Поделиться через

Сквозное устранение неполадок объектов и атрибутов Microsoft Entra Connect

  • Статья

Эта статья предназначена для создания общей практики устранения неполадок синхронизации в идентификаторе Microsoft Entra. Этот метод применяется к ситуациям, в которых объект или атрибут не синхронизируется с Azure Active AD и не отображает никаких ошибок в обработчике синхронизации, в журналах средства просмотра приложений или в журналах Microsoft Entra. Легко потеряться в деталях, если нет очевидной ошибки. Однако, используя рекомендации, вы можете изолировать проблему и предоставить аналитические сведения для служба поддержки Майкрософт инженеров.

При применении этого метода устранения неполадок к вашей среде с течением времени вы сможете выполнить следующие действия:

  • Устранение неполадок логики подсистемы синхронизации с конца до конца.
  • Более эффективно устранять проблемы синхронизации.
  • Более быстро определите проблемы, прогнозируя шаг, в котором они будут выполняться.
  • Определите отправную точку для просмотра данных.
  • Определите оптимальное разрешение.

Снимок экрана: блок-диаграмма Microsoft Entra Connect.

Описанные здесь действия начинаются с локального уровня Active Directory и прогресса по отношению к идентификатору Microsoft Entra. Эти шаги являются наиболее распространенным направлением синхронизации. Однако те же принципы применяются к обратному направлению (например, для обратной записи атрибутов).

Предварительные требования

Для лучшего понимания этой статьи сначала ознакомьтесь со следующими статьями о предварительных требованиях, чтобы лучше понять, как искать объект в разных источниках (AD, AD CS, MV и т. д.), а также понять, как проверить соединители и происхождение объекта.

Неправильные рекомендации по устранению неполадок

Флаг DirSyncEnabled в идентификаторе Microsoft Entra определяет, готов ли клиент принять синхронизацию объектов из локальной службы AD. Мы видели, что многие клиенты попадают в привычку отключить DirSync в клиенте при устранении неполадок с синхронизацией объектов или атрибутов. Просто отключить синхронизацию каталогов, выполнив следующий командлет PowerShell:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

Однако это может быть катастрофическим, так как оно активирует сложную и длинную серверную операцию для передачи SoA из локального Active Directory в Microsoft Entra ID / Exchange Online для всех синхронизированных объектов в клиенте. Эта операция необходима для преобразования каждого объекта из DirSyncEnabled в облако и очистки всех теневых свойств, синхронизированных из локальной ad (например, ShadowUserPrincipalName и ShadowProxyAddresses). В зависимости от размера клиента эта операция может занять более 72 часов. Кроме того, невозможно предсказать, когда операция завершится. Никогда не используйте этот метод для устранения проблемы синхронизации, так как это приведет к дополнительным повреждениям и не исправит проблему. Вы будете заблокированы для включения DirSync еще раз, пока эта операция отключения не завершится. Кроме того, после повторного включения DirSync AADC должен снова соответствовать всем локальным объектам с существующими объектами Microsoft Entra. Этот процесс может быть нарушен.

Ниже приведены единственные сценарии, в которых эта команда поддерживает отключение DirSync:

  • Вы удаляете локальный сервер синхронизации и хотите полностью управлять удостоверениями из облака, а не из гибридных удостоверений.
  • У вас есть синхронизированные объекты в клиенте, который вы хотите сохранить как облачный только в идентификаторе Microsoft Entra и удалить из локальной службы AD постоянно.
  • В настоящее время вы используете настраиваемый атрибут в качестве SourceAnchor в AADC (например, employeeId), и вы повторно устанавливаете AADC, чтобы начать использовать ms-Ds-Consistency-Guid/ObjectGuid в качестве нового атрибута SourceAnchor (или наоборот).
  • У вас есть некоторые сценарии, которые включают в себя рискованные стратегии миграции почтовых ящиков и клиентов.

