Solucionar problemas de um objeto que não está sincronizando com o Microsoft Entra ID
Se um objeto não estiver sincronizando como esperado com o Microsoft Entra ID, pode ser por vários motivos. Se você recebeu um e-mail de erro do Microsoft Entra ID ou vê o erro no Microsoft Entra Connect Health, leia Solução de problemas de erros durante a sincronização em vez disso. Mas se você estiver solucionando um problema em que o objeto não está na ID do Microsoft Entra, este artigo é para você. Ele descreve como localizar erros na sincronização do componente local Microsoft Entra Connect.
Importante
Para implantação do Microsoft Entra Connect com versão 1.1.749.0 ou superior, use a tarefa de solução de problemas no assistente para solucionar problemas de sincronização de objetos.
Processo de sincronização
Antes de investigarmos problemas de sincronização, vamos entender o processo de sincronização do Microsoft Entra Connect:
Terminologia
- CS: Espaço do conector, uma tabela numa base de dados
- MV: Metaverso, uma tabela em um banco de dados
Etapas de sincronização
O processo de sincronização envolve as seguintes etapas:
Importar do AD: objetos do Active Directory são importados para o Active Directory CS.
Importar do Microsoft Entra ID: os objetos do Microsoft Entra são importados para o Microsoft Entra CS.
Sincronização: As regras de sincronização de entrada e de saída são executadas na ordem do número de precedência, de menor para maior. Para exibir as regras de sincronização, vá para o Editor de Regras de Sincronização nos aplicativos da área de trabalho. As regras de sincronização de entrada trazem dados de CS para MV. As regras de sincronização de saída movem dados de MV para CS.
Exportar para AD: Após a sincronização, os objetos são exportados do Ative Directory CS para o Ative Directory.
Exportar para o Microsoft Entra ID: Após a sincronização, os objetos são exportados do Microsoft Entra CS para o Microsoft Entra ID.
Solução de problemas
Para encontrar os erros, olhe para alguns lugares diferentes, na seguinte ordem:
- A operação regista para localizar erros identificados pelo mecanismo de sincronização durante a importação e sincronização.
- O espaço do conector para localizar objetos ausentes e erros de sincronização.
- O metaverso para encontrar problemas relacionados com os dados.
Inicie Synchronization Service Manager antes de iniciar estas etapas.
Operações
A guia Operations no Synchronization Service Manager é onde você deve iniciar a solução de problemas. Esta guia mostra os resultados das operações mais recentes.
A metade superior da guia Operações mostra todas as execuções em ordem cronológica. Por padrão, o log de operações mantém informações sobre os últimos sete dias, mas essa configuração pode ser alterada através do agendador . Procure qualquer execução que não mostre o status de sucesso. Você pode alterar a classificação selecionando os cabeçalhos.
A coluna Status contém as informações mais importantes e mostra o problema mais grave para uma execução. Aqui está um resumo rápido dos status mais comuns em ordem de prioridade de investigação (onde * indica várias cadeias de caracteres de erro possíveis).
| Situação | Comentar |
|---|---|
| parado-* | A corrida não pôde terminar. Isso pode acontecer, por exemplo, se o sistema remoto estiver inativo e não puder ser contatado. |
| limite de erro atingido | Existem mais de 5.000 erros. A execução foi interrompida automaticamente devido ao grande número de erros. |
| concluído-*-erros | A execução terminou, mas há erros (menos de 5.000) que devem ser investigados. |
| completed-*-alertas | A execução terminou, mas alguns dados não estão no estado esperado. Se houver erros, esta mensagem é apenas um sintoma. Não investigue avisos até ter corrigido os erros. |
| sucesso | Sem problemas. |
Quando se seleciona uma linha, a parte inferior do separador Operações é atualizada para mostrar os detalhes dessa execução. No extremo esquerdo desta área, pode haver uma lista intitulada Step #. Essa lista aparecerá somente se houver vários domínios em sua floresta e cada domínio for representado por uma etapa. O nome de domínio pode ser encontrado sob o título Partition. No título Estatísticas de Sincronização
Erros na guia Operações
Quando há erros, o Synchronization Service Manager mostra o objeto em erro e o próprio erro como links que fornecem mais informações.
Comece selecionando a cadeia de erro. (Na figura anterior, a cadeia de erro é sync-rule-error-function-triggered.) Primeiramente, é-lhe apresentada uma visão geral do objeto. Para ver o erro real, selecione Stack Trace. Esse rastreamento fornece informações de nível de depuração para o erro.
