Solucionar problemas de erros de sincronização

Concluído

Podem ocorrer erros quando os dados de identidade são sincronizados do Active Directory do Windows Server (AD DS) para o Microsoft Entra ID. Esta seção fornece uma visão geral dos diferentes tipos de erros de sincronização, alguns dos possíveis cenários que causam esses erros e possíveis maneiras de corrigir os erros. Este artigo inclui os tipos de erro comuns e talvez não abranja todos os erros possíveis.

Com a versão mais recente do Microsoft Entra Connect, um relatório de erros de sincronização está disponível no portal do Azure como parte do Microsoft Entra Connect Health para sincronização.

O Microsoft Entra Connect realiza três tipos de operações dos diretórios que mantém em sincronia: Importação, Sincronização e Exportação. Erros podem ocorrer em todas as operações. Esta seção foca principalmente nos erros durante a exportação para o Microsoft Entra ID.

Erros durante a exportação para Microsoft Entra ID

A seção a seguir descreve diferentes tipos de erros de sincronização que podem ocorrer durante a operação de exportação para o Microsoft Entra ID usando o conector do Microsoft Entra. Esse conector pode ser identificado pelo formato de nome contoso.onmicrosoft.com. Erros durante a exportação para o Microsoft Entra ID indicam que a operação (adicionar, atualizar, excluir etc.) tentada pelo Microsoft Entra Connect (Mecanismo de Sincronização) no diretório do Microsoft Entra falhou.

Erros de incompatibilidade de dados

InvalidSoftMatch

Descrição

• Quando o Microsoft Entra Connect (mecanismo de sincronização) instrui o diretório a adicionar ou atualizar objetos, o Microsoft Entra ID faz a correspondência do objeto de entrada usando o atributo sourceAnchor com o atributo immutableId dos objetos no Microsoft Entra ID. Essa correspondência é chamada de Correspondência Rígida.
• Quando o Microsoft Entra ID não encontrar nenhum objeto que corresponda ao atributo immutableId com o atributo sourceAnchor do objeto de entrada, antes de provisionar um novo objeto, ele voltará a utilizar os atributos ProxyAddresses e UserPrincipalName para encontrar uma correspondência. Essa correspondência é chamada de Correspondência Flexível. O Soft Match foi projetado para fazer a correspondência entre os objetos já presentes no Microsoft Entra ID e os novos objetos que estão sendo adicionados/atualizados durante a sincronização e que representam a mesma entidade (usuários, grupos) localmente.
• O erro InvalidSoftMatch ocorre quando a correspondência rígida não encontra nenhum objeto correspondente E a correspondência flexível localiza um objeto correspondente, mas esse objeto tem um valor de immutableId diferente daquele no atributo SourceAnchor do objeto de entrada, sugerindo que o objeto correspondente foi sincronizado com outro objeto do Active Directory local.

Em outras palavras, para a correspondência flexível trabalhar, o objeto com o qual a correspondência flexível deve ser realizada não deve ter nenhum valor para o atributo immutableId. Se qualquer objeto com immutableId definido com um valor estiver falhando na correspondência rígida mas satisfazendo os critérios de correspondência flexível, a operação resultará em um erro de sincronização de InvalidSoftMatch.

O esquema de diretório do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor dos seguintes atributos. (Esta não é uma lista completa.)

• ProxyAddresses
• UserPrincipalName
• onPremisesSecurityIdentifier
• ObjectId

O recurso Resiliência de Atributo Duplicado do Microsoft Entra Attribute também está sendo distribuído como o comportamento padrão no Microsoft Entra ID. Isso reduzirá o número de erros de sincronização vistos pelo Microsoft Entra Connect (bem como por outros clientes de sincronização), tornando o Microsoft Entra ID mais resiliente na forma como trata os atributos ProxyAddresses e UserPrincipalName duplicados presentes em ambientes AD locais. Este recurso não corrige os erros de duplicação. Assim, os dados ainda precisam ser corrigidos. Mas permite o provisionamento de novos objetos que, de outra forma, estariam impedidos de serem provisionados devido a valores duplicados no Microsoft Entra ID. Isso também reduzirá o número de erros de sincronização retornados ao cliente de sincronização. Se esse recurso estiver habilitado para seu locatário, você não verá os erros de sincronização InvalidSoftMatch vistos durante o provisionamento de novos objetos.

