Solução de problemas de objetos e atributos do Microsoft Entra Connect de ponta a ponta

Este artigo destina-se a estabelecer uma prática comum de como solucionar problemas de sincronização na ID do Microsoft Entra. Esse método se aplica a situações em que um objeto ou atributo não é sincronizado com o Azure Active AD e não exibe nenhum erro no mecanismo de sincronização, nos logs do visualizador de aplicativos ou nos logs do Microsoft Entra. É fácil se perder nos detalhes se não houver um erro óbvio. No entanto, usando as práticas recomendadas, você pode isolar o problema e fornecer insights para os engenheiros de Suporte da Microsoft.

Ao aplicar esse método de solução de problemas ao seu ambiente, ao longo do tempo, você poderá executar as seguintes etapas:

• Solucione problemas da lógica do mecanismo de sincronização de ponta a ponta.
• Resolva problemas de sincronização com mais eficiência.
• Identifique problemas mais rapidamente, prevendo a etapa em que eles ocorrerão.
• Identifique o ponto de partida para revisar os dados.
• Determine a resolução ideal.

As etapas fornecidas aqui começam no nível local do Active Directory e progridem em direção à ID do Microsoft Entra. Essas etapas são a direção mais comum de sincronização. No entanto, os mesmos princípios se aplicam à direção inversa (por exemplo, para write-back de atributo).

Pré-requisitos

Para entender melhor este artigo, primeiro leia os seguintes artigos de pré-requisito para entender melhor como pesquisar um objeto em diferentes fontes (AD, AD CS, MV e assim por diante) e entender como verificar os conectores e a linhagem de um objeto.

• Microsoft Entra Connect: contas e permissões
• Solucionar problemas de um objeto que não está sincronizando com a ID do Microsoft Entra
• Solucionar problemas de sincronização de objetos com o Microsoft Entra Connect Sync

Práticas de solução de problemas ruins

O sinalizador DirSyncEnabled na ID do Microsoft Entra controla se o locatário está preparado para aceitar a sincronização de objetos do AD local. Vimos muitos clientes adquirirem o hábito de desabilitar o DirSync no locatário enquanto solucionam problemas de sincronização de objetos ou atributos. É fácil desativar a sincronização de diretório executando o seguinte cmdlet do PowerShell:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

No entanto, isso pode ser catastrófico porque dispara uma operação de back-end complexa e demorada para transferir SoA do Active Directory local para o Microsoft Entra ID/Exchange Online para todos os objetos sincronizados no locatário. Essa operação é necessária para converter cada objeto de DirSyncEnabled em somente nuvem e limpar todas as propriedades de sombra sincronizadas do AD local (por exemplo, ShadowUserPrincipalName e ShadowProxyAddresses). Dependendo do tamanho do locatário, essa operação pode levar mais de 72 horas. Além disso, não é possível prever quando a operação terminará. Nunca use esse método para solucionar um problema de sincronização, pois isso causará danos adicionais e não corrigirá o problema. Você será impedido de habilitar o DirSync novamente até que essa operação de desabilitação seja concluída. Além disso, depois de reabilitar o DirSync, o AADC deve corresponder novamente todos os objetos locais com os objetos existentes do Microsoft Entra. Esse processo pode ser perturbador.

Os únicos cenários em que esse comando tem suporte para desabilitar o DirSync são os seguintes:

• Você está desativando seu servidor de sincronização local e deseja continuar gerenciando suas identidades inteiramente da nuvem em vez de identidades híbridas.
• Você tem alguns objetos sincronizados no locatário que deseja manter como somente nuvem na ID do Microsoft Entra e remover do AD local permanentemente.
• No momento, você está usando um atributo personalizado como SourceAnchor no AADC (por exemplo, employeeId) e está reinstalando o AADC para começar a usar ms-Ds-Consistency-Guid/ObjectGuid como o novo atributo SourceAnchor (ou vice-versa).
• Você tem alguns cenários que envolvem estratégias arriscadas de migração de caixa de correio e locatário.

Em algumas situações, talvez seja necessário interromper temporariamente a sincronização ou controlar manualmente os ciclos de sincronização do AADC. Por exemplo, talvez seja necessário interromper a sincronização para poder executar uma etapa de sincronização por vez. No entanto, em vez de desabilitar o DirSync, você pode interromper apenas o agendador de sincronização executando o seguinte cmdlet:

Set-ADSyncScheduler -SyncCycleEnabled $false

E quando estiver pronto, inicie manualmente um ciclo de sincronização executando o seguinte cmdlet:

Start-ADSyncSyncCycle

Glossário

Acrónimo/abreviatura	Nome/descrição
AADC	Microsoft Entra Connect
AADCA	Conta do conector do Microsoft Entra
AADCS	Espaço do conector do Microsoft Entra
AADCS:AttributeA	Atributo 'A' no espaço do conector do Microsoft Entra
ACLs	Listas de controle de acesso (também conhecidas como permissões ADD)
ADCA	Conta do AD Connector
ADCS	Espaço do Conector para Active Directory Domain Services
ADCS:AttributeA	Atributo 'A' no espaço do conector do Active Directory
ADICIONA ou ANÚNCIO	Active Directory Domain Services
CS	Espaço do conector
MV	Metaverso
Conta MSOL	Conta do Conector do AD gerada automaticamente (MSOL_##########)
MV:AttributeA	Atributo 'A' no objeto Metaverse
SoA	Fonte de autoridade

Etapa 1: Sincronização entre ADDS e ADCS

Objetivo da Etapa 1

Determine se o objeto ou atributo está presente e consistente no ADCS. Se você conseguir localizar o objeto no ADCS e todos os atributos tiverem os valores esperados, vá para a Etapa 2.

Descrição para Etapa 1

A sincronização entre ADDS e ADCS ocorre na etapa de importação e é o momento em que o AADC lê do diretório de origem e armazena dados no banco de dados. Ou seja, quando os dados são preparados no espaço do conector. Durante uma importação delta do AD, o AADC solicita todas as novas alterações que ocorreram após uma determinada marca d'água de diretório. Essa chamada é iniciada pelo AADC usando o Controle DirSync dos Serviços de Diretório no Serviço de Replicação do Active Directory. Esta etapa fornece a última marca d'água como a última importação bem-sucedida do AD e fornece ao AD a referência pontual de quando todas as alterações (delta) devem ser recuperadas. Uma importação completa é diferente porque o AADC importará do AD todos os dados (no escopo de sincronização) e, em seguida, marcará como obsoletos (e excluirá) todos os objetos que ainda estão no ADCS, mas não foram importados do AD. Todos os dados entre o AD e o AADC são transferidos por meio do LDAP e são criptografados por padrão.

Se a conexão com o AD for bem-sucedida, mas o objeto ou atributo não estiver presente no ADCS (supondo que o domínio ou objeto esteja no escopo de sincronização), o problema provavelmente envolverá permissões ADS. O ADCA requer apenas permissões de leitura mínimas no objeto no AD para importar dados para o ADCS. Por padrão, a conta MSOL tem permissões explícitas de leitura/gravação para todas as propriedades de usuário, grupo e computador. No entanto, essa situação ainda pode ser problemática se as seguintes condições forem verdadeiras:

• O AADC usa um ADCA personalizado, mas não recebeu permissões suficientes no AD.
• Uma UO pai bloqueou a herança, o que impede a propagação de permissões da raiz do domínio.
• O próprio objeto ou atributo bloqueou a herança, o que impede a propagação de permissões.
• O objeto ou atributo tem uma permissão explícita Deny que impede a ADCA de lê-lo.

Solução de problemas do Active Directory

Conectividade com o AD

No Synchronization Service Manager, a etapa "Importar do AD" mostra qual controlador de domínio é contatado em Status da Conexão. Você provavelmente verá um erro aqui quando houver um problema de conectividade que afete o AD.

Se você precisar solucionar problemas de conectividade do AD, especialmente se nenhum erro surgir no servidor Microsoft Entra Connect ou se você ainda estiver no processo de instalação do produto, comece usando o ADConnectivityTool.

Os problemas de conexão com o ADDS têm as seguintes causas:

• Credenciais do AD inválidas. Por exemplo, o ADCA expirou ou a senha foi alterada.
• Um erro de "falha na pesquisa", que ocorre quando o DirSync Control não se comunica com o Serviço de Replicação do AD, normalmente devido à fragmentação de pacotes de alta rede.
• Um erro "no-start-ma", que ocorre quando há problemas de resolução de nomes (DNS) no AD.
• Outros problemas que podem ser causados por problemas de resolução de nomes, problemas de roteamento de rede, portas de rede bloqueadas, alta fragmentação de pacotes de rede, nenhum DCs gravável disponível e assim por diante. Nesses casos, você provavelmente terá que envolver os Serviços de Diretório ou as equipes de suporte de rede para ajudar a solucionar problemas.

Resumo da solução de problemas

• Identifique qual controlador de domínio é usado.
• Use controladores de domínio preferenciais para direcionar o mesmo controlador de domínio.
• Identifique corretamente o ADCA.
• Use o ADConnectivityTool para identificar o problema.
• Use a ferramenta LDP para tentar vincular o controlador de domínio com o ADCA.
• Entre em contato com os Serviços de Diretório ou com uma equipe de suporte de rede para ajudá-lo a solucionar problemas.

Executar a solução de problemas de sincronização

Depois de solucionar problemas de conectividade do AD, execute a ferramenta Solucionar Problemas de Sincronização de Objetos , pois ela por si só pode detectar os motivos mais óbvios para um objeto ou atributo não sincronizar.