Selecione com o botão direito do rato a caixa de Informações da Pilha de Chamadas , selecione Selecionar Tudoe, em seguida, selecione Copiar. Em seguida, copie a pilha e olhe para o erro no seu editor favorito, como o Notepad.
Se o erro for de SyncRulesEngine, as informações da pilha de chamadas listarão primeiro todos os atributos no objeto. Role para baixo até ver o título InnerException =>.
A linha após o título mostra o erro. Na figura anterior, o erro é de uma regra de sincronização personalizada criada pela Fabrikam.
Se o erro não fornecer informações suficientes, é hora de olhar para os dados em si. Selecione o link com o identificador de objeto e continue a resolver problemas no objeto importado do espaço do conector .
Propriedades do objeto de espaço do conector
Se a guia Operations não mostrar erros, siga o objeto de espaço do conector desde o Active Directory até o metaverso e, depois, para o Microsoft Entra ID. Neste caminho, você deve encontrar onde está o problema.
Procurando um objeto no CS
No Gerenciador do Serviço de Sincronização, selecione Conectores, selecione o Conector do Ative Directory e selecione Espaço do Conector de Pesquisa.
Na caixa Escopo, selecione RDN quando quiser pesquisar no atributo CN, ou selecione DN ou âncora quando quiser pesquisar no atributo distinguishedName. Insira um valor e selecione Pesquisar.
Se não encontrar o objeto que está a procurar, pode ter sido filtrado com filtragem baseada em domínio ou filtragem baseada em OU . Para verificar se a filtragem está configurada conforme o esperado, leia Microsoft Entra Connect Sync: Configure filtering.
Você pode realizar outra pesquisa útil selecionando o Microsoft Entra Connector. Na caixa de diálogo Escopo, selecione Importação Pendentee, em seguida, selecione a caixa de verificação Adicionar. Esta pesquisa fornece todos os objetos sincronizados no Microsoft Entra ID que não podem ser associados a um objeto local.
Esses objetos foram criados por outro mecanismo de sincronização ou um mecanismo de sincronização com uma configuração de filtragem diferente. Esses objetos órfãos não são mais gerenciados. Examine essa lista e considere remover esses objetos usando os cmdlets Microsoft Graph PowerShell.
Importação CS
Quando você abre um objeto CS, há várias guias na parte superior. A guia Import mostra os dados que são apresentados após uma importação.
A coluna Old Value mostra o que está atualmente armazenado no Connect. A coluna New Value mostra o que é recebido do sistema de origem e ainda não foi aplicado. Se houver um erro no objeto, as alterações não serão processadas.
A guia Erro de Sincronização fica visível na janela Propriedades do Objeto de Espaço do Conector apenas se houver um problema com o objeto. Para obter mais informações, consulte como solucionar erros de sincronização na guia Operations.
Linhagem CS
A aba Lineage na janela Connector Space Object Properties mostra como o objeto de espaço do conector está relacionado com o objeto do metaverso. Você pode ver quando o conector importou pela última vez uma alteração do sistema conectado e quais regras se aplicaram para preencher dados no metaverso.
Na figura anterior, a coluna Action mostra uma regra de sincronização de entrada com a ação Provisionamento. Isso indica que, enquanto o objeto de conector espacial estiver presente, o objeto do metaverso permanecerá. Se, em vez disso, a lista de regras de sincronização mostrar uma regra de sincronização de saída com uma ação Provisionar, esse objeto será excluído quando o objeto do metaverso for excluído.
Na figura anterior, você também pode ver na coluna PasswordSync que o espaço do conector de entrada pode contribuir com alterações na senha, já que uma regra de sincronização tem o valor True. Esta palavra-passe é enviada para Microsoft Entra ID através da regra de envio.
Na guia Lineage, pode aceder ao metaverso ao selecionar Metaverse Object Properties.
Previsualizar
No canto inferior esquerdo da janela Connector Space Object Properties está o botão Preview. Selecione este botão para abrir a página de Pré-visualização , onde pode sincronizar um só objeto. Esta página é útil se você estiver solucionando problemas de algumas regras de sincronização personalizadas e quiser ver o efeito de uma alteração em um único objeto. Você pode selecionar uma sincronização completa ou uma sincronização Delta. Você também pode selecionar Gerar Pré-visualização, que mantém apenas a alteração na memória. Ou selecione Commit Preview, que atualiza o metaverso e prepara todas as alterações nos espaços do conector de destino.
