Resolução de problemas de sincronização de erros
Podem ocorrer erros quando os dados de identidade são sincronizados do Ative Directory do Windows Server (AD DS) para o Microsoft Entra ID. Esta seção fornece uma visão geral de diferentes tipos de erros de sincronização, alguns dos cenários possíveis que causam esses erros e possíveis maneiras de corrigir os erros. Esta seção inclui os tipos de erro comuns e pode não cobrir todos os erros possíveis.
Com a versão mais recente do Microsoft Entra Connect, um relatório de Erros de Sincronização está disponível no portal do Azure como parte do Microsoft Entra Connect Health for sync.
O Microsoft Entra Connect executa três tipos de operações a partir dos diretórios que mantém sincronizados: Importar, Sincronizar e Exportar. Erros podem ocorrer em todas as operações. Esta seção se concentra principalmente em erros durante a exportação para o Microsoft Entra ID.
Erros durante a exportação para o Microsoft Entra ID
A seção a seguir descreve diferentes tipos de erros de sincronização que podem ocorrer durante a operação de exportação para o Microsoft Entra ID usando o conector do Microsoft Entra. Este conector pode ser identificado pelo formato de nome sendo contoso.onmicrosoft.com
. Erros durante a exportação para o Microsoft Entra ID indicam que a operação (adicionar, atualizar, excluir etc.) tentada pelo Microsoft Entra Connect (Sync Engine) no diretório Microsoft Entra falhou.
Erros de incompatibilidade de dados
InválidoSoftMatch
Description
- Quando o Microsoft Entra Connect (mecanismo de sincronização) instrui o diretório a adicionar ou atualizar objetos, o Microsoft Entra ID faz a correspondência entre o objeto de entrada usando o atributo sourceAnchor e o atributo immutableId de objetos no Microsoft Entra ID. Esta partida é chamada de Hard Match.
- Quando o Microsoft Entra ID não encontra nenhum objeto que corresponda ao atributo immutableId com o atributo sourceAnchor do objeto de entrada, antes de provisionar um novo objeto, ele volta a usar os atributos ProxyAddresses e UserPrincipalName para encontrar uma correspondência. Esta partida é chamada de Soft Match. O Soft Match foi projetado para fazer a correspondência entre objetos já presentes no Microsoft Entra ID e os novos objetos que estão sendo adicionados/atualizados durante a sincronização e que representam a mesma entidade (usuários, grupos) localmente.
- O erro InvalidSoftMatch ocorre quando a correspondência física não encontra nenhum objeto correspondente E a correspondência suave encontra um objeto correspondente, mas esse objeto tem um valor diferente de immutableId do SourceAnchor do objeto de entrada, sugerindo que o objeto correspondente foi sincronizado com outro objeto do Ative Directory local.
Em outras palavras, para que a correspondência suave funcione, o objeto a ser combinado suavemente não deve ter nenhum valor para o immutableId. Se qualquer objeto com immutableId definido com um valor estiver falhando na correspondência física, mas satisfazendo os critérios de correspondência flexível, a operação resultará em um erro de sincronização InvalidSoftMatch.
O esquema de diretório do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor dos seguintes atributos. (Esta lista não é exaustiva.)
- ProxyAddresses
- UserPrincipalName
- onPremisesSecurityIdentifier
- ObjectId
O recurso Resiliência de Atributo Duplicado do Microsoft Entra também está sendo implementado como o comportamento padrão do Microsoft Entra ID. Isso reduzirá o número de erros de sincronização vistos pelo Microsoft Entra Connect (bem como outros clientes de sincronização), tornando o Microsoft Entra ID mais resiliente na maneira como lida com atributos ProxyAddresses e UserPrincipalName duplicados presentes em ambientes AD locais. Este recurso não corrige os erros de duplicação. Portanto, os dados ainda precisam ser corrigidos. Mas ele permite o provisionamento de novos objetos que, de outra forma, são bloqueados de serem provisionados devido a valores duplicados no ID do Microsoft Entra. Isso também reduzirá o número de erros de sincronização retornados ao cliente de sincronização. Se esse recurso estiver habilitado para seu locatário, você não verá os erros de sincronização InvalidSoftMatch vistos durante o provisionamento de novos objetos.
Cenários de exemplo para InvalidSoftMatch
- Dois ou mais objetos com o mesmo valor para o atributo ProxyAddresses existem no Ative Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
- Dois ou mais objetos com o mesmo valor para o atributo userPrincipalName existem no Ative Directory local. Apenas um está sendo provisionado no Microsoft Entra ID.
- Um objeto foi adicionado no Ative Directory local com o mesmo valor do atributo ProxyAddresses que o de um objeto existente no diretório do Microsoft Entra. O objeto adicionado no local não está sendo provisionado no diretório do Microsoft Entra.