Permissões do AD

A falta de permissões do AD pode afetar ambas as direções da sincronização:

• Quando você importa de ADDS para ADCS, a falta de permissões pode fazer com que o AADC ignore objetos ou atributos para que o AADC não possa obter atualizações de ADDS no fluxo de importação. Esse erro ocorre porque o ADCA não tem permissões suficientes para ler o objeto.
• Quando você exporta do ADCS para o ADDS, a falta de permissões gera um erro de exportação de "problema de permissão".

Para verificar as permissões, abra a janela Propriedades de um objeto do AD, selecione Segurança>Avançada e examine as ACLs de permissão/negação do objeto selecionando o botão Desabilitar Herança (se a herança estiver habilitada). Você pode classificar o conteúdo da coluna por Tipo para localizar todas as permissões de "negação". As permissões do AD podem variar muito. No entanto, por padrão, você pode ver apenas uma "Negar ACL" para "Subsistema confiável do Exchange". A maioria das permissões será marcada como Permitir.

As seguintes permissões padrão são as mais relevantes:

• Usuários Autenticados

  

• Todos

  

• Conta ADCA ou MSOL personalizada

  

• Acesso compatível com versões anteriores ao Windows 2000

  

• SELF

  

A melhor maneira de solucionar problemas de permissões é usar o recurso "Acesso efetivo" no console Usuários e computadores do AD. Esse recurso verifica as permissões efetivas para uma determinada conta (a ADCA) no objeto ou atributo de destino que você deseja solucionar.

Importante

A solução de problemas de permissões do AD pode ser complicada porque uma alteração nas ACLs não entra em vigor imediatamente. Sempre considere que essas alterações estão sujeitas à replicação do AD.

Por exemplo:

• Verifique se você está fazendo as alterações necessárias diretamente no controlador de domínio mais próximo (consulte a seção "Conectividade com o AD"):
• Aguarde até que as replicações ADDS ocorram.
• Se possível, reinicie o serviço ADSync para limpar o cache.

Resumo da solução de problemas

• Identifique qual controlador de domínio é usado.
• Use controladores de domínio preferenciais para direcionar o mesmo controlador de domínio.
• Identifique corretamente o ADCA.
• Use a ferramenta Configurar Permissões de Conta do Conector do AD DS.
• Use o recurso "Acesso efetivo" em usuários e computadores do AD.
• Use a ferramenta LDP para vincular ao controlador de domínio que tem o ADCA e tente ler o objeto ou atributo com falha.
• Adicione temporariamente o ADCA aos administradores corporativos ou administradores de domínio e reinicie o serviço ADSync.

Importante: Não use isso como solução.

• Depois de verificar o problema de permissões, remova o ADCA de todos os grupos altamente privilegiados e forneça as permissões necessárias do AD diretamente ao ADCA.
• Envolva os Serviços de Diretório ou uma equipe de suporte de rede para ajudá-lo a solucionar a situação.

Replicações do AD

É menos provável que esse problema afete o Microsoft Entra Connect porque causa problemas maiores. No entanto, quando o Microsoft Entra Connect estiver importando dados de um controlador de domínio usando a replicação atrasada, ele não importará as informações mais recentes do AD, o que causa problemas de sincronização nos quais um objeto ou atributo que foi criado ou alterado recentemente no AD não é sincronizado com a ID do Microsoft Entra porque não foi replicado para o controlador de domínio que o Microsoft Entra Connect está contatando. Para verificar se esse é o problema, verifique o controlador de domínio que o AADC usa para importação (consulte "Conectividade com o AD") e use o console Usuários e Computadores do AD para se conectar diretamente a esse servidor (consulte Alterar Controlador de Domínio na próxima imagem). Em seguida, verifique se os dados neste servidor correspondem aos dados mais recentes e se são consistentes com os respectivos dados do ADCS. Nesse estágio, o AADC gerará uma carga maior no controlador de domínio e na camada de rede.

Outra abordagem é usar a ferramenta RepAdmin para verificar os metadados de replicação do objeto em todos os controladores de domínio, obter o valor de todos os controladores de domínio e verificar o status de replicação entre os controladores de domínio:

• Valor do atributo de todos os controladores de domínio:

  repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

  

• Metadados de objeto de todos os DCs:

  repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

  

• Resumo da replicação do AD

  repadmin /replsummary

  

Resumo da solução de problemas

• Identifique qual controlador de domínio é usado.
• Compare dados entre controladores de domínio.
• Analise os resultados do RepAdmin.
• Entre em contato com os Serviços de Diretório ou com a equipe de suporte de rede para ajudar a solucionar o problema.

Alterações de domínio e UO e tipos de objeto ou atributos filtrados ou excluídos no conector ADDS

• Alterar a filtragem de domínio ou UO requer uma importação completa

  Lembre-se de que, mesmo que a filtragem de domínio ou UO seja confirmada, todas as alterações na filtragem de domínio ou UO entrarão em vigor somente após a execução de uma etapa de importação completa.