Cenários de exemplo para InvalidSoftMatch

• Dois ou mais objetos com o mesmo valor do atributo ProxyAddresses existem no Active Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
• Dois ou mais objetos com o mesmo valor do atributo userPrincipalName existem no Active Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
• Um objeto foi adicionado no Active Directory local com o mesmo valor do atributo ProxyAddresses que o de um objeto existente no diretório do Microsoft Entra. O objeto adicionado no local não está sendo provisionado no diretório do Microsoft Entra.
• Um objeto foi adicionado no Active Directory local com o mesmo valor do atributo userPrincipalName como o de uma conta no Microsoft Entra ID. O objeto não está sendo provisionado no Microsoft Entra ID.
• Uma conta sincronizada foi movida da Floresta A para a Floresta B. O Microsoft Entra Connect (mecanismo de sincronização) estava usando o atributo ObjectGUID para computação do SourceAnchor. Após a mudança de floresta, o valor de SourceAnchor é diferente. O novo objeto (da Floresta B) está falhando ao sincronizar com o objeto existente no Microsoft Entra ID.
• Um objeto sincronizado foi acidentalmente excluído do Active Directory local e um novo objeto foi criado no Active Directory para a mesma entidade (como um usuário) sem excluir a conta do Microsoft Entra ID. A nova conta falha em sincronizar com o objeto existente do Microsoft Entra.
• O Microsoft Entra Connect foi desinstalado e reinstalado. Durante a reinstalação, um atributo diferente foi escolhido como o SourceAnchor. Todos os objetos que tinham sido sincronizados anteriormente interromperam a sincronização com o erro InvalidSoftMatch.

Caso de exemplo:

1. Bob Smith é um usuário sincronizado no Microsoft Entra ID do Active Directory local de contoso.com

2. O UserPrincipalName de Bob Smith está definido como bobs@contoso.com.

3. "abcdefghijklmnopqrstuv==" é o SourceAnchor calculado pelo Microsoft Entra Connect usando o objectGUID do Bob Smith do Active Directory local, que é o immutableId do Bob Smith no Microsoft Entra ID.

4. Bob também tem os seguintes valores para o atributo proxyAddresses:

   • smtp: bobs@contoso.com
   • smtp: bob.smith@contoso.com
   • smtp: bob@contoso.com

5. Um novo usuário, Bob Taylor, é adicionado ao Active Directory local.

6. O UserPrincipalName de Bob Taylor é definido como bobt@contoso.com.

7. "abcdefghijkl0123456789=="" é o sourceAnchor calculado pelo Microsoft Entra Connect usando o objectGUID de Bob Taylor do Active Directory local. O objeto de Bob Taylor ainda NÃO foi sincronizado com o Microsoft Entra ID.

8. Bob Taylor tem os valores a seguir para o atributo proxyAddresses

   • smtp: bobt@contoso.com
   • smtp: bob.taylor@contoso.com
   • smtp: bob@contoso.com

9. Durante a sincronização, o Microsoft Entra Connect reconhecerá a adição de Bob Taylor no Active Directory local e solicitará que o Microsoft Entra ID faça a mesma alteração.

10. O Microsoft Entra ID executará primeiro a correspondência física. Ou seja, ele pesquisará se há qualquer objeto com a immutableId igual a "abcdefghijkl0123456789==". O Hard Match falhou, pois nenhum outro objeto no Microsoft Entra ID terá essa immutableId.

11. O Microsoft Entra ID então tentará fazer uma correspondência flexível com Bob Taylor. Ou seja, ele pesquisará se há algum objeto com proxyAddresses igual aos três valores, inclusive smtp: bob@contoso.com

12. O Microsoft Entra ID encontrará o objeto de Bob Smith para corresponder aos critérios de correspondência flexível. No entanto, esse objeto tem o valor de immutableId = "abcdefghijklmnopqrstuv==". Isso indica que esse objeto foi sincronizado de outro objeto do Active Directory local. Portanto, o Microsoft Entra ID não pode fazer a correspondência flexível desses objetos e resulta em um erro de sincronização InvalidSoftMatch.

Como corrigir o erro InvalidSoftMatch

O motivo mais comum para o erro InvalidSoftMatch é quando dois objetos com diferentes SourceAnchor (immutableId) possuem o mesmo valor para os atributos ProxyAddresses e/ou UserPrincipalName, que são utilizados durante o processo de correspondência flexível no Microsoft Entra ID. Para corrigir a Correspondência Flexível Inválida

1. Identifique o valor duplicado de proxyAddresses, userPrincipalName ou outro o atributo que está causando o erro. Identifique também quais são os dois (ou mais) objetos que estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
2. Identifique qual objeto deve continuar a ter o valor duplicado e qual não deve.
3. Remova o valor duplicado do objeto que NÃO deve ter esse valor. Você deve fazer a alteração no diretório do qual o objeto foi originado. Em alguns casos, talvez seja necessário excluir um dos objetos em conflito.
4. Se você fez a alteração no AD local, deixe que o Microsoft Entra Connect sincronize a alteração.

O Relatório de erros de sincronização no Microsoft Entra Connect Health para a sincronização é atualizado a cada 30 minutos e inclui os erros da tentativa de sincronização mais recente.