- Um objeto foi adicionado no Ative Directory local com o mesmo valor do atributo userPrincipalName que o de uma conta no Microsoft Entra ID. O objeto não está sendo provisionado no Microsoft Entra ID.
- Uma conta sincronizada foi movida da Floresta A para a Floresta B. O Microsoft Entra Connect (mecanismo de sincronização) estava usando o atributo ObjectGUID para calcular o SourceAnchor. Após a movimentação da floresta, o valor do SourceAnchor é diferente. O novo objeto (da Floresta B) está falhando ao sincronizar com o objeto existente no Microsoft Entra ID.
- Um objeto sincronizado foi excluído acidentalmente do Ative Directory local e um novo objeto foi criado no Ative Directory para a mesma entidade (como usuário) sem excluir a conta no Microsoft Entra ID. A nova conta não consegue sincronizar com o objeto existente do Microsoft Entra.
- O Microsoft Entra Connect foi desinstalado e reinstalado. Durante a reinstalação, um atributo diferente foi escolhido como SourceAnchor. Todos os objetos sincronizados anteriormente pararam de sincronizar com o erro InvalidSoftMatch.
Caso de exemplo:
Bob Smith é um usuário sincronizado no Microsoft Entra ID do Ative Directory local do contoso.com
UserPrincipalName de Bob Smith é definido como bobs@contoso.com.
"abcdefghijklmnopqrstuv==" é o SourceAnchor calculado pelo Microsoft Entra Connect usando o objectGUID de Bob Smith do Ative Directory local, que é o immutableId para Bob Smith no Microsoft Entra ID.
Bob também tem os seguintes valores para o atributo proxyAddresses :
- SMTP: bobs@contoso.com
- SMTP: bob.smith@contoso.com
- SMTP: bob@contoso.com
Um novo usuário, Bob Taylor, é adicionado ao Ative Directory local.
UserPrincipalName de Bob Taylor é definido como bobt@contoso.com.
"abcdefghijkl0123456789=="" é o sourceAnchor calculado pelo Microsoft Entra Connect usando o objectGUID de Bob Taylor do Ative Directory local. O objeto de Bob Taylor AINDA NÃO foi sincronizado com o Microsoft Entra ID.
Bob Taylor tem os seguintes valores para o atributo proxyAddresses
- SMTP: bobt@contoso.com
- SMTP: bob.taylor@contoso.com
- SMTP: bob@contoso.com
Durante a sincronização, o Microsoft Entra Connect reconhecerá a adição de Bob Taylor no Ative Directory local e solicitará ao Microsoft Entra ID para fazer a mesma alteração.
O Microsoft Entra ID primeiro executará a correspondência difícil. Ou seja, ele irá procurar se há algum objeto com o immutableId igual a "abcdefghijkl0123456789==". Hard Match falhará, uma vez que nenhum outro objeto no Microsoft Entra ID terá esse immutableId.
O Microsoft Entra ID tentará então fazer a correspondência suave com Bob Taylor. Ou seja, ele pesquisará se há algum objeto com proxyAddresses igual aos três valores, incluindo smtp: bob@contoso.com
O Microsoft Entra ID encontrará o objeto de Bob Smith para corresponder aos critérios de correspondência suave. Mas este objeto tem o valor de immutableId = "abcdefghijklmnopqrstuv==". que indica que este objeto foi sincronizado a partir de outro objeto do Ative Directory local. Assim, Microsoft Entra ID não pode soft-match esses objetos e resulta em um erro de sincronização InvalidSoftMatch .
Como corrigir erro InvalidSoftMatch
A razão mais comum para o erro InvalidSoftMatch é que dois objetos com SourceAnchor (immutableId) diferentes têm o mesmo valor para os atributos ProxyAddresses e/ou UserPrincipalName, que são usados durante o processo de correspondência suave no Microsoft Entra ID. Para corrigir o Soft-Match inválido
- Identifique os proxyAddresses, userPrincipalName duplicados ou outro valor de atributo duplicado que esteja a provocar o erro. Identifique também quais dois (ou mais) objetos estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
- Identifique que objeto deve continuar a ter o valor duplicado e qual não deve.
- Remova o valor duplicado do objeto que NÃO deve ter esse valor. Tem de fazer a alteração no diretório de onde o objeto é proveniente. Em alguns casos, poderá ter de eliminar um dos objetos em conflito.
- Se você fez a alteração no AD local, deixe o Microsoft Entra Connect sincronizar a alteração.
Os relatórios de erros de sincronização no Microsoft Entra Connect Health para sincronização são atualizados a cada 30 minutos e incluem os erros da última tentativa de sincronização.