• Filtragem de atributos com o aplicativo Microsoft Entra e filtragem de atributos

  Um cenário fácil de perder para atributos que não estão sincronizando é quando o Microsoft Entra Connect é configurado com o aplicativo Microsoft Entra e o recurso de filtragem de atributos. Para verificar se o recurso está habilitado e para quais atributos, faça um Relatório de Diagnóstico Geral.

• Tipo de objeto excluído na configuração do conector ADDS

  Essa situação não ocorre com tanta frequência para usuários e grupos. No entanto, se todos os objetos de um tipo de objeto específico estiverem ausentes no ADCS, pode ser útil examinar quais tipos de objeto estão ativados na configuração do conector ADS.

  Você pode usar o cmdlet Get-ADSyncConnector para recuperar os tipos de objeto habilitados no Conector, conforme mostrado na imagem a seguir. A seguir estão os tipos de objeto que devem ser ativados por padrão:

  (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

  A seguir estão os tipos de objeto que devem ser ativados por padrão:

  

  Observação

  O tipo de objeto publicFolder está presente somente quando o recurso Pasta Pública Habilitada para Email está habilitado.

• Atributo excluído no ADCS

  Da mesma forma, se o atributo estiver ausente para todos os objetos, verifique se o atributo está selecionado no AD Connector.

  Para verificar se há atributos habilitados no Conector ADS, use o Gerenciador de Sincronização, conforme mostrado na próxima imagem, ou execute o seguinte cmdlet do PowerShell:

  (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

  

  Observação

  Não há suporte para incluir ou excluir tipos de objetos ou atributos no Synchronization Service Manager.

Resumo da solução de problemas

• Verifique o aplicativo Microsoft Entra e o recurso de filtragem de atributos
• Verifique se o tipo de objeto está incluído no ADCS.
• Verifique se o atributo está incluído no ADCS.
• Execute uma importação completa.

Recursos para a Etapa 1

Principais recursos:

• Get-ADSyncConnectorAccount – Identificar a conta correta do Connector usada pelo AADC

• Ferramenta ADConnectivity

• Identificar problemas de conectividade com o ADDS

• Trace-ADSyncToolsADImport (ADSyncTools) - Dados de rastreamento sendo importados do ADDS

• LDIFDE - Objeto de despejo do ADDS para comparar dados entre ADDS e ADCS

• LDP - Teste a conectividade e as permissões do AD Bind para ler o objeto no contexto de segurança do ADCA

• DSACLS - Comparar e avaliar permissões ADDS

• Permissões de recursos >Set-ADSync< - Aplicar permissões AADC padrão no ADDS

• RepAdmin - Verifique os metadados do objeto do AD e o status de replicação do AD

Etapa 2: Sincronização entre ADCS e MV

Objetivo da Etapa 2

Esta etapa verifica se o objeto ou atributo flui de CS para MV (em outras palavras, se o objeto ou atributo é projetado para o MV). Nesse estágio, verifique se o objeto está presente ou se o atributo está correto no ADCS (abordado na Etapa 1) e, em seguida, comece a examinar as regras de sincronização e a linhagem do objeto.

Descrição para Etapa 2

A sincronização entre ADCS e MV ocorre na etapa de sincronização delta/completa. Neste ponto, o AADC lê os dados preparados no ADCS, processa todas as regras de sincronização e atualiza o respectivo objeto MV. Esse objeto MV conterá links CS (ou conectores) apontando para os objetos CS que contribuem para suas propriedades e a linhagem de regras de sincronização que foram aplicadas na etapa de sincronização. Durante esse estágio, o AADC gera mais carga no SQL Server (ou LocalDB) e nas camadas de rede.

Solução de problemas de MV do ADCS > para objetos

• Verificar as regras de sincronização de entrada para provisionamento

  Um objeto que está presente no ADCS, mas ausente no MV, indica que não havia filtros de escopo em nenhuma das regras de sincronização de provisionamento aplicadas a esse objeto. Portanto, o objeto não foi projetado para MV. Esse problema pode ocorrer se houver regras de sincronização desativadas ou personalizadas.

  Para obter uma lista de regras de sincronização de provisionamento de entrada, execute o seguinte comando:

  Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

  

• Verifique a linhagem do objeto ADCS

  Você pode recuperar o objeto com falha do ADCS pesquisando "DN ou Âncora" em "Pesquisar Espaço do Conector". Na guia Linhagem , você provavelmente verá que o objeto é um Disconnector (sem links para MV) e a linhagem está vazia. Além disso, verifique se o objeto tem algum erro, caso haja uma guia de erro de sincronização.

  

• Executar uma visualização no objeto ADCS

  Selecione Visualizar>Gerar Visualização Confirmar>Visualização para ver se o objeto é projetado para MV. Se for esse o caso, um ciclo de sincronização completo deve corrigir o problema para outros objetos na mesma situação.

  

  

• Exportar o objeto para XML

  Para uma análise mais detalhada (ou para análise offline), você pode coletar todos os dados de banco de dados relacionados ao objeto usando o cmdlet Export-ADSyncObject . Essas informações exportadas ajudarão a determinar qual regra está filtrando o objeto. Em outras palavras, qual Filtro de Escopo de Entrada nas Regras de Sincronização de Provisionamento está impedindo que o objeto seja projetado para o MV.

