronização personalizada criada pela Fabrikam.
Se o erro não fornecer informações suficientes, é hora de examinar os dados em si. Selecione o link com o identificador de objeto e continue solucionando os problemas do objeto importado do espaço conector.
Propriedades do objeto do espaço conector
Se a guia Operações não mostrar erros, siga o objeto do espaço conector do Active Directory para o metaverso para o Microsoft Entra ID. Nesse caminho, você deve encontrar onde está o problema.
Pesquisando um objeto no CS
No Synchronization Service Manager, clique em Conectores, selecione o Active Directory Connector e, depois, Pesquisar Espaço Conector.
Na caixa Escopo, selecione RDN quando desejar pesquisar o atributo CN ou DN ou âncora quando desejar pesquisar o atributo distinguishedName. Insira um valor e selecione Pesquisar.
Se você não encontrar o objeto que está procurando, talvez ele tenha sido filtrado com a filtragem baseada em domínio ou a filtragem baseada em UO. Para verificar se a filtragem está configurada conforme o esperado, leia Microsoft Entra Connect Sync: Configurar a filtragem.
Você pode executar outra pesquisa útil selecionando o Microsoft Entra Connector. Na caixa Escopo, selecione Importação Pendente e, em seguida, marque a caixa de seleção Adicionar. Essa pesquisa fornece todos os objetos sincronizados na ID do Microsoft Entra que não podem ser associados a um objeto local.
Esses objetos foram criados por outro mecanismo de sincronização ou um mecanismo de sincronização com uma configuração de filtragem diferente. Esses objetos órfãos não são mais gerenciados. Examine esta lista e considere remover esses objetos usando os cmdlets do
Importação do CS
Quando você abre um objeto CS, há várias guias na parte superior. A guia Importação exibe os dados preparados após uma importação.
A coluna Antigo Valor mostra o que está armazenado atualmente no Connect. A coluna Novo Valor mostra o que é recebido do sistema de origem e ainda não foi aplicado. Se houver um erro no objeto, as alterações não serão processadas.
A guia Erro de Sincronização só estará visível na janela Propriedades de Objeto do Espaço Conector se houver um problema com o objeto. Para saber mais, veja como solucionar problemas de sincronização na guia Operações.
Linhagem CS
A guia Linhagem na janela Propriedades de Objeto do Espaço Conector mostra como o objeto do espaço conector está relacionado ao objeto do metaverso. Você pode ver quando o conector importou pela última vez uma alteração do sistema conectado e quais regras foram aplicadas para preencher os dados no metaverso.
Na figura anterior, a coluna Ação mostra uma regra de sincronização de entrada com a ação Provisionar. Isso indica que, desde que esse objeto do espaço do conector esteja presente, o objeto do metaverso permanece. Se, em vez disso, a lista de regras de sincronização mostrar uma regra de sincronização de saída com uma ação Provisionar, esse objeto será excluído quando o objeto do metaverso for excluído.
Na imagem anterior, é possível ver que na coluna PasswordSync o espaço conector de entrada pode contribuir com alterações na senha, uma vez que uma regra de sincronização tem o valor True. Essa senha é enviada ao Microsoft Entra ID por meio da regra de saída.
Na guia Linhagem, é possível acessar o metaverso clicando em Propriedades de Objeto do Metaverso.
Visualização
No canto inferior esquerdo da janela Propriedades de Objeto do Espaço Conector, veja o botão Visualização. Selecione esse botão para abrir a página Visualização, onde será possível sincronizar um único objeto. Esta página será útil se você estiver solucionando problemas de algumas regras de sincronização personalizadas e quiser ver o efeito de uma alteração em um único objeto. Você pode selecionar uma Sincronização completa ou uma Sincronização delta. Você também pode selecionar Gerar Visualização, que mantém apenas a alteração na memória. Ou selecionar Visualização de Confirmação, o que atualiza o metaverso e prepara todas as alterações para os espaços conectores de destino.