Nota
ImmutableId, por definição, não deve mudar no tempo de vida do objeto. Se o Microsoft Entra Connect não foi configurado com alguns dos cenários em mente da lista acima, você pode acabar em uma situação em que o Microsoft Entra Connect calcula um valor diferente do SourceAnchor para o objeto AD que representa a mesma entidade (mesmo usuário/grupo/contato, etc) que tem um objeto existente do Microsoft Entra que você deseja continuar usando.
ObjectTypeMismatch
Description
Quando o Microsoft Entra ID tenta fazer a correspondência suave de dois objetos, é possível que dois objetos de "tipo de objeto" diferente (como Usuário, Grupo, Contato etc.) tenham os mesmos valores para os atributos usados para executar a correspondência suave. Como a duplicação desses atributos não é permitida no Microsoft Entra, a operação pode resultar em erro de sincronização "ObjectTypeMismatch".
Cenários de exemplo para erro ObjectTypeMismatch
- Um grupo de segurança habilitado para email é criado no Microsoft 365. O administrador adiciona um novo usuário ou contato no AD local (que ainda não está sincronizado com o ID do Microsoft Entra) com o mesmo valor para o atributo ProxyAddresses do grupo do Microsoft 365.
Caso de exemplo
- O administrador cria um novo grupo de segurança habilitado para email no Microsoft 365 para o departamento de impostos e fornece um endereço de email como tax@contoso.com. Este grupo recebe o valor do atributo ProxyAddresses de smtp: tax@contoso.com
- Um novo usuário ingressa Contoso.com e uma conta é criada para o usuário no local com o proxyAddress como smtp: tax@contoso.com
- Quando o Microsoft Entra Connect sincronizar a nova conta de usuário, ele receberá o erro "ObjectTypeMismatch".
Como corrigir erro ObjectTypeMismatch
O motivo mais comum para o erro ObjectTypeMismatch é que dois objetos de tipo diferente (User, Group, Contact etc.) têm o mesmo valor para o atributo ProxyAddresses . Para corrigir o ObjectTypeMismatch:
- Identifique o valor proxyAddresses duplicado (ou outro atributo) que está causando o erro. Identifique também quais dois (ou mais) objetos estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
- Identifique que objeto deve continuar a ter o valor duplicado e qual não deve.
- Remova o valor duplicado do objeto que NÃO deve ter esse valor. Tem de fazer a alteração no diretório de onde o objeto é proveniente. Em alguns casos, poderá ter de eliminar um dos objetos em conflito.
- Se você fez a alteração no AD local, deixe o Microsoft Entra Connect sincronizar a alteração. O relatório de erros de sincronização no Microsoft Entra Connect Health for sync é atualizado a cada 30 minutos e inclui os erros da última tentativa de sincronização.
Atributos duplicados
AttributeValueMustBeUnique
Description
O esquema do Microsoft Entra não permite que dois ou mais objetos tenham o mesmo valor dos seguintes atributos. Ou seja, cada objeto no Microsoft Entra ID é forçado a ter um valor exclusivo desses atributos em uma determinada instância.
- ProxyAddresses
- UserPrincipalName
Se o Microsoft Entra Connect tentar adicionar um novo objeto ou atualizar um objeto existente com um valor para os atributos acima que já está atribuído a outro objeto no Microsoft Entra ID, a operação resultará no erro de sincronização "AttributeValueMustBeUnique".
Cenários possíveis:
O valor duplicado é atribuído a um objeto já sincronizado, que entra em conflito com outro objeto sincronizado.
Caso de exemplo:
Bob Smith é um usuário sincronizado no Microsoft Entra ID do Ative Directory local do contoso.com
UserPrincipalName de Bob Smith no local é definido como bobs@contoso.com.
Bob também tem os seguintes valores para o atributo proxyAddresses :
- SMTP: bobs@contoso.com
- SMTP: bob.smith@contoso.com
- SMTP: bob@contoso.com
Um novo usuário, Bob Taylor, é adicionado ao Ative Directory local.
UserPrincipalName de Bob Taylor é definido como bobt@contoso.com.
Bob Taylor tem os seguintes valores para o atributo ProxyAddresses i. smtp: ii. smtp: bobt@contoso.combob.taylor@contoso.com
O objeto de Bob Taylor é sincronizado com o Microsoft Entra ID com êxito.
O administrador decidiu atualizar o atributo ProxyAddresses de Bob Taylor com o seguinte valor: i. SMTP:bob@contoso.com
O Microsoft Entra ID tentará atualizar o objeto de Bob Taylor no Microsoft Entra ID com o valor acima, mas essa operação falhará, pois esse valor ProxyAddresses já está atribuído a Bob Smith, resultando no erro "AttributeValueMustBeUnique".