  Aqui estão alguns exemplos de sintaxe Export-ADsyncObject :

  • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
  • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
  • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Resumo da solução de problemas (objetos)

• Verifique os filtros de escopo nas regras de provisionamento de entrada "In From AD".
• Crie uma visualização do objeto.
• Execute um ciclo de sincronização completo.
• Exporte os dados do objeto usando o script Export-ADSyncObject .

Solução de problemas de MV do ADCS > para atributos

1. Identificar as regras de sincronização de entrada e as regras de transformação do atributo

   Cada atributo tem seu próprio conjunto de regras de transformações que são responsáveis por direcionar o valor do ADCS para MV. A primeira etapa é identificar quais regras de sincronização contêm a regra de transformação para o atributo que você está solucionando.

   A melhor maneira de identificar quais regras de sincronização têm uma regra de transformação para um determinado atributo é usar os recursos de filtragem internos do Editor de Regras de Sincronização.

   

2. Verificar a linhagem do objeto ADCS

   Cada conector (ou link) entre o CS e o MV terá uma linhagem que contém informações sobre as regras de sincronização aplicadas a esse objeto CS. A etapa anterior informará qual conjunto de regras de sincronização de entrada (seja provisionamento ou junção de regras de sincronização) deve estar presente na linhagem do objeto para fluir o valor correto do ADCS para o MV. Ao examinar a linhagem no objeto ADCS, você poderá determinar se essa regra de sincronização foi aplicada ao objeto.

   

   Se houver vários conectores (várias florestas do AD) vinculados ao objeto MV, talvez seja necessário examinar as Propriedades do Objeto Metaverso para determinar qual conector está contribuindo com o valor do atributo para o atributo que você está tentando solucionar. Depois de identificar o conector, examine a linhagem desse objeto ADCS.

   

3. Verificar os filtros de escopo na regra de sincronização de entrada

   Se uma regra de sincronização estiver habilitada, mas não estiver presente na linhagem do objeto, o objeto deverá ser filtrado pelo filtro de escopo da regra de sincronização. Ao verificar os filtros de escopo da regra de sincronização, os dados no objeto ADCS e se a regra de sincronização está habilitada ou desabilitada, você poderá determinar por que essa regra de sincronização não foi aplicada ao objeto ADCS.

   Aqui está um exemplo de um filtro de escopo problemático comum de uma regra de sincronização responsável pela sincronização de propriedades do Exchange. Se o objeto tiver um valor nulo para mailNickName, nenhum dos atributos do Exchange nas regras de transformação fluirá para a ID do Microsoft Entra.

   

4. Executar uma visualização no objeto ADCS

   Se você não conseguir determinar por que a regra de sincronização está ausente na linhagem do objeto ADCS, execute uma visualização usando Gerar Visualização e Confirmar Visualização para uma sincronização completa do objeto. Se o atributo for atualizado no MV e tiver uma versão prévia, um ciclo de sincronização completo deverá corrigir o problema para outros objetos na mesma situação.

5. Exportar o objeto para XML

   Para uma análise mais detalhada ou análise offline, você pode coletar todos os dados de banco de dados relacionados ao objeto usando o script Export-ADSyncObject . Essas informações exportadas podem ajudá-lo a determinar qual regra de sincronização ou regra de transformação está ausente no objeto que está impedindo que o atributo seja projetado para o MV (consulte os exemplos de Export-ADSyncObject anteriormente neste artigo).

Resumo da solução de problemas (para atributos)

• Identifique as regras de sincronização corretas e as regras de transformação responsáveis pelo fluxo do atributo para o MV.
• Verifique a linhagem do objeto.
• Verifique se as regras de sincronização foram habilitadas.
• Verifique os filtros de escopo das regras de sincronização que estão ausentes na linhagem do objeto.

Solução de problemas avançada do pipeline de regras de sincronização

Se você precisar depurar ainda mais o mecanismo ADSync (também conhecido como MiiServer) em termos de processamento de regras de sincronização, poderá habilitar o rastreamento ETW no arquivo .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Esse método gera um extenso arquivo de texto detalhado que mostra todo o processamento das regras de sincronização. No entanto, pode ser difícil interpretar todas as informações. Use esse método como último recurso ou se for indicado pelo Suporte da Microsoft.

Recursos para a Etapa 2

• Interface do usuário do Synchronization Service Manager
• Editor de Regras de Sincronização
• Script Export-ADsyncObject
• Start-ADSyncSyncCycle -PolicyType Inicial
• Rastreamento ETW SyncRulesPipeline (miiserver.exe.config)

Etapa 3: Sincronização entre MV e AADCS

Objetivo da Etapa 3

Esta etapa verifica se o objeto ou atributo flui de MV para AADCS. Neste ponto, verifique se o objeto está presente ou se o atributo está correto no ADCS e no MV (abordado nas etapas 1 e 2). Em seguida, examine as regras de sincronização e a linhagem do objeto. Esta etapa é semelhante à Etapa 2, na qual a direção de entrada do ADCS para o MV foi examinada, no entanto, neste estágio, vamos nos concentrar nas regras de sincronização de saída e no atributo que flui do MV para o AADCS.