Observação

ImmutableId, por definição, não deve ser alterada durante o tempo de vida do objeto. Se o Microsoft Entra Connect não foi configurado tendo em mente alguns dos cenários da lista acima, você pode acabar em uma situação em que o Microsoft Entra Connect calcula um valor diferente do SourceAnchor para o objeto do AD que representa a mesma entidade (mesmo usuário/grupo/contato etc.) que tem um objeto Microsoft Entra existente que você deseja continuar utilizando.

ObjectTypeMismatch

Descrição

Quando o Microsoft Entra ID tenta fazer uma correspondência flexível entre dois objetos, é possível que dois objetos de "tipo de objeto" diferente (como Usuário, Grupo, Contato etc.) tenham os mesmos valores para os atributos utilizados para realizar a correspondência flexível. Como a duplicação desses atributos não é permitida no Microsoft Entra, a operação pode resultar em um erro de sincronização "ObjectTypeMismatch".

Cenários de exemplo para o erro ObjectTypeMismatch

• Um grupo de segurança habilitado para email é criado no Microsoft 365. O administrador adiciona um novo usuário ou contato no AD local (que ainda não está sincronizado com o Microsoft Entra ID) com o mesmo valor para o atributo ProxyAddresses que o do grupo do Microsoft 365.

Caso de exemplo

1. O administrador cria um novo grupo de segurança habilitado para email no Microsoft 365 para o departamento fiscal e fornece um endereço de email como tax@contoso.com. Esse grupo recebe o valor do atributo ProxyAddresses de smtp: tax@contoso.com
2. Um novo usuário ingressa em Contoso.com e uma conta é criada para o usuário local com proxyAddress como smtp: tax@contoso.com
3. Quando o Microsoft Entra Connect for sincronizar a nova conta de usuário, ele receberá o erro "ObjectTypeMismatch".

Como corrigir o erro ObjectTypeMismatch

O motivo mais comum para o erro ObjectTypeMismatch é que dois objetos de tipo diferente (usuário, grupo, contatos, etc.) tenham o mesmo valor para o atributo ProxyAddresses. Para corrigir o ObjectTypeMismatch:

1. Identifique o valor duplicado de proxyAddresses (ou outro atributo) que está causando o erro. Identifique também quais são os dois (ou mais) objetos que estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
2. Identifique qual objeto deve continuar a ter o valor duplicado e qual não deve.
3. Remova o valor duplicado do objeto que NÃO deve ter esse valor. Você deve fazer a alteração no diretório do qual o objeto foi originado. Em alguns casos, talvez seja necessário excluir um dos objetos em conflito.
4. Se você fez a alteração no AD local, deixe que o Microsoft Entra Connect sincronize a alteração. O relatório de erros de sincronização no Microsoft Entra Connect Health para sincronização é atualizado a cada 30 minutos e inclui os erros da última tentativa de sincronização.

Atributos duplicados

AttributeValueMustBeUnique

Descrição

O esquema do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor dos seguintes atributos. Ou seja, cada objeto no Microsoft Entra ID é forçado a ter um valor exclusivo desses atributos em uma determinada instância.

• ProxyAddresses
• UserPrincipalName

Se o Microsoft Entra Connect tentar adicionar um novo objeto ou atualizar um objeto existente com um valor para os atributos acima que já esteja atribuído a outro objeto no Microsoft Entra ID, a operação resultará no erro de sincronização "AttributeValueMustBeUnique".

Cenários possíveis:

Um valor duplicado é atribuído a um objeto já sincronizado, que está em conflito com outro objeto sincronizado.

Caso de exemplo:

1. Bob Smith é um usuário sincronizado no Microsoft Entra ID do Active Directory local da contoso.com

2. O UserPrincipalName local de Bob Smith está definido como bobs@contoso.com.

3. Bob também tem os seguintes valores para o atributo proxyAddresses:

   • smtp: bobs@contoso.com
   • smtp: bob.smith@contoso.com
   • smtp: bob@contoso.com

4. Um novo usuário, Bob Taylor, é adicionado ao Active Directory local.

5. O UserPrincipalName de Bob Taylor é definido como bobt@contoso.com.

6. Bob Taylor tem os valores a seguir para o atributo i ProxyAddresses attribute i. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com

7. O objeto de Bob Taylor foi sincronizado com o Microsoft Entra ID com êxito.

8. O administrador decidiu atualizar o atributo ProxyAddresses de Bob Taylor com o seguinte valor: i. smtp: bob@contoso.com

9. O Microsoft Entra ID tentará atualizar o objeto de Bob Taylor no Microsoft Entra ID com o valor acima, mas essa operação falhou, pois o valor de ProxyAddresses já está atribuído a Bob Smith, resultando no erro "AttributeValueMustBeUnique".