Como corrigir o erro AttributeValueMustBeUnique
O motivo mais comum para o erro AttributeValueMustBeUnique é que dois objetos com SourceAnchor (immutableId) diferentes têm o mesmo valor para os atributos ProxyAddresses e/ou UserPrincipalName. Para corrigir o erro AttributeValueMustBeUnique
- Identifique o proxyAddresses duplicado, userPrincipalName ou outro valor de atributo que está causando o erro. Identifique também quais dois (ou mais) objetos estão envolvidos no conflito. O relatório gerado pelo Microsoft Entra Connect Health para sincronização pode ajudá-lo a identificar os dois objetos.
- Identifique que objeto deve continuar a ter o valor duplicado e qual não deve.
- Remova o valor duplicado do objeto que NÃO deve ter esse valor. Tem de fazer a alteração no diretório de onde o objeto é proveniente. Em alguns casos, poderá ter de eliminar um dos objetos em conflito.
- Se você fez a alteração no AD local, deixe o Microsoft Entra Connect sincronizar a alteração para que o erro seja corrigido.
Falhas na validação de dados
IdentityDataValidationFailed
Description
O Microsoft Entra ID impõe várias restrições aos dados antes de permitir sejam escritos no diretório. Estas restrições destinam-se a garantir que os utilizadores finais obtenham as melhores experiências possíveis ao utilizarem as aplicações que dependem destes dados.
Cenários
O valor do atributo UserPrincipalName tem caracteres inválidos/não suportados. b. O atributo UserPrincipalName não segue o formato necessário.
Como corrigir o erro IdentityDataValidationFailed
Verifique se o atributo userPrincipalName tem caracteres suportados e formato necessário.
FederatedDomainChangeError
Description
Esse caso resulta em um erro de sincronização "FederatedDomainChangeError" quando o sufixo de UserPrincipalName de um usuário é alterado de um domínio federado para outro domínio federado.
Cenários
Para um usuário sincronizado, o sufixo UserPrincipalName foi alterado de um domínio federado para outro domínio federado localmente. Por exemplo, UserPrincipalName = foi alterado para UserPrincipalName =bob@contoso.com bob@fabrikam.com.
Exemplo
- Bob Smith, uma conta para Contoso.com, é adicionado como um novo usuário no Ative Directory com o UserPrincipalName bob@contoso.com
- Bob se move para uma divisão diferente de Contoso.com chamada Fabrikam.com e seu UserPrincipalName é alterado para bob@fabrikam.com
- Os domínios contoso.com e fabrikam.com são domínios federados com ID do Microsoft Entra.
- O userPrincipalName do Bob não é atualizado e resulta em um erro de sincronização "FederatedDomainChangeError".
LargeObject
Description
Quando um atributo excede o limite de tamanho permitido, limite de comprimento ou limite de contagem definido pelo esquema do Microsoft Entra, a operação de sincronização resulta no erro de sincronização LargeObject ou ExceededAllowedLength . Este erro ocorre normalmente nos seguintes atributos
- userCertificate
- userSMIMECertificate
- thumbnailPhoto
- proxyAddresses
Cenários possíveis
- O atributo userCertificate de Bob está armazenando muitos certificados atribuídos a Bob. Estes podem incluir certificados mais antigos e expirados. O limite máximo é de 15 certificados.
- O atributo userSMIMECertificate do Bob está armazenando muitos certificados atribuídos ao Bob. Estes podem incluir certificados mais antigos e expirados. O limite máximo é de 15 certificados.
- O conjunto thumbnailPhoto do Bob no Ative Directory é muito grande para ser sincronizado no Microsoft Entra ID.
- Durante o preenchimento automático do atributo ProxyAddresses no Ative Directory, um objeto tem muitos ProxyAddresses atribuídos.
Como corrigir
Verifique se o atributo que está causando o erro está dentro da limitação permitida.
Conflito de função de administrador
Description
Um conflito de função de administrador existente ocorrerá em um objeto de usuário durante a sincronização quando esse objeto de usuário tiver:
- permissões administrativas e
- o mesmo UserPrincipalName que um objeto existente do Microsoft Entra
O Microsoft Entra Connect não tem permissão para fazer a correspondência suave de um objeto de usuário do AD local com um objeto de usuário na ID do Microsoft Entra que tenha uma função administrativa atribuída a ele.
Como corrigir
Para resolver esse problema, faça o seguinte:
- Remova a conta do Microsoft Entra (proprietário) de todas as funções de administrador.
- Difícil Exclua o objeto em quarentena na nuvem.
- O próximo ciclo de sincronização cuidará da correspondência suave entre o usuário local e a conta na nuvem (já que o usuário da nuvem agora não é mais um GA).
- Restaure as associações de função para o proprietário.
Nota
Você pode atribuir a função administrativa ao objeto de usuário existente novamente após a conclusão da correspondência suave entre o objeto de usuário local e o objeto de usuário do Microsoft Entra.