Na visualização, você pode inspecionar o objeto e ver qual regra se aplica a um fluxo de atributo específico.
Log
Ao lado do botão Visualização, selecione o botão Log para abrir a página Log. Aqui você pode ver o status e o histórico de sincronização de senha. Para obter mais informações, confira Solucionar problemas de sincronização de hash de senha com a sincronização do Microsoft Entra Connect.
Propriedades do objeto metaverso
É melhor começar a pesquisa no espaço conector de origem do Active Directory. Mas você também pode começar a pesquisar no metaverso.
Pesquisando um objeto no MV
No Synchronization Service Manager, selecione Pesquisa de Metaverso, como na imagem a seguir. Crie uma consulta que você sabe que localiza o usuário. Pesquise atributos comuns, como accountName (sAMAccountName) e userPrincipalName. Para saber mais, confira a Pesquisa de Metaverso no Sync Service Manager.
Na janela Resultados da Pesquisa, selecione o objeto.
Se você não encontrou o objeto, ele não atingiu o metaverso. Continue pesquisando o objeto no espaço conector do Active Directory. Se você encontrar o objeto no espaço do conector do Active Directory, poderá haver um erro de sincronização que está impedindo o objeto de chegar ao metaverso. Ou um filtro de escopo de regra de sincronização pode ser aplicado.
Objeto não encontrado no MV
Se o objeto estiver no CS do Active Directory, mas não estiver presente no MV, um filtro de escopo será aplicado. Para examinar o filtro de escopo, acesse o menu do aplicativo da área de trabalho e selecione Editor de Regras de Sincronização. Filtre as regras aplicáveis ao objeto ajustando o filtro abaixo.
Exiba cada regra na lista acima e verifique o filtro de escopo . No filtro de escopo a seguir, se o valor isCriticalSystemObject for nulo ou FALSE ou estiver vazio, ele estará no escopo.
Vá à lista de atributos de Importação do CS e verifique qual filtro está impedindo o objeto de ir para o MV. A lista de atributos do
Objeto não encontrado no Microsoft Entra CS
Se o objeto não estiver presente no espaço do conector do Microsoft Entra ID, mas estiver presente na MV, verifique o filtro de escopo das regras de saída do espaço do conector correspondente. Determine se o objeto é filtrado porque os atributos MV não atendem aos critérios.
Para examinar o filtro de escopo de saída, selecione as regras aplicáveis para o objeto ajustando o filtro a seguir. Exiba cada regra e veja o valor do atributo do MV correspondente.
Atributos do MV
Na guia Atributos, é possível ver os valores e qual Conector os forneceu.
Se um objeto não estiver sincronizando, faça as seguintes perguntas sobre os estados de atributo no metaverso:
- O atributo cloudFiltered está presente e está definido como True? Nesse caso, ele é filtrado conforme as etapas em filtragem baseada em atributo.
- O atributo sourceAnchor está presente? Caso contrário, você tem uma topologia de conta-floresta de recursos? Se um objeto for identificado como uma caixa de correio vinculada (o atributo msExchRecipientTypeDetails tiver o valor 2), o sourceAnchor será contribuido pela floresta com uma conta habilitada do Active Directory. Verifique se a conta mestra está importada e sincronizada corretamente. A conta mestra deve ser listada entre os conectores do objeto.
Conectores MV
A guia Conectores mostra todos os espaços conectores que contêm uma declaração do objeto.
É necessário ter um conector para:
- Cada floresta do Active Directory em que o usuário está representado. Essa declaração pode incluir os objetos foreignSecurityPrincipals e Contact.
- Um conector do Microsoft Entra ID.
Se você não tiver o conector do Microsoft Entra ID, confira a seção Atributos do MV para verificar os critérios de provisionamento no Microsoft Entra ID.
Na guia Conectores, também é possível acessar o objeto do espaço conector. Selecione uma linha e selecione Propriedades.
Próximas etapas
- Saiba mais sobre o Microsoft Entra Connect Sync.
- Saiba mais sobre identidade híbrida .