В некоторых ситуациях может потребоваться временно остановить синхронизацию или вручную управлять циклами синхронизации AADC. Например, может потребоваться остановить синхронизацию, чтобы одновременно выполнять один шаг синхронизации. Однако вместо отключения DirSync можно остановить только планировщик синхронизации, выполнив следующий командлет:

Set-ADSyncScheduler -SyncCycleEnabled $false

И когда вы будете готовы, вручную запустите цикл синхронизации, выполнив следующий командлет:

Start-ADSyncSyncCycle

Глоссарий

Аббревиатура и аббревиатура Имя и описание
AADC Microsoft Entra Connect
AADCA Учетная запись соединителя Microsoft Entra
AADCS Пространство соединителя Microsoft Entra
AADCS:AttributeA Атрибут "A" в пространстве соединителя Microsoft Entra
списки управления доступом; контроль доступа Списки (также известные как разрешения ADDS)
ADCA Учетная запись соединителя AD
ADCS Пространство соединителя Active Directory
ADCS:AttributeA Атрибут "A" в пространстве соединителя Active Directory
ADDS или AD Доменные службы Active Directory
CS Пространство соединителя
MV Метавселенная
Учетная запись MSOL Автоматически созданная учетная запись соединителя AD (MSOL_########)
MV:AttributeA Атрибут "A" в объекте Metaverse
SoA Источник центра

Шаг 1. Синхронизация между ADDS и ADCS

Цель шага 1

Определите, присутствует ли объект или атрибут в ADCS. Если объект можно найти в ADCS, а все атрибуты имеют ожидаемые значения, перейдите к шагу 2.

Снимок экрана: репликация A D Connector Space A D.

Описание шага 1

Синхронизация между ADDS и ADCS происходит на шаге импорта и является моментом, когда AADC считывает из исходного каталога и сохраняет данные в базе данных. То есть, когда данные этапируются в пространстве соединителя. Во время разностного импорта из AD AADC запрашивает все новые изменения, произошедшие после заданного водяного знака каталога. Этот вызов инициируется AADC с помощью элемента управления DirSync служб каталогов для службы репликации Active Directory. Этот шаг предоставляет последнюю подложку в качестве последнего успешного импорта AD и предоставляет ad ссылку на точку во времени, когда все изменения (разностные) должны быть извлечены. Полный импорт отличается, так как AADC импортирует из AD все данные (в области синхронизации), а затем помечает как устаревшие (и удалите) все объекты, которые по-прежнему находятся в ADCS, но не были импортированы из AD. Все данные между AD и AADC передаются через LDAP и шифруются по умолчанию.

Снимок экрана: диалоговое окно параметров подключения A D C.

Если подключение к AD выполнено успешно, но объект или атрибут отсутствует в ADCS (если домен или объект находится в области синхронизации), проблема, скорее всего, включает разрешения ADDS. AdCA требует минимальных разрешений на чтение объекта в AD для импорта данных в AD. По умолчанию учетная запись MSOL имеет явные разрешения на чтение и запись для всех свойств пользователя, группы и компьютера. Однако эта ситуация может по-прежнему быть проблематичной, если следующие условия верны:

  • AADC использует пользовательский ADCA, но он не был предоставлен достаточных разрешений в AD.
  • Родительское подразделение заблокировано наследование, которое предотвращает распространение разрешений из корневого каталога домена.
  • Сам объект или атрибут имеет заблокированное наследование, которое предотвращает распространение разрешений.
  • Объект или атрибут имеет явное разрешение "Запретить", которое не позволяет ADCA читать его.

Устранение неполадок Active Directory

Подключение к AD

На шаге "Импорт из AD" в диспетчере синхронизации показано, какой контроллер домена связывается в разделе "Состояние подключения". Скорее всего, вы увидите ошибку здесь, когда возникает проблема с подключением, которая влияет на AD.

Снимок экрана: область

Если вам нужно дополнительно устранить неполадки с подключением к AD, особенно если ошибки не возникают на сервере Microsoft Entra Connect или если вы все еще находитесь в процессе установки продукта, начните с использования ADConnectivityTool.

Проблемы с подключением к ADDS имеют следующие причины:

  • Недопустимые учетные данные AD. Например, срок действия ADCA истек или пароль изменился.
  • Ошибка "сбой поиска", которая возникает, когда элемент управления DirSync не взаимодействует со службой репликации AD, как правило, из-за фрагментации пакетов с высокой сетью.
  • Ошибка "no-start-ma", которая возникает при возникновении проблем с разрешением имен (DNS) в AD.
  • Другие проблемы, которые могут быть вызваны проблемами разрешения имен, проблемами маршрутизации сети, заблокированными сетевыми портами, фрагментацией большого сетевого пакета, доступными для записи, и т. д. В таких случаях вам, скорее всего, придется включить службы каталогов или группы поддержки сети, чтобы помочь устранить неполадки.

