Resolução de problemas de sincronização de erros

Concluído

Podem ocorrer erros quando os dados de identidade são sincronizados do Ative Directory do Windows Server (AD DS) para o Microsoft Entra ID. Esta seção fornece uma visão geral de diferentes tipos de erros de sincronização, alguns dos cenários possíveis que causam esses erros e possíveis maneiras de corrigir os erros. Esta seção inclui os tipos de erro comuns e pode não cobrir todos os erros possíveis.

Com a versão mais recente do Microsoft Entra Connect, um relatório de Erros de Sincronização está disponível no portal do Azure como parte do Microsoft Entra Connect Health for sync.

O Microsoft Entra Connect executa três tipos de operações a partir dos diretórios que mantém sincronizados: Importar, Sincronizar e Exportar. Erros podem ocorrer em todas as operações. Esta seção se concentra principalmente em erros durante a exportação para o Microsoft Entra ID.

Erros durante a exportação para o Microsoft Entra ID

A seção a seguir descreve diferentes tipos de erros de sincronização que podem ocorrer durante a operação de exportação para o Microsoft Entra ID usando o conector do Microsoft Entra. Este conector pode ser identificado pelo formato de nome sendo contoso.onmicrosoft.com. Erros durante a exportação para o Microsoft Entra ID indicam que a operação (adicionar, atualizar, excluir etc.) tentada pelo Microsoft Entra Connect (Sync Engine) no diretório Microsoft Entra falhou.

Screenshot of the Export Errors Overview page in Microsoft Entra Connect.

Erros de incompatibilidade de dados

InválidoSoftMatch

Description

  • Quando o Microsoft Entra Connect (mecanismo de sincronização) instrui o diretório a adicionar ou atualizar objetos, o Microsoft Entra ID faz a correspondência entre o objeto de entrada usando o atributo sourceAnchor e o atributo immutableId de objetos no Microsoft Entra ID. Esta partida é chamada de Hard Match.
  • Quando o Microsoft Entra ID não encontra nenhum objeto que corresponda ao atributo immutableId com o atributo sourceAnchor do objeto de entrada, antes de provisionar um novo objeto, ele volta a usar os atributos ProxyAddresses e UserPrincipalName para encontrar uma correspondência. Esta partida é chamada de Soft Match. O Soft Match foi projetado para fazer a correspondência entre objetos já presentes no Microsoft Entra ID e os novos objetos que estão sendo adicionados/atualizados durante a sincronização e que representam a mesma entidade (usuários, grupos) localmente.
  • O erro InvalidSoftMatch ocorre quando a correspondência física não encontra nenhum objeto correspondente E a correspondência suave encontra um objeto correspondente, mas esse objeto tem um valor diferente de immutableId do SourceAnchor do objeto de entrada, sugerindo que o objeto correspondente foi sincronizado com outro objeto do Ative Directory local.

Em outras palavras, para que a correspondência suave funcione, o objeto a ser combinado suavemente não deve ter nenhum valor para o immutableId. Se qualquer objeto com immutableId definido com um valor estiver falhando na correspondência física, mas satisfazendo os critérios de correspondência flexível, a operação resultará em um erro de sincronização InvalidSoftMatch.

O esquema de diretório do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor dos seguintes atributos. (Esta lista não é exaustiva.)

  • ProxyAddresses
  • UserPrincipalName
  • onPremisesSecurityIdentifier
  • ObjectId

O recurso Resiliência de Atributo Duplicado do Microsoft Entra também está sendo implementado como o comportamento padrão do Microsoft Entra ID. Isso reduzirá o número de erros de sincronização vistos pelo Microsoft Entra Connect (bem como outros clientes de sincronização), tornando o Microsoft Entra ID mais resiliente na maneira como lida com atributos ProxyAddresses e UserPrincipalName duplicados presentes em ambientes AD locais. Este recurso não corrige os erros de duplicação. Portanto, os dados ainda precisam ser corrigidos. Mas ele permite o provisionamento de novos objetos que, de outra forma, são bloqueados de serem provisionados devido a valores duplicados no ID do Microsoft Entra. Isso também reduzirá o número de erros de sincronização retornados ao cliente de sincronização. Se esse recurso estiver habilitado para seu locatário, você não verá os erros de sincronização InvalidSoftMatch vistos durante o provisionamento de novos objetos.