Na visualização, você pode inspecionar o objeto e ver qual regra foi aplicada a um fluxo de atributo específico.
Registo
Ao lado do botão Visualização, selecione o botão Log para abrir a página Log. Aqui você pode ver o status e o histórico de sincronização de senha. Para obter mais informações, consulte Solucionar problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync.
Propriedades do objeto Metaverso
É melhor começar a pesquisar a partir do espaço do conector do Active Directory de origem. Mas você também pode começar a pesquisar a partir do metaverso.
Procurando por um objeto no MV
No Gerenciador do Serviço de Sincronização, selecione Pesquisa no Metaverso, como na figura a seguir. Crie uma consulta que você sabe que localiza o usuário. Procure atributos comuns, como accountName (sAMAccountName) e userPrincipalName. Para obter mais informações, consulte Pesquisa do Metaverso no Sync Service Manager.
Na janela Resultados da Pesquisa, selecione o objeto.
Se você não encontrou o objeto, ele não chegou ao metaverso. Continue a procurar o objeto no Active Directory conector espaço. Se você encontrar o objeto no espaço do conector do Ative Directory, pode haver um erro de sincronização que está bloqueando a entrada do objeto no metaverso. Ou, um filtro de escopo de regra de sincronização pode ser aplicado.
Objeto não encontrado na MV
Se o objeto estiver no CS do Ative Directory, mas não estiver presente no MV, um filtro de escopo será aplicado. Para ver o filtro de escopo, vá para o menu do aplicativo da área de trabalho e selecione Editor de Regras de Sincronização. Filtre as regras aplicáveis ao objeto ajustando o filtro abaixo.
Veja cada regra na lista acima e verifique o filtro de escopo . No filtro de escopo a seguir, se o valor de isCriticalSystemObject for null, FALSE ou vazio, está no escopo.
Vá para a lista de atributos do CS Import e verifique qual filtro está impedindo o objeto de se mover para a MV. A lista de atributos do Espaço de Conector mostra apenas atributos que não são nulos nem vazios. Por exemplo, se isCriticalSystemObject não aparecer na lista, o valor desse atributo será nulo ou vazio.
Objeto não encontrado no Microsoft Entra CS
Se o objeto não estiver presente no espaço do conector do Microsoft Entra ID, mas estiver presente no MV, observe o filtro de escopo das regras de exportação do espaço do conector correspondente. Determine se o objeto está filtrado porque os atributos MV não atendem aos critérios.
Para examinar o filtro de escopo de saída, selecione as regras aplicáveis ao objeto ajustando o filtro a seguir. Consulte cada regra e veja o valor do atributo MV correspondente.
Atributos MV
Na guia Atributos , você pode ver os valores e quais conectores contribuíram para eles.
Se um objeto não estiver sincronizando, faça as seguintes perguntas sobre estados de atributos no metaverso:
- O atributo cloudFiltered está presente e definido como True? Se for o caso, ele é filtrado de acordo com os procedimentos em filtragem baseada em atributos.
- O atributo sourceAnchor está presente? Se não, tens uma topologia de floresta de contas-recursos? Se um objeto for identificado como uma caixa de correio vinculada (o atributo msExchRecipientTypeDetails tiver o valor 2), o sourceAnchor será contribuído pela floresta com uma conta do Ative Directory habilitada. Verifique se a conta mestra está importada e sincronizada corretamente. A conta mestra deve ser listada entre os conectores para o objeto.
Conectores MT
A guia Conectores mostra todos os espaços de conectores que têm uma representação do objeto.
Você deve ter um conector para:
- Cada floresta do Active Directory em que o utilizador está representado. Essa representação pode incluir foreignSecurityPrincipals e objetos de contato.
- Um conector do Microsoft Entra ID.
Se está a faltar o conector para o Microsoft Entra ID, reveja a seção sobre atributos MV para verificar os critérios de provisionamento para o Microsoft Entra ID.
Na aba Conectores, também é possível ir para o objeto espaço do conector . Selecione uma linha e selecione Propriedades.
Próximos passos
- Saiba mais sobre Microsoft Entra Connect Sync.
- Saiba mais sobre a identidade híbrida.