Сводка по устранению неполадок

  • Определите, какой контроллер домена используется.
  • Используйте предпочтительный контроллер домена для назначения того же контроллера домена.
  • Правильно определите ADCA.
  • Используйте ADConnectivityTool для выявления проблемы.
  • Используйте средство LDP, чтобы попытаться привязаться к контроллеру домена с ADCA.
  • Чтобы устранить неполадки, обратитесь к службам каталогов или группе поддержки сети.

Запуск средства устранения неполадок синхронизации

После устранения неполадок с подключением AD запустите средство синхронизации объектов, так как это может обнаружить самые очевидные причины, по которым объект или атрибут не синхронизируется.

Снимок экрана: экран устранения неполадок Microsoft Entra Connect.

Разрешения AD

Отсутствие разрешений AD может повлиять на оба направления синхронизации:

  • При импорте из ADDS в ADCS отсутствие разрешений может привести к пропуску объектов или атрибутов AADC, чтобы AADC не смог получить обновления ADDS в потоке импорта. Эта ошибка возникает, так как ADCA не имеет достаточных разрешений для чтения объекта.
  • При экспорте из ADCS в ADDS отсутствие разрешений создает ошибку экспорта "разрешение-проблема".

Чтобы проверить разрешения, откройте окно свойств объекта AD, выберите> "Дополнительно", а затем проверьте разрешения или запретить списки управления доступом объекта, нажав кнопку "Отключить наследование" (если наследование включено). Вы можете отсортировать содержимое столбца по типу , чтобы найти все разрешения "запретить". Разрешения AD могут значительно отличаться. Однако по умолчанию для доверенной подсистемы Exchange может отображаться только одно значение ACL "Запретить ACL". Большинство разрешений будут помечены как Allow.

Ниже приведены наиболее важные разрешения по умолчанию:

  • Пользователи, прошедшие проверку подлинности

    Снимок экрана: пользователи, прошедшие проверку подлинности.

  • Все

    Снимок экрана: параметр

  • Пользовательская учетная запись ADCA или MSOL

    Снимок экрана: пользовательская учетная запись ADCA или MSOL.

  • Доступ, совместимый с Windows 2000

    Снимок экрана: совместимый с Windows 2000 доступ.

  • SELF

    Снимок экрана: разрешено разрешение SELF.

Лучший способ устранения неполадок с разрешениями — использовать функцию "Эффективный доступ" в консоли пользователей и компьютеров AD. Эта функция проверяет действующие разрешения для данной учетной записи (ADCA) в целевом объекте или атрибуте, который требуется устранить.

Снимок экрана: сведения на вкладке

Внимание

Устранение неполадок с разрешениями AD может быть сложной задачей, так как изменение списков управления доступом не действует немедленно. Всегда учитывайте, что такие изменения подвержены репликации AD.

Например:

  • Убедитесь, что вы вносите необходимые изменения непосредственно в ближайший контроллер домена (см. раздел "Подключение с AD").
  • Дождитесь возникновения репликации ADDS.
  • По возможности перезапустите службу ADSync, чтобы очистить кэш.

Сводка по устранению неполадок

  • Определите, какой контроллер домена используется.
  • Используйте предпочтительный контроллер домена для назначения того же контроллера домена.
  • Правильно определите ADCA.
  • Используйте средство настройки разрешений учетной записи соединителя AD DS.
  • Используйте функцию "Эффективный доступ" в ad Users and Computers.
  • Используйте средство LDP, чтобы привязаться к контроллеру домена, который имеет ADCA, и попытаться прочитать неудачный объект или атрибут.
  • Временно добавьте ADCA администраторам предприятия или администраторам домена и перезапустите службу ADSync.

Важно. Не используйте это в качестве решения.

  • После проверки проблемы с разрешениями удалите ADCA из любой группы с высоким уровнем привилегий и предоставьте необходимые разрешения AD непосредственно в ADCA.
  • Обратитесь к службам каталогов или группе поддержки сети, чтобы помочь вам устранить ситуацию.