Cenários de exemplo para InvalidSoftMatch

  • Dois ou mais objetos com o mesmo valor para o atributo ProxyAddresses existem no Ative Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
  • Dois ou mais objetos com o mesmo valor para o atributo userPrincipalName existem no Ative Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
  • Um objeto foi adicionado no Ative Directory local com o mesmo valor do atributo ProxyAddresses que o de um objeto existente no diretório do Microsoft Entra. O objeto adicionado no local não está sendo provisionado no diretório do Microsoft Entra.
  • Um objeto foi adicionado no Ative Directory local com o mesmo valor do atributo userPrincipalName que o de uma conta no Microsoft Entra ID. O objeto não está sendo provisionado no Microsoft Entra ID.
  • Uma conta sincronizada foi movida da Floresta A para a Floresta B. O Microsoft Entra Connect (mecanismo de sincronização) estava usando o atributo ObjectGUID para calcular o SourceAnchor. Após a movimentação da floresta, o valor do SourceAnchor é diferente. O novo objeto (da Floresta B) está falhando ao sincronizar com o objeto existente no Microsoft Entra ID.
  • Um objeto sincronizado foi excluído acidentalmente do Ative Directory local e um novo objeto foi criado no Ative Directory para a mesma entidade (como usuário) sem excluir a conta no Microsoft Entra ID. A nova conta não consegue sincronizar com o objeto existente do Microsoft Entra.
  • O Microsoft Entra Connect foi desinstalado e reinstalado. Durante a reinstalação, um atributo diferente foi escolhido como SourceAnchor. Todos os objetos sincronizados anteriormente pararam de sincronizar com o erro InvalidSoftMatch.

Caso de exemplo:

  1. Bob Smith é um usuário sincronizado no Microsoft Entra ID do Ative Directory local do contoso.com

  2. UserPrincipalName de Bob Smith é definido como bobs@contoso.com.

  3. "abcdefghijklmnopqrstuv==" é o SourceAnchor calculado pelo Microsoft Entra Connect usando o objectGUID de Bob Smith do Ative Directory local, que é o immutableId para Bob Smith no Microsoft Entra ID.

  4. Bob também tem os seguintes valores para o atributo proxyAddresses :

    • SMTP: bobs@contoso.com
    • SMTP: bob.smith@contoso.com
    • SMTP: bob@contoso.com
  5. Um novo usuário, Bob Taylor, é adicionado ao Ative Directory local.

  6. UserPrincipalName de Bob Taylor é definido como bobt@contoso.com.

  7. "abcdefghijkl0123456789=="" é o sourceAnchor calculado pelo Microsoft Entra Connect usando o objectGUID de Bob Taylor do Ative Directory local. O objeto de Bob Taylor AINDA NÃO foi sincronizado com o Microsoft Entra ID.

  8. Bob Taylor tem os seguintes valores para o atributo proxyAddresses

    • SMTP: bobt@contoso.com
    • SMTP: bob.taylor@contoso.com
    • SMTP: bob@contoso.com
  9. Durante a sincronização, o Microsoft Entra Connect reconhecerá a adição de Bob Taylor no Ative Directory local e solicitará ao Microsoft Entra ID para fazer a mesma alteração.

  10. O Microsoft Entra ID primeiro executará a correspondência difícil. Ou seja, ele irá procurar se há algum objeto com o immutableId igual a "abcdefghijkl0123456789==". Hard Match falhará, uma vez que nenhum outro objeto no Microsoft Entra ID terá esse immutableId.

  11. O Microsoft Entra ID tentará então fazer a correspondência suave com Bob Taylor. Ou seja, ele pesquisará se há algum objeto com proxyAddresses igual aos três valores, incluindo smtp: bob@contoso.com

  12. O Microsoft Entra ID encontrará o objeto de Bob Smith para corresponder aos critérios de correspondência suave. Mas este objeto tem o valor de immutableId = "abcdefghijklmnopqrstuv==". que indica que este objeto foi sincronizado a partir de outro objeto do Ative Directory local. Assim, Microsoft Entra ID não pode soft-match esses objetos e resulta em um erro de sincronização InvalidSoftMatch .

Como corrigir erro InvalidSoftMatch

A razão mais comum para o erro InvalidSoftMatch é que dois objetos com SourceAnchor (immutableId) diferentes têm o mesmo valor para os atributos ProxyAddresses e/ou UserPrincipalName, que são usados durante o processo de correspondência suave no Microsoft Entra ID. Para corrigir o Soft-Match inválido

  1. Identifique os proxyAddresses, userPrincipalName duplicados ou outro valor de atributo duplicado que esteja a provocar o erro. Identifique também quais dois (ou mais) objetos estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
  2. Identifique que objeto deve continuar a ter o valor duplicado e qual não deve.
  3. Remova o valor duplicado do objeto que NÃO deve ter esse valor. Tem de fazer a alteração no diretório de onde o objeto é proveniente. Em alguns casos, poderá ter de eliminar um dos objetos em conflito.
  4. Se você fez a alteração no AD local, deixe o Microsoft Entra Connect sincronizar a alteração.

Os relatórios de erros de sincronização no Microsoft Entra Connect Health para sincronização são atualizados a cada 30 minutos e incluem os erros da última tentativa de sincronização.

