Поделиться через

Диагностика и устранение ошибок синхронизации повторяющихся атрибутов

  • Статья

Обзор

Предприняв еще один шаг для выделения ошибок синхронизации, Microsoft Entra Connect Health вводит функцию самостоятельного исправления. Он устраняет ошибки синхронизации повторяющихся атрибутов и устраняет объекты, потерянные из идентификатора Microsoft Entra. Функция диагностики имеет следующие преимущества:

  • Она предоставляет диагностическую процедуру, которая позволяет сузить сведения об ошибках синхронизации повторяющихся атрибутов. И обеспечивает конкретные исправления.
  • Она применяет исправление для выделенных сценариев из Microsoft Entra ID, чтобы устранить ошибку в один шаг.
  • для включения этой функции не требуется обновление или настройка Дополнительные сведения об идентификаторе Microsoft Entra см. в разделе "Синхронизация удостоверений" и устойчивость повторяющихся атрибутов.

Проблемы

Стандартный сценарий

При возникновении ошибок синхронизации QuarantinedAttributeValueMustBeUnique и AttributeValueMustBeUnique часто возникает конфликт UserPrincipalName или proxy-адресов в системе Microsoft Entra ID. Вы можете устранить ошибки синхронизации, обновив конфликтующий исходный объект в локальной среде. Ошибка синхронизации будет устранена после следующей синхронизации. Например, на этом изображении указано, что у двух пользователей есть конфликт UserPrincipalName. Оба являются Joe.J@contoso.com. Конфликтующие объекты помещаются в карантин в идентификаторе Microsoft Entra.

Распространенный сценарий диагностики ошибок синхронизации

Сценарий с потерянным объектом

Иногда вы можете обнаружить, что существующий пользователь теряет привязку к источнику. В локальном каталоге Active Directory произошло удаление исходного объекта. Но сигнал об удалении так и не был синхронизирован с Microsoft Entra ID. Это может произойти из-за проблем механизма синхронизации или из-за переноса домена. Когда тот же объект восстанавливается или повторно создается, логически, существующий пользователь должен выполнять синхронизацию из привязки к источнику.

Если существующий пользователь является объектом только в облаке, можно также увидеть конфликтующего пользователя, синхронизированного с идентификатором Microsoft Entra. Пользователя невозможно сопоставить при синхронизации с существующим объектом. Прямого способа переназначить привязку к источнику нет. Узнайте больше о базе знаний.

Например, существующий объект в идентификаторе Microsoft Entra сохраняет лицензию Джо. Недавно синхронизированный объект с другой привязкой источника находится в состоянии дублирования атрибута в Microsoft Entra ID. Изменения для Джо в локальной службе Active Directory не будут применяться к исходному пользователю Джо (существующему объекту) в Microsoft Entra ID.

Диагностика ошибок синхронизации в сценарии с потерянным объектом

Шаги по диагностике и устранению неполадок в Connect Health

Функция диагностики неисправностей поддерживает пользовательские объекты с следующими дублированными атрибутами.

Имя атрибута Типы ошибок синхронизации
Основное имя пользователя QuarantinedAttributeValueMustBeUnique или AttributeValueMustBeUnique
ПроксиАдреса QuarantinedAttributeValueMustBeUnique или AttributeValueMustBeUnique
SipProxyAddress Значение атрибута должно быть уникальным
ИдентификаторБезопасностиНаМесте ЗначениеАтрибутаДолжноБытьУникальным

Внимание

Для доступа к этой функции разрешения участника из Azure RBAC требуются как минимум.

Выполните действия из Центра администрирования Microsoft Entra, чтобы сузить сведения об ошибке синхронизации и предоставить более конкретные решения:

Процедура диагностики ошибок синхронизации

В Центре администрирования Microsoft Entra выполните несколько действий, чтобы определить конкретные исправляемые сценарии:

  1. Просмотрите столбец Diagnose status (Состояние диагностики). Состояние показывает, есть ли возможный способ исправить ошибку синхронизации непосредственно из идентификатора Microsoft Entra. Другими словами, существует ли процедура устранения неполадок, позволяющая уточнить ошибку и потенциально устранить ее.
Состояние Что это означает?
Не начата Вы не прошли этот процесс диагностики. В зависимости от результата диагностики, может существовать возможность исправить ошибку синхронизации напрямую с портала.
Требуется исправление вручную Ошибка не подпадает под критерии доступного исправления с портала. Возможно, конфликтующие типы объектов не являются пользователями или вы уже выполнили диагностику, а на портале нет доступных исправлений. В последнем случае одним из решений по-прежнему является исправление с локальной стороны. Читайте больше об исправлениях в локальной среде.
Ожидается синхронизация Исправление было применено. Портал ожидает следующего цикла синхронизации для устранения ошибки.

Внимание

Данные в столбце состояния диагностики будут сбрасываться после каждого цикла синхронизации.

  1. Нажмите кнопку Диагностика под сведениями об ошибке. Можно ответить на несколько вопросов и получить сведения об ошибке синхронизации. Ответы на вопросы помогают идентифицировать сценарий с потерянным объектом.

  2. Если после окончания диагностики появляется кнопка Закрыть, это означает, что на основе данных ответов на портале нет способов быстрого устранения неполадок. Выберите решение, показанное на последнем шаге. \ Исправления из локальной среды по-прежнему остаются решениями. Нажмите кнопку Закрыть. Состояние текущей ошибки синхронизации изменится на Требуется исправление вручную. Это состояние сохранится на протяжении текущего цикла синхронизации.