Репликации AD

Эта проблема, скорее всего, влияет на Microsoft Entra Connect, так как это приводит к большим проблемам. Однако, когда Microsoft Entra Connect импортирует данные из контроллера домена с помощью отложенной репликации, он не импортирует последние сведения из AD, что приводит к проблемам синхронизации, в которых объект или атрибут, недавно созданный или измененный в AD, не синхронизируется с идентификатором Microsoft Entra ID, так как он не был реплицирован на контроллер домена, к которому обращается Microsoft Entra Connect. Чтобы убедиться, что это проблема, проверьте контроллер домена, используемый AADC для импорта (см. раздел "Подключение к AD"), и используйте консоль ad Users and Computers для прямого подключения к этому серверу (см. раздел "Изменить контроллер домена" на следующем изображении). Затем убедитесь, что данные на этом сервере соответствуют последним данным и соответствуют ли они соответствующим данным ADCS. На этом этапе AADC создаст большую нагрузку на контроллер домена и сетевой уровень.

Снимок экрана: параметр

Другой подход — использовать средство RepAdmin для проверки метаданных репликации объекта на всех контроллерах домена, получения значения от всех контроллеров домена и проверки состояния репликации между контроллерами домена:

  • Значение атрибута из всех контроллеров домена:

    repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

    Снимок экрана: средство RepAdmin с помощью showattr.

  • Метаданные объекта из всех контроллеров домена:

    repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

    Снимок экрана: средство RepAdmin с командой showobjmeta.

  • Сводка по репликации AD

    repadmin /replsummary

    Снимок экрана: средство RepAdmin с помощью команды replsummary.

Сводка по устранению неполадок

  • Определите, какой контроллер домена используется.
  • Сравнение данных между контроллерами домена.
  • Анализ результатов RepAdmin.
  • Обратитесь к службам каталогов или группе поддержки сети, чтобы устранить проблему.

Изменения домена и подразделения, а также типы объектов или атрибуты, отфильтрованные или исключенные в соединителе ADDS

  • Для изменения домена или фильтрации подразделений требуется полный импорт

    Помните, что даже если проверка фильтрации домена или подразделения подтверждается, любые изменения в домене или фильтрации подразделений вступили в силу только после выполнения полного шага импорта.

  • Фильтрация атрибутов с помощью приложения Microsoft Entra и фильтрации атрибутов

    Простой сценарий для атрибутов, не синхронизирующихся, — это когда Microsoft Entra Connect настраивается с помощью функции фильтрации атрибутов и приложения Microsoft Entra. Чтобы проверить, включена ли функция и для каких атрибутов, выполните общий отчет о диагностике.

  • Тип объекта, исключенный в конфигурации соединителя ADDS

    Эта ситуация обычно не возникает для пользователей и групп. Однако если все объекты определенного типа объекта отсутствуют в ADCS, может быть полезно проверить, какие типы объектов включены в конфигурации соединителя ADDS.

    Командлет Get-ADSyncConnector можно использовать для получения типов объектов, включенных в соединителе, как показано на следующем рисунке. Ниже приведены типы объектов, которые должны быть включены по умолчанию:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

    Ниже приведены типы объектов, которые должны быть включены по умолчанию:

    Снимок экрана: типы объектов Get-ADSyncConnector.

    Примечание.

    Тип объекта publicFolder присутствует только в том случае, если включена функция общедоступной папки с поддержкой почты.

  • Атрибут, исключенный в ADCS

    Таким же образом, если атрибут отсутствует для всех объектов, проверьте, выбран ли атрибут в соединителе AD.

    Чтобы проверить включенные атрибуты в соединителе ADDS, используйте диспетчер синхронизации, как показано на следующем изображении, или выполните следующий командлет PowerShell:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

    Снимок экрана: диспетчер синхронизации соединителя AD.

    Примечание.

    Включение или исключение типов объектов или атрибутов в Диспетчере синхронизации не поддерживается.

Сводка по устранению неполадок

  • Проверка функции фильтрации атрибутов и приложения Microsoft Entra
  • Убедитесь, что тип объекта включен в ADCS.
  • Убедитесь, что атрибут включен в ADCS.
  • Выполните полный импорт.

Ресурсы для шага 1

Основные ресурсы:

  • Get-ADSyncConnectorAccount — определение правильной учетной записи соединителя, используемой AADC

  • ADConnectivityTool

  • Определение проблем с подключением с помощью ADDS

  • Trace-ADSyncToolsADImport (ADSyncTools) — данные трассировки, импортируемые из ADDS

  • LDIFDE — объект дампа из ADDS для сравнения данных между ADDS и ADCS

  • LDP — проверка подключения и разрешений привязки AD для чтения объекта в контексте безопасности ADCA

  • DSACLS — сравнение и оценка разрешений ADDS

  • Разрешения компонентов >Set-ADSync<. Применение разрешений AADC по умолчанию в ADDS

  • RepAdmin — проверка метаданных объекта AD и состояния репликации AD

Шаг 2. Синхронизация между ADCS и MV

Снимок экрана: блок-диаграмма A D C для MetaVerse.