Nota

ImmutableId, por definição, não deve mudar no tempo de vida do objeto. Se o Microsoft Entra Connect não foi configurado com alguns dos cenários em mente da lista acima, você pode acabar em uma situação em que o Microsoft Entra Connect calcula um valor diferente do SourceAnchor para o objeto AD que representa a mesma entidade (mesmo usuário/grupo/contato, etc) que tem um objeto existente do Microsoft Entra que você deseja continuar usando.

ObjectTypeMismatch

Description

Quando o Microsoft Entra ID tenta fazer a correspondência suave de dois objetos, é possível que dois objetos de "tipo de objeto" diferente (como Usuário, Grupo, Contato etc.) tenham os mesmos valores para os atributos usados para executar a correspondência suave. Como a duplicação desses atributos não é permitida no Microsoft Entra, a operação pode resultar em erro de sincronização "ObjectTypeMismatch".

Cenários de exemplo para erro ObjectTypeMismatch

  • Um grupo de segurança habilitado para email é criado no Microsoft 365. O administrador adiciona um novo usuário ou contato no AD local (que ainda não está sincronizado com o ID do Microsoft Entra) com o mesmo valor para o atributo ProxyAddresses do grupo do Microsoft 365.

Caso de exemplo

  1. O administrador cria um novo grupo de segurança habilitado para email no Microsoft 365 para o departamento de impostos e fornece um endereço de email como tax@contoso.com. Este grupo recebe o valor do atributo ProxyAddresses de smtp: tax@contoso.com
  2. Um novo usuário ingressa Contoso.com e uma conta é criada para o usuário no local com o proxyAddress como smtp: tax@contoso.com
  3. Quando o Microsoft Entra Connect sincronizar a nova conta de usuário, ele receberá o erro "ObjectTypeMismatch".

Como corrigir erro ObjectTypeMismatch

O motivo mais comum para o erro ObjectTypeMismatch é que dois objetos de tipo diferente (User, Group, Contact etc.) têm o mesmo valor para o atributo ProxyAddresses . Para corrigir o ObjectTypeMismatch:

  1. Identifique o valor proxyAddresses duplicado (ou outro atributo) que está causando o erro. Identifique também quais dois (ou mais) objetos estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
  2. Identifique que objeto deve continuar a ter o valor duplicado e qual não deve.
  3. Remova o valor duplicado do objeto que NÃO deve ter esse valor. Tem de fazer a alteração no diretório de onde o objeto é proveniente. Em alguns casos, poderá ter de eliminar um dos objetos em conflito.
  4. Se você fez a alteração no AD local, deixe o Microsoft Entra Connect sincronizar a alteração. O relatório de erros de sincronização no Microsoft Entra Connect Health for sync é atualizado a cada 30 minutos e inclui os erros da última tentativa de sincronização.

Atributos duplicados

AttributeValueMustBeUnique

Description

O esquema do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor dos seguintes atributos. Ou seja, cada objeto no Microsoft Entra ID é forçado a ter um valor exclusivo desses atributos em uma determinada instância.

  • ProxyAddresses
  • UserPrincipalName

Se o Microsoft Entra Connect tentar adicionar um novo objeto ou atualizar um objeto existente com um valor para os atributos acima que já está atribuído a outro objeto no Microsoft Entra ID, a operação resultará no erro de sincronização "AttributeValueMustBeUnique".

Cenários possíveis:

O valor duplicado é atribuído a um objeto já sincronizado, que entra em conflito com outro objeto sincronizado.

Caso de exemplo:

  1. Bob Smith é um usuário sincronizado no Microsoft Entra ID do Ative Directory local do contoso.com

  2. UserPrincipalName de Bob Smith no local é definido como bobs@contoso.com.

  3. Bob também tem os seguintes valores para o atributo proxyAddresses :

    • SMTP: bobs@contoso.com
    • SMTP: bob.smith@contoso.com
    • SMTP: bob@contoso.com
  4. Um novo usuário, Bob Taylor, é adicionado ao Ative Directory local.

  5. UserPrincipalName de Bob Taylor é definido como bobt@contoso.com.

  6. Bob Taylor tem os seguintes valores para o atributo ProxyAddresses i. smtp: ii. smtp: bobt@contoso.combob.taylor@contoso.com

  7. O objeto de Bob Taylor é sincronizado com o Microsoft Entra ID com êxito.

  8. O administrador decidiu atualizar o atributo ProxyAddresses de Bob Taylor com o seguinte valor: i. SMTP:bob@contoso.com

  9. O Microsoft Entra ID tentará atualizar o objeto de Bob Taylor no Microsoft Entra ID com o valor acima, mas essa operação falhará, pois esse valor ProxyAddresses já está atribuído a Bob Smith, resultando no erro "AttributeValueMustBeUnique".