Descrição para Etapa 3

A sincronização entre MV e AADCS ocorre na etapa de sincronização delta/completa, quando o AADC lê os dados em MV, processa todas as regras de sincronização e atualiza o respectivo objeto AADCS. Esse objeto MV conterá links CS (também conhecidos como conectores) que apontam para os objetos CS que contribuem para suas propriedades e a linhagem das regras de sincronização que foram aplicadas na etapa de sincronização. Neste ponto, o AADC gera mais carga no SQL Server (ou localDB) e na camada de rede.

Solucionando problemas de MV para AADCS para objetos

1. Verificar as regras de sincronização de saída para provisionamento

   Um objeto que está presente no MV, mas ausente no AADCS, indica que não havia filtros de escopo em nenhuma das regras de sincronização de provisionamento aplicadas a esse objeto. Por exemplo, consulte as regras de sincronização "Out to Microsoft Entra ID" mostradas na próxima imagem. Portanto, o objeto não foi provisionado no AADCS. Esse erro pode ocorrer se houver regras de sincronização desabilitadas ou personalizadas.

   Para obter uma lista de regras de sincronização de provisionamento de entrada, execute o seguinte comando:

   Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

   

2. Verifique a linhagem do objeto ADCS

   Para recuperar o objeto com falha do MV, use uma Pesquisa de Metaverso e examine a guia conectores. Nessa guia, você pode determinar se o objeto MV está vinculado a um objeto AADCS. Além disso, verifique se o objeto tem algum erro, caso uma guia de erro de sincronização esteja presente.

   

   Se nenhum conector AADCS estiver presente, o objeto provavelmente será definido como cloudFiltered=True. Você pode verificar se o objeto é filtrado na nuvem examinando os atributos MV para os quais a regra de sincronização está contribuindo com o valor cloudFiltered .

3. Executar uma visualização no objeto AADCS

   Selecione Visualizar>Gerar Visualização>Confirmar uma Visualização para determinar se o objeto se conecta ao AADCS. Nesse caso, um ciclo de sincronização completo deve corrigir o problema para outros objetos na mesma situação.

4. Exportar o objeto para XML

   Para uma análise mais detalhada ou análise offline, você pode coletar todos os dados de banco de dados relacionados ao objeto usando o script Export-ADSyncObject . Essas informações exportadas, juntamente com a configuração das regras de sincronização (de saída), podem ajudar a determinar qual regra está filtrando o objeto e podem determinar qual filtro de escopo de saída nas regras de sincronização de provisionamento está impedindo que o objeto se conecte ao AADCS).

   Aqui estão alguns exemplos de sintaxe Export-ADsyncObject :

   • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
   • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
   • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Resumo da solução de problemas para objetos

• Verifique os filtros de escopo nas regras de provisionamento de saída "Out to Microsoft Entra ID".
• Crie uma visualização do objeto.
• Execute um ciclo de sincronização completo.
• Exporte os dados do objeto usando o script Export-ADSyncObject .

Solucionando problemas de MV para AADCS para atributos

1. Identificar as regras de sincronização de saída e as regras de transformação do atributo

   Cada atributo tem seu próprio conjunto de regras de transformação que são responsáveis por fluir o valor de MV para AADCS. Comece identificando quais regras de sincronização contêm a regra de transformação para o atributo que você está solucionando.

   A melhor maneira de identificar quais regras de sincronização têm uma regra de transformação para um determinado atributo é usar os recursos de filtragem internos do Editor de Regras de Sincronização.

   

2. Verifique a linhagem do objeto ADCS

   Cada conector (ou link) entre o CS e o MV terá uma linhagem que contém informações sobre as regras de sincronização aplicadas a esse objeto CS. A etapa anterior informará qual conjunto de regras de sincronização de saída (seja provisionamento ou junção de regras de sincronização) deve estar presente na linhagem do objeto para fluir o valor correto de MV para AADCS. Ao examinar a linhagem no objeto AADCS, você pode determinar se essa regra de sincronização foi aplicada ao objeto.

   

3. Verificar os filtros de escopo na regra de sincronização de saída

   Se uma regra de sincronização estiver habilitada, mas não estiver presente na linhagem do objeto, ela deverá ser filtrada pelo filtro de escopo da regra de sincronização. Ao verificar a presença dos filtros de escopo da regra de sincronização e os dados no objeto MV e se a regra de sincronização está habilitada ou desabilitada, você poderá determinar por que essa regra de sincronização não foi aplicada ao objeto AADCS.