Цель шага 2

На этом шаге проверяется, передается ли объект или атрибут из CS в MV (другими словами, проектируется ли объект или атрибут в MV). На этом этапе убедитесь, что объект присутствует или что атрибут правильно в ADCS (на шаге 1), а затем начните смотреть на правила синхронизации и происхождение объекта.

Описание шага 2

Синхронизация между ADCS и MV выполняется на шаге разностной или полной синхронизации. На этом этапе AADC считывает промежуточные данные в ADCS, обрабатывает все правила синхронизации и обновляет соответствующий объект MV. Этот объект MV будет содержать ссылки CS (или соединители), указывающие на объекты CS, которые способствуют его свойствам и происхождению правил синхронизации, примененных на шаге синхронизации. На этом этапе AADC создает большую нагрузку на SQL Server (или LocalDB) и сетевые слои.

Устранение неполадок ADCS > MV для объектов

  • Проверьте правила входящего синхронизации для подготовки

    Объект, который присутствует в ADCS, но отсутствует в MV, указывает, что нет фильтров области для любого из правил синхронизации подготовки, примененных к данному объекту. Поэтому объект не был проецирован на MV. Эта проблема может возникнуть при отключении или настройке правил синхронизации.

    Чтобы получить список правил синхронизации входящего трафика, выполните следующую команду:

    Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Снимок экрана: команда Get-ADSyncRule используется для проверки правил подготовки входящего трафика.

  • Проверка происхождения объекта ADCS

    Вы можете получить неудающийся объект из ADCS, выполнив поиск по запросу "DN или Привязка" в поле "Пространство соединителя поиска". На вкладке Lineage вы, вероятно, увидите, что объект является отсоединителем (без ссылок на MV), и происхождение пусто. Кроме того, проверьте, имеет ли объект какие-либо ошибки, если есть вкладка ошибок синхронизации.

    Снимок экрана: свойства объекта пространства соединителя в A D C S.

  • Запуск предварительной версии объекта ADCS

    Выберите предварительный просмотр>предварительной версии фиксации предварительной версии>, чтобы узнать, проецируется ли объект на MV. Если это так, то полный цикл синхронизации должен устранить проблему для других объектов в той же ситуации.

    Снимок экрана: экран предварительного просмотра объекта A D C S.

    Снимок экрана: экран сведений о исходном объекте в A D C S.

  • Экспорт объекта в XML

    Для более подробного анализа (или для автономного анализа) можно собирать все данные базы данных, связанные с объектом, с помощью командлета Export-ADSyncObject . Эти экспортированные сведения помогут определить, какое правило фильтрует объект. Другими словами, фильтр области входящего трафика в правилах синхронизации подготовки предотвращает проектируемый объект в MV.

    Ниже приведены некоторые примеры синтаксиса Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Сводка по устранению неполадок (объекты)

  • Проверьте фильтры области в правилах входящей подготовки "In From AD".
  • Создайте предварительный просмотр объекта.
  • Выполните полный цикл синхронизации.
  • Экспортируйте данные объекта с помощью скрипта Export-ADSyncObject .

Устранение неполадок ADCS > MV для атрибутов

  1. Определение правил входящего синхронизации и правил преобразования атрибута

    Каждый атрибут имеет собственный набор правил преобразований, которые отвечают за направление значения из ADCS в MV. Первым шагом является определение правил синхронизации, содержащих правило преобразования для атрибута, который вы устраняете.

    Лучший способ определить, какие правила синхронизации имеют правило преобразования для данного атрибута, — использовать встроенные возможности фильтрации редактора правил синхронизации.

    Снимок экрана: редактор правил синхронизации в A D C S.

  2. Проверка происхождения объекта ADCS

    Каждый соединитель (или ссылка) между CS и MV будет иметь происхождение, содержащее сведения о правилах синхронизации, применяемых к данному объекту CS. На предыдущем шаге вы узнаете, какой набор правил входящего синхронизации (независимо от того, должны ли правила подготовки или присоединения к синхронизации) присутствовать в происхождении объекта, чтобы передать правильное значение из ADCS в MV. Проверив происхождение объекта ADCS, вы сможете определить, было ли применено это правило синхронизации к объекту.