Como corrigir o erro AttributeValueMustBeUnique

O motivo mais comum para o erro AttributeValueMustBeUnique é que dois objetos com SourceAnchor (immutableId) diferentes têm o mesmo valor para os atributos ProxyAddresses e/ou UserPrincipalName. Para corrigir o erro AttributeValueMustBeUnique

  1. Identifique o proxyAddresses duplicado, userPrincipalName ou outro valor de atributo que está causando o erro. Identifique também quais dois (ou mais) objetos estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
  2. Identifique que objeto deve continuar a ter o valor duplicado e qual não deve.
  3. Remova o valor duplicado do objeto que NÃO deve ter esse valor. Tem de fazer a alteração no diretório de onde o objeto é proveniente. Em alguns casos, poderá ter de eliminar um dos objetos em conflito.
  4. Se você fez a alteração no AD local, deixe o Microsoft Entra Connect sincronizar a alteração para que o erro seja corrigido.

Falhas na validação de dados

IdentityDataValidationFailed

Description

O Microsoft Entra ID impõe várias restrições aos dados antes de permitir sejam escritos no diretório. Estas restrições destinam-se a garantir que os utilizadores finais obtenham as melhores experiências possíveis ao utilizarem as aplicações que dependem destes dados.

Cenários

O valor do atributo UserPrincipalName tem caracteres inválidos/não suportados. b. O atributo UserPrincipalName não segue o formato necessário.

Como corrigir o erro IdentityDataValidationFailed

Verifique se o atributo userPrincipalName tem caracteres suportados e formato necessário.

FederatedDomainChangeError

Description

Esse caso resulta em um erro de sincronização "FederatedDomainChangeError" quando o sufixo de UserPrincipalName de um usuário é alterado de um domínio federado para outro domínio federado.

Cenários

Para um usuário sincronizado, o sufixo UserPrincipalName foi alterado de um domínio federado para outro domínio federado localmente. Por exemplo, UserPrincipalName = foi alterado para UserPrincipalName =bob@contoso.com bob@fabrikam.com.

Exemplo

  1. Bob Smith, uma conta para Contoso.com, é adicionado como um novo usuário no Ative Directory com o UserPrincipalName bob@contoso.com
  2. Bob se move para uma divisão diferente de Contoso.com chamada Fabrikam.com e seu UserPrincipalName é alterado para bob@fabrikam.com
  3. Os domínios contoso.com e fabrikam.com são domínios federados com ID do Microsoft Entra.
  4. O userPrincipalName do Bob não é atualizado e resulta em um erro de sincronização "FederatedDomainChangeError".

LargeObject

Description

Quando um atributo excede o limite de tamanho permitido, limite de comprimento ou limite de contagem definido pelo esquema do Microsoft Entra, a operação de sincronização resulta no erro de sincronização LargeObject ou ExceededAllowedLength . Este erro ocorre normalmente nos seguintes atributos

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Cenários possíveis

  1. O atributo userCertificate de Bob está armazenando muitos certificados atribuídos a Bob. Estes podem incluir certificados mais antigos e expirados. O limite máximo é de 15 certificados.
  2. O atributo userSMIMECertificate do Bob está armazenando muitos certificados atribuídos ao Bob. Estes podem incluir certificados mais antigos e expirados. O limite máximo é de 15 certificados.
  3. O conjunto thumbnailPhoto do Bob no Ative Directory é muito grande para ser sincronizado no Microsoft Entra ID.
  4. Durante o preenchimento automático do atributo ProxyAddresses no Ative Directory, um objeto tem muitos ProxyAddresses atribuídos.

Como corrigir

Verifique se o atributo que está causando o erro está dentro da limitação permitida.

Conflito de função de administrador

Description

Um conflito de função de administrador existente ocorrerá em um objeto de usuário durante a sincronização quando esse objeto de usuário tiver:

  • permissões administrativas e
  • o mesmo UserPrincipalName que um objeto existente do Microsoft Entra

O Microsoft Entra Connect não tem permissão para fazer a correspondência suave de um objeto de usuário do AD local com um objeto de usuário na ID do Microsoft Entra que tenha uma função administrativa atribuída a ele.

Screenshot of the Microsoft Entra Connect screen with the Existing Admin field selected.

Como corrigir

Para resolver esse problema, faça o seguinte:

  1. Remova a conta do Microsoft Entra (proprietário) de todas as funções de administrador.
  2. Difícil Exclua o objeto em quarentena na nuvem.
  3. O próximo ciclo de sincronização cuidará da correspondência suave entre o usuário local e a conta na nuvem (já que o usuário da nuvem agora não é mais um GA).
  4. Restaure as associações de função para o proprietário.

Nota

Você pode atribuir a função administrativa ao objeto de usuário existente novamente após a conclusão da correspondência suave entre o objeto de usuário local e o objeto de usuário do Microsoft Entra.