  3. После определения сценария с потерянным объектом вы сможете исправить ошибки синхронизации повторяющихся атрибутов напрямую с портала. Нажмите кнопку Применить исправление, чтобы активировать процесс. Состояние текущей ошибки синхронизации изменится на Ожидается синхронизация.

  4. После следующего цикла синхронизации ошибка будет удалена из списка.

Как ответить на вопросы по диагностике

Есть ли в локальном каталоге Active Directory пользователь?

Этот вопрос позволяет идентифицировать исходный объект текущего пользователя из локального каталога Active Directory.

  1. Проверьте, существует ли в Microsoft Entra ID объект с предоставленным UserPrincipalName. Если это не так, ответьте Нет.
  2. Если это так, проверьте, находится ли объект все еще в области видимости для синхронизации.
    • Выполните поиск в пространстве соединителя Microsoft Entra с помощью DN.
    • Если состояние найденного объекта Отложенное добавление, ответьте Нет. Microsoft Entra Connect не может подключить объект к правому объекту Microsoft Entra.
    • Если объект не найден, ответьте Да.

В этих примерах вопрос пытается определить, существует ли пользователь Joe Jackson в локальном каталоге Active Directory. Дляраспространенного сценария оба пользователя — Joe Johnson и Joe Jackson будут присутствовать в локальном каталоге Active Directory. Объектами, помещенными в карантин, являются два разных пользователя.

Распространенный сценарий диагностики ошибок синхронизации

Для сценария с потерянным объектом только один пользователь (Joe Johnson) будет существовать в локальном каталоге Active Directory.

Диагностика ошибки синхронизации в сценарии проверки существования пользователя и наличия потерянного объекта

Обе эти учетные записи принадлежат одному пользователю?

Этот вопрос проверяет входящие конфликтующие пользователи и существующий объект пользователя в идентификаторе Microsoft Entra, чтобы узнать, принадлежит ли он одному и тому же пользователю.

  1. Объект с конфликтом был недавно синхронизирован с идентификатором Microsoft Entra. Сравните атрибуты объектов:
    • Отображаемое имя.
    • Имя_принципала_пользователя или Имя_входа
    • ИдентификаторОбъекта
  2. Если Microsoft Entra ID не удается их сравнить, проверьте, имеет ли Active Directory объекты с предоставленными UserPrincipalNames. Ответьте Нет, если найдете оба объекта.

В приведенном ниже примере два объекта принадлежат одному и тому же пользователю, Joe Johnson.

Диагностика ошибки синхронизации с потерянным объектом в сценарии с одним пользователем

Что происходит после того, как исправление применяется для сценария с потерянным объектом

На основе ответов на предыдущие вопросы вы увидите кнопку "Применить исправление ", когда есть исправление, доступное из идентификатора Microsoft Entra. В этом случае локальный объект синхронизируется с непредвиденным объектом Microsoft Entra. Два объекта сопоставляются с помощью привязки к источнику. При нажатии кнопки Применить исправление выполняются приведенные ниже или схожие действия:

  1. Обновляет привязку источника к правильному объекту в идентификаторе Microsoft Entra.
  2. Удаляет конфликтующий объект в идентификаторе Microsoft Entra, если он присутствует.

Диагностика ошибок синхронизации после исправления

Внимание

Действие Применить исправление применимо только к сценариям с потерянными объектами.

Выполнив описанные выше действия, пользователь может получить доступ к исходному ресурсу, который представляет собой ссылку на существующий объект. Поле Состояние диагностики в представлении списка получит новое значение Ожидание синхронизации. Ошибка синхронизации будет устранена после очередной синхронизации, после чего Connect Health больше не будет показывать эту ошибку синхронизации в представлении списка.

Ошибки и сообщения об ошибках

Пользователь с конфликтующим атрибутом мягко удаляется в Microsoft Entra ID. Убедитесь, что пользователь безвозвратно удален перед повторной попыткой.
Чтобы применить исправление, пользователь с конфликтующим атрибутом в идентификаторе Microsoft Entra должен быть очищен. Узнайте, как удалить пользователя безвозвратно в идентификаторе Microsoft Entra, прежде чем повторить исправление. Пользователь также будет автоматически окончательно удален через 30 дней после того, как он был временно удален.

Обновление привязки к источнику для облачного пользователя в вашем арендаторе не поддерживается.
Пользователь на основе облака в идентификаторе Microsoft Entra не должен иметь привязку источника. В этом случае обновление привязки к источнику не поддерживается. Требуется исправление вручную из локальной среды.

Процесс исправления не смог изменить значения. Определенные параметры, такие как UserWriteback в Microsoft Entra Connect , не поддерживаются. Отключите его в параметрах.

Вопросы и ответы

Вопрос. Что происходит при сбое применения действия Применить исправление?
А. Если выполнение завершается сбоем, возможно, что Microsoft Entra Connect выполняет ошибку экспорта. Обновите страницу портала и повторите попытку после следующей синхронизации. По умолчанию цикл синхронизации составляет 30 минут.

Вопр. Что если текущий объект является объектом, который нужно удалить?
А. Если следует удалить существующий объект, этот процесс не требует изменения привязки к источнику. Как правило, исправить проблему можно из локального каталога Active Directory.

Вопрос: Какие разрешения нужны пользователю для применения исправления?
A.Участник из Azure RBAC имеет разрешения на доступ к процессу диагностики и устранения неполадок. Это минимальное разрешение, необходимое.

В. Нужно ли настроить Microsoft Entra Connect или обновить агент Microsoft Entra Connect Health для этой функции?
А. Нет, диагностика — это полностью облачная функция.

Вопр. Если существующий объект мягко удалён, восстановит ли процесс диагностики его активный статус?
А. Нет, при исправлении атрибут объекта не обновляется, если это не привязка к источнику.