    Снимок экрана: экран свойств объекта пространства соединителя.

    Если есть несколько соединителей (несколько лесов AD), связанных с объектом MV, может потребоваться проверить свойства объекта Metaverse, чтобы определить, какой соединитель вносит значение атрибута в атрибут, который вы пытаетесь устранить неполадки. После определения соединителя изучите происхождение этого объекта ADCS.

    Снимок экрана: экран свойств объекта Метавселенной.

  3. Проверьте фильтры области в правиле синхронизации входящего трафика

    Если правило синхронизации включено, но отсутствует в происхождении объекта, объект должен быть отфильтрован фильтром области правила синхронизации. Проверив фильтры области правила синхронизации, данные объекта ADCS и включение или отключение правила синхронизации, необходимо определить, почему это правило синхронизации не было применено к объекту ADCS.

    Ниже приведен пример распространенных проблемных фильтров области из правила синхронизации, ответственного за синхронизацию свойств Exchange. Если объект имеет значение NULL для mailNickName, ни один из атрибутов Exchange в правилах преобразования будет передаваться в идентификатор Microsoft Entra.

    Снимок экрана: экран правила синхронизации для входящего трафика.

  4. Запуск предварительной версии объекта ADCS

    Если вы не можете определить, почему правило синхронизации отсутствует в происхождении объекта ADCS, запустите предварительную версию с помощью создания предварительной версии и предварительной версии фиксации для полной синхронизации объекта. Если атрибут обновляется в MV и имеет предварительную версию, то полный цикл синхронизации должен устранить проблему для других объектов в той же ситуации.

  5. Экспорт объекта в XML

    Для более подробного анализа или автономного анализа можно собирать все данные базы данных, связанные с объектом, с помощью скрипта Export-ADSyncObject . Эти экспортированные сведения помогут определить, какое правило синхронизации или правило преобразования отсутствует в объекте, который препятствует проецируемому атрибуту на MV (см . примеры Export-ADSyncObject , приведенные ранее в этой статье).

Сводка по устранению неполадок (для атрибутов)

  • Определите правильные правила синхронизации и правила преобразования, ответственные за поток атрибута в MV.
  • Проверьте происхождение объекта.
  • Проверьте, включены ли правила синхронизации.
  • Проверьте фильтры области правил синхронизации, отсутствующих в происхождении объекта.

Расширенное устранение неполадок конвейера правил синхронизации

Если необходимо дополнительно выполнить отладку обработчика ADSync (также известного как MiiServer) с точки зрения обработки правил синхронизации, можно включить трассировку ETW в файле конфигурации .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Этот метод создает подробный текстовый файл, показывающий всю обработку правил синхронизации. Однако может быть трудно интерпретировать всю информацию. Используйте этот метод в качестве последнего метода или если он указан служба поддержки Майкрософт.

Ресурсы для шага 2

  • Пользовательский интерфейс Диспетчера синхронизации
  • Редактор правил синхронизации
  • Скрипт Export-ADsyncObject
  • Start-ADSyncSyncCycle -PolicyType Initial
  • Трассировка трассировки ETW SyncRulesPipeline (miiserver.exe.config)

Шаг 3. Синхронизация между MV и AADCS

Снимок экрана: блок-диаграмма M V и A D C S.

Цель шага 3

На этом шаге проверяется, передается ли объект или атрибут из MV в AADCS. На этом этапе убедитесь в наличии объекта или правильности атрибута в ADCS и MV (описано в шагах 1 и 2). Затем изучите правила синхронизации и происхождение объекта. Этот шаг аналогичен шагу 2, в котором было рассмотрено направление входящего трафика от ADCS к MV, однако на этом этапе мы сосредоточимся на правилах и атрибутах исходящей синхронизации, которые передаются из MV в AADCS.

Описание шага 3

Синхронизация между MV и AADCS происходит на шаге разностной или полной синхронизации, когда AADC считывает данные в MV, обрабатывает все правила синхронизации и обновляет соответствующий объект AADCS. Этот объект MV будет содержать ссылки CS (также известные как соединители), указывающие на объекты CS, которые способствуют его свойствам и происхождению правил синхронизации, примененных на шаге синхронизации. На этом этапе AADC создает большую нагрузку на SQL Server (или localDB) и сетевой уровень.