Como corrigir o erro AttributeValueMustBeUnique

O motivo mais comum para o erro AttributeValueMustBeUnique é dois objetos com SourceAnchor (immutableId) diferentes terem o mesmo valor para os atributos ProxyAddresses e/ou UserPrincipalName. Para corrigir o erro AttributeValueMustBeUnique

1. Identifique o valor duplicado de proxyAddresses, userPrincipalName ou outro o atributo que está causando o erro. Identifique também quais são os dois (ou mais) objetos que estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
2. Identifique qual objeto deve continuar a ter o valor duplicado e qual não deve.
3. Remova o valor duplicado do objeto que NÃO deve ter esse valor. Você deve fazer a alteração no diretório do qual o objeto foi originado. Em alguns casos, talvez seja necessário excluir um dos objetos em conflito.
4. Se você fez a alteração no AD local, permita que o Microsoft Entra Connect sincronize a alteração para que o erro seja corrigido.

Falha na validação de dados

IdentityDataValidationFailed

Descrição

O Microsoft Entra ID impõe várias restrições nos dados antes de permitir que dados sejam gravados no diretório. Essas restrições têm a finalidade de garantir que os usuários finais tenham as melhores experiências possíveis ao usar os aplicativos que dependem desses dados.

Cenários

O valor do atributo UserPrincipalName tem caracteres inválidos ou sem suporte. b. O atributo UserPrincipalName não segue o formato necessário.

Como corrigir o erro IdentityDataValidationFailed

Certifique-se de que o atributo userPrincipalName tem caracteres com suporte e o formato necessário.

FederatedDomainChangeError

Descrição

Esse caso resulta em um erro de sincronização "FederatedDomainChangeError" quando o sufixo UserPrincipalName de um usuário é alterado de um domínio federado para outro.

Cenários

Para um usuário sincronizado, o sufixo UserPrincipalName foi alterado de um domínio federado para outro domínio federado local. Por exemplo, UserPrincipalName = bob@contoso.com foi alterado para UserPrincipalName = bob@fabrikam.com.

Exemplo

1. Bob Smith, uma conta para Contoso.com, é adicionado como um novo usuário no Active Directory com o UserPrincipalName bob@contoso.com
2. O bob se move para uma divisão diferente de Contoso.com chamada Fabrikam.com e seu UserPrincipalName é alterado para bob@fabrikam.com
3. Os domínios contoso.com e fabrikam.com são domínios federados com o Microsoft Entra ID.
4. O userPrincipalName de Bob não é atualizado e resulta em um erro de sincronização "FederatedDomainChangeError".

LargeObject

Descrição

Quando um atributo excede o limite de tamanho permitido, o limite de comprimento ou o limite de contagem definido pelo esquema do Microsoft Entra, a operação de sincronização resulta no erro de sincronização LargeObject ou ExceededAllowedLength. Geralmente este erro ocorre para os atributos seguir

• userCertificate
• userSMIMECertificate
• thumbnailPhoto
• proxyAddresses

Cenários possíveis

1. O atributo userCertificate de Bob está armazenando certificados em excesso atribuídos a Bob. Eles podem incluir certificados mais antigos e expirados. O limite rígido é de 15 certificados.
2. O atributo userSMIMECertificate de Bob está armazenando certificados em excesso atribuídos a Bob. Eles podem incluir certificados mais antigos e expirados. O limite rígido é de 15 certificados.
3. A thumbnailPhoto de Bob definida no Active Directory é muito grande para ser sincronizada no Microsoft Entra ID.
4. Durante a população automática do atributo ProxyAddresses no Active Directory, um objeto tem muitos ProxyAddresses atribuídos.

Como corrigir

Certifique-se de que o atributo que está causando o erro esteja dentro do limite permitido.

Conflito de função de administrador

Descrição

Uma Conflito de função de administrador existente ocorrerá em um objeto do usuário durante a sincronização quando esse objeto de usuário tiver:

• permissões administrativas e
• o mesmo UserPrincipalName de um objeto do Microsoft Entra existente

Não é permitido que o Microsoft Entra Connect faça a correspondência flexível de um objeto de usuário do AD local com um objeto de usuário no Microsoft Entra ID que tenha uma função administrativa atribuída a ele.

Como corrigir

Para resolver esse problema, faça o seguinte:

1. Remova a conta do Microsoft Entra (proprietário) de todas as funções de administrador.
2. Exclua o objeto em quarentena na nuvem.
3. O próximo ciclo de sincronização cuidará da correspondência flexível do usuário local para a conta de nuvem (já que o usuário da nuvem agora não é mais uma GA global).
4. Restaure as associações de função para o proprietário.

Observação

Você pode atribuir a função administrativa ao objeto de usuário existente novamente após a conclusão da correspondência flexível entre o objeto de usuário local e o objeto de usuário do Microsoft Entra.