4. Executar uma visualização no objeto AADCS

   Se você determinar por que a regra de sincronização está ausente da linhagem do objeto ADCS, execute uma visualização que use Gerar Visualização e Confirmar Visualização para uma sincronização completa do objeto. Se o atributo for atualizado no MV com uma visualização, um ciclo de sincronização completo deverá corrigir o problema para outros objetos na mesma situação.

5. Exportar o objeto para XML

   Para uma análise mais detalhada ou análise offline, você pode coletar todos os dados de banco de dados relacionados ao objeto usando o script "Export-ADSyncObject". Essas informações exportadas, juntamente com a configuração de regras de sincronização (de saída), podem ajudá-lo a determinar qual regra de sincronização ou regra de transformação está ausente do objeto que está impedindo que o atributo flua para o AADCS (consulte os exemplos "Export-ADSyncObject" anteriormente).

Resumo da solução de problemas para atributos

• Identifique as regras de sincronização e as regras de transformação corretas responsáveis por fluir o atributo para o AADCS.
• Verifique a linhagem do objeto.
• Verifique se as regras de sincronização estão habilitadas.
• Verifique os filtros de escopo das regras de sincronização que estão ausentes na linhagem do objeto.

Solucionar problemas do pipeline de regras de sincronização

Se você precisar depurar ainda mais o mecanismo ADSync (também conhecido como MiiServer) em termos de processamento de regras de sincronização, poderá habilitar o rastreamento ETW no arquivo .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Esse método gera um extenso arquivo de texto detalhado que mostra todo o processamento das regras de sincronização. No entanto, pode ser difícil interpretar todas as informações. Use esse método apenas como último recurso ou se for indicado pelo Suporte da Microsoft.

Recursos

• Interface do usuário do Synchronization Service Manager
• Editor de Regras de Sincronização
• Script Export-ADsyncObject
• Start-ADSyncSyncCycle -PolicyType Inicial
• Rastreamento ETW SyncRulesPipeline (miiserver.exe.config)

Etapa 4: Sincronização entre o AADCS e o AzureAD

Objetivo da Etapa 4

Este estágio compara o objeto AADCS com o respectivo objeto provisionado na ID do Microsoft Entra.

Descrição para Etapa 4

Vários componentes e processos envolvidos na importação e exportação de dados de e para a ID do Microsoft Entra podem causar os seguintes problemas:

• Conectividade com a internet
• Firewalls internos e conectividade de ISP (por exemplo, tráfego de rede bloqueado)
• O Gateway do Microsoft Entra na frente do serviço Web DirSync (também conhecido como ponto de extremidade AdminWebService)
• A API de serviço Web do DirSync
• O serviço de diretório Microsoft Entra Core

Felizmente, os problemas que afetam esses componentes geralmente geram um erro nos logs de eventos que podem ser rastreados pelo Suporte da Microsoft. Portanto, essas questões estão fora do escopo deste artigo. No entanto, ainda existem algumas questões "silenciosas" que podem ser examinadas.

Solução de problemas do AADCS

• Vários servidores AADC ativos exportando para a ID do Microsoft Entra

  Em um cenário comum em que os objetos na ID do Microsoft Entra invertem valores de atributo para frente e para trás, há mais de um servidor ativo do Microsoft Entra Connect e um desses servidores perde o contato com o AD local, mas ainda está conectado à Internet e pode exportar dados para a ID do Microsoft Entra. Portanto, sempre que esse servidor "obsoleto" importa uma alteração da ID do Microsoft Entra em um objeto sincronizado feito pelo outro servidor ativo, o mecanismo de sincronização reverte essa alteração com base nos dados obsoletos do AD que estão no ADCS. Um sintoma típico nesse cenário é que você faz uma alteração no AD sincronizada com a ID do Microsoft Entra, mas a alteração é revertida para o valor original alguns minutos depois (até 30 minutos). Para atenuar rapidamente esse problema, retorne a todos os servidores antigos ou máquinas virtuais que foram desativados e verifique se o serviço ADSync ainda está em execução.

• Atributo móvel com DirSyncOverrides

  Quando o administrador usa o módulo MSOnline ou AzureAD PowerShell, ou se o usuário acessa o Portal do Office e atualiza o atributo Mobile , o número de telefone atualizado será substituído no AzureAD, apesar do objeto estar sendo sincronizado do AD local (também conhecido como DirSyncEnabled).

  Juntamente com essa atualização, a ID do Microsoft Entra também define um DirSyncOverrides no objeto para sinalizar que esse usuário tem o número de telefone celular "substituído" na ID do Microsoft Entra. Desse ponto em diante, qualquer atualização no atributo móvel originado do local será ignorada porque esse atributo não será mais gerenciado pelo AD local.

  Para obter mais informações sobre o recurso BypassDirSyncOverrides e como restaurar a sincronização de atributos móveis e outrosDispositivos móveis da ID do Microsoft Entra para o Active Directory local, consulte Como usar o recurso BypassDirSyncOverrides de um locatário do Microsoft Entra.