Устранение неполадок MV в AADCS для объектов

  1. Ознакомьтесь с правилами исходящей синхронизации для подготовки

    Объект, который присутствует в MV, но отсутствует в AADCS, указывает на отсутствие фильтров области для любого из правил синхронизации подготовки, применяемых к данному объекту. Например, см. правила синхронизации "Out to Microsoft Entra ID", показанные на следующем рисунке. Поэтому объект не был подготовлен в AADCS. Эта ошибка может возникать при отключении или настройке правил синхронизации.

    Чтобы получить список правил синхронизации входящего трафика, выполните следующую команду:

    Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Снимок экрана: Get-ADSyncRule, используемый для проверки правил синхронизации исходящего трафика.

  2. Проверка происхождения объекта ADCS

    Чтобы получить неудачный объект из MV, используйте метавселенной поиск, а затем просмотрите вкладку соединителей. На этой вкладке можно определить, связан ли объект MV с объектом AADCS. Кроме того, проверьте наличие каких-либо ошибок в объекте, если присутствует вкладка ошибок синхронизации.

    Снимок экрана: экран

    Если соединитель AADCS отсутствует, объект, скорее всего, имеет значение cloudFiltered=True. Вы можете проверить, является ли объект облачным фильтром, проверив атрибуты MV, для которых правило синхронизации способствует значению cloudFiltered .

  3. Запуск предварительной версии объекта AADCS

    Чтобы определить, подключается ли объект к AADCS, выберите "Создать предварительную версию>предварительной версии", чтобы определить, подключается ли объект к AADCS.> Если да, то полный цикл синхронизации должен устранить проблему для других объектов в той же ситуации.

  4. Экспорт объекта в XML

    Для более подробного анализа или автономного анализа можно собирать все данные базы данных, связанные с объектом, с помощью скрипта Export-ADSyncObject . Эти экспортированные сведения вместе с конфигурацией правил синхронизации (исходящего трафика) могут помочь определить, какое правило отфильтровывает объект, и может определить, какой фильтр исходящей области в правилах синхронизации подготовки не позволяет объекту подключаться к AADCS.

    Ниже приведены некоторые примеры синтаксиса Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
    • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Сводка по устранению неполадок для объектов

  • Проверьте фильтры области в правилах исходящей подготовки "Out to Microsoft Entra ID".
  • Создайте предварительный просмотр объекта.
  • Выполните полный цикл синхронизации.
  • Экспортируйте данные объекта с помощью скрипта Export-ADSyncObject .

Устранение неполадок MV в AADCS для атрибутов

  1. Определение правил исходящей синхронизации и правил преобразования атрибута

    Каждый атрибут имеет собственный набор правил преобразования, которые отвечают за поток значения из MV в AADCS. Начните с определения правил синхронизации, содержащих правило преобразования для атрибута, который вы устраняете.

    Лучший способ определить, какие правила синхронизации имеют правило преобразования для данного атрибута, — использовать встроенные возможности фильтрации редактора правил синхронизации.

    Снимок экрана: редактор правил синхронизации.

  2. Проверка происхождения объекта ADCS

    Каждый соединитель (или ссылка) между CS и MV будет иметь происхождение, содержащее сведения о правилах синхронизации, применяемых к данному объекту CS. На предыдущем шаге вы узнаете, какой набор правил исходящей синхронизации (будь то правила подготовки или присоединения) должен присутствовать в происхождении объекта, чтобы передать правильное значение из MV в AADCS. Проверив происхождение объекта AADCS, вы можете определить, применено ли это правило синхронизации к объекту.

    Снимок экрана: сведения о вкладке lineage объекта A D C S.

  3. Проверьте фильтры области в правиле синхронизации исходящего трафика

    Если правило синхронизации включено, но отсутствует в происхождении объекта, оно должно быть отфильтровывается фильтром области правила синхронизации. Проверив наличие фильтров области правила синхронизации и данных объекта MV, а также включение или отключение правила синхронизации, необходимо определить, почему это правило синхронизации не было применено к объекту AADCS.

  4. Запуск предварительной версии объекта AADCS

    Если определить, почему правило синхронизации отсутствует из происхождения объекта ADCS, запустите предварительную версию, которая использует предварительную версию и предварительную версию фиксации для полной синхронизации объекта. Если атрибут обновляется в MV путем предварительного просмотра, то полный цикл синхронизации должен устранить проблему для других объектов в той же ситуации.