• As alterações de UserPrincipalName não são atualizadas na ID do Microsoft Entra

  Se o atributo UserPrincipalName não for atualizado na ID do Microsoft Entra, enquanto outros atributos forem sincronizados conforme o esperado, é possível que um recurso chamado SynchronizeUpnForManagedUsers não esteja habilitado no locatário. Esse cenário ocorre com frequência.

  Antes de esse recurso ser adicionado, todas as atualizações do UPN que vinham do local depois que o usuário era provisionado na ID do Microsoft Entra e recebia uma licença eram ignoradas "silenciosamente". Um administrador teria que usar MSOnline ou Azure AD PowerShell para atualizar o UPN diretamente na ID do Microsoft Entra. Depois que esse recurso for atualizado, todas as atualizações do UPN fluirão para o Microsoft Entra, independentemente de o usuário ser licenciado (gerenciado).

  Observação

  Depois de habilitado, esse recurso não pode ser desabilitado.

  As atualizações de UserPrincipalName funcionarão se o usuário NÃO estiver licenciado. No entanto, sem o recurso SynchronizeUpnForManagedUsers , UserPrincipalName é alterado depois que o usuário é provisionado e recebe uma licença que NÃO será atualizada na ID do Microsoft Entra. Observe que a Microsoft não desabilita esse recurso em nome do cliente.

• Caracteres inválidos e internos do ProxyCalc

  Problemas que envolvem caracteres inválidos que não produzem nenhum erro de sincronização são mais problemáticos nos atributos UserPrincipalName e ProxyAddresses devido ao efeito em cascata no processamento ProxyCalc que descartará silenciosamente o valor sincronizado do AD local. Esta situação ocorre da seguinte forma:

  1. O UserPrincipalName resultante na ID do Microsoft Entra será o domínio inicial MailNickName ou CommonName @ (arroba). Por exemplo, em vez de , o UserPrincipalName na ID do John.Smith@Contoso.comMicrosoft Entra pode se tornar smithj@Contoso.onmicrosoft.com porque há um caractere invisível no valor UPN do AD local.

  2. Se um ProxyAddress contiver um caractere de espaço, o ProxyCalc o descartará e gerará automaticamente um endereço de email com base em MailNickName no Domínio Inicial. Por exemplo, "SMTP: John.Smith@Contoso.com" não aparecerá na ID do Microsoft Entra porque contém um caractere de espaço após os dois-pontos.

  3. Um UserPrincipalName que inclui um caractere de espaço ou um ProxyAddress que inclui um caractere invisível causará o mesmo problema.

     Para solucionar problemas de um caractere inválido no UserPrincipalName ou ProxyAddress, examine o valor armazenado no AD local de um LDIFDE ou PowerShell exportado para um arquivo. Um truque fácil para detectar um caractere invisível é copiar o conteúdo do arquivo exportado e colá-lo em uma janela do PowerShell. O caractere invisível será substituído por um ponto de interrogação (?), conforme mostrado no exemplo a seguir.

     

• Atributo ThumbnailPhoto (KB4518417)

  Há um equívoco geral de que, depois de sincronizar o ThumbnailPhoto do AD pela primeira vez, você não poderá mais atualizá-lo, o que é apenas parcialmente verdade.

  Normalmente, o ThumbnailPhoto no Microsoft Entra ID é atualizado continuamente. No entanto, ocorrerá um problema se a imagem atualizada não for mais recuperada da ID do Microsoft Entra pela respectiva carga de trabalho ou parceiro (por exemplo, EXO ou SfBO). Esse problema causa a falsa impressão de que a imagem não foi sincronizada do AD local para a ID do Microsoft Entra.

  Etapas básicas para solucionar problemas do ThumbnailPhoto

  1. Verifique se a imagem está armazenada corretamente no AD e não excede o limite de tamanho de 100 KB.

  2. Verifique a imagem no Portal de Contas ou use Get-AzureADUserThumbnailPhoto porque esses métodos leem o ThumbnailPhoto diretamente da ID do Microsoft Entra.

  3. Se o thumbnailPhoto do AD (ou AzureAD) tiver a imagem correta, mas não estiver correta em outros serviços online, as seguintes condições poderão ser aplicadas:

  • A caixa de correio do usuário contém uma imagem HD e não está aceitando imagens de baixa resolução do Microsoft Entra thumbnailPhoto. A solução é atualizar diretamente a imagem da caixa de correio do usuário.
  • A imagem da caixa de correio do usuário foi atualizada corretamente, mas você ainda está vendo a imagem original. A solução é aguardar pelo menos seis horas para ver a imagem atualizada no Portal do Usuário do Office 365 ou no portal do Azure.

Recursos adicionais

• Solucionando problemas de erros durante a sincronização
• Solucionar problemas de sincronização de objetos com o Microsoft Entra Connect Sync
• Solucionar problemas de um objeto que não está sincronizando com a ID do Microsoft Entra
• Sincronização de objeto único do Microsoft Entra Connect

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.