  5. Экспорт объекта в XML

    Для более подробного анализа или автономного анализа можно собирать все данные базы данных, связанные с объектом, с помощью скрипта Export-ADSyncObject. Эта экспортируемая информация вместе с конфигурацией правил синхронизации (исходящего трафика) поможет определить, какое правило синхронизации или правило преобразования отсутствует из объекта, который предотвращает поток атрибута в AADCS (см. примеры Export-ADSyncObject ранее).

Сводка по устранению неполадок для атрибутов

  • Определите правильные правила синхронизации и правила преобразования, ответственные за поток атрибута в AADCS.
  • Проверьте происхождение объекта.
  • Убедитесь, что правила синхронизации включены.
  • Проверьте фильтры области правил синхронизации, отсутствующих в происхождении объекта.

Устранение неполадок конвейера правил синхронизации

Если необходимо дополнительно выполнить отладку обработчика ADSync (также известного как MiiServer) с точки зрения обработки правил синхронизации, можно включить трассировку ETW в файле конфигурации .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Этот метод создает подробный текстовый файл, показывающий всю обработку правил синхронизации. Однако может быть трудно интерпретировать всю информацию. Используйте этот метод только в качестве последнего метода или если он указан служба поддержки Майкрософт.

Ресурсы

  • Пользовательский интерфейс Диспетчера синхронизации
  • Редактор правил синхронизации
  • Скрипт Export-ADsyncObject
  • Start-ADSyncSyncCycle -PolicyType Initial
  • Трассировка трассировки ETW SyncRulesPipeline (miiserver.exe.config)

Шаг 4. Синхронизация между AADCS и AzureAD

Снимок экрана: блок-диаграмма синхронизации между A D C S и идентификатором Microsoft Entra.

Цель шага 4

На этом этапе сравнивается объект AADCS с соответствующим объектом, подготовленным в идентификаторе Microsoft Entra.

Описание шага 4

Несколько компонентов и процессов, участвующих в импорте и экспорте данных в идентификатор Microsoft Entra, могут привести к следующим проблемам:

  • Подключение к Интернету
  • Внутренние брандмауэры и подключение isP (например, заблокированный сетевой трафик)
  • Шлюз Microsoft Entra перед веб-службой DirSync (также называется конечной точкой AdminWebService)
  • API веб-службы DirSync
  • Служба каталогов Microsoft Entra Core

К счастью, проблемы, влияющие на эти компоненты, обычно создают ошибку в журналах событий, которые можно отслеживать служба поддержки Майкрософт. Таким образом, эти проблемы недоступны для этой статьи. Тем не менее, есть еще некоторые "молчаливые" вопросы, которые можно изучить.

Устранение неполадок AADCS

  • Несколько активных серверов AADC, экспортируемых в идентификатор Microsoft Entra

    В обычном сценарии, в котором объекты в microsoft Entra ID переворачивают значения атрибутов обратно и вперед, есть несколько активных серверов Microsoft Entra Connect, и один из этих серверов теряет контакт с локальным AD, но по-прежнему подключен к Интернету и может экспортировать данные в идентификатор Microsoft Entra ID. Таким образом, каждый раз, когда этот "устаревший" сервер импортирует изменение из идентификатора Microsoft Entra на синхронизированный объект, сделанный другим активным сервером, подсистема синхронизации отменяет изменения на основе устаревших данных AD, которые в ADCS. Типичным симптомом этого сценария является то, что вы вносите изменения в AD, синхронизированные с идентификатором Microsoft Entra, но изменения возвращаются к исходному значению через несколько минут (до 30 минут). Чтобы быстро устранить эту проблему, вернитесь к любым старым серверам или виртуальным машинам, которые были выведены из эксплуатации, и проверьте, работает ли служба ADSync.

  • Мобильный атрибут с DirSyncOverrides

    Если администратор использует модуль MSOnline или AzureAD PowerShell или пользователь переходит на портал Office и обновляет атрибут Mobile , обновленный номер телефона будет перезаписан в AzureAD, несмотря на синхронизацию объекта из локальной службы AD (также известного как DirSyncEnabled).

    Вместе с этим обновлением идентификатор Microsoft Entra также задает DirSyncOverrides для объекта, чтобы пометить, что у этого пользователя есть номер мобильного телефона "перезаписан" в идентификаторе Microsoft Entra ID. С этого момента любое обновление мобильного атрибута, исходящее из локальной среды, будет игнорироваться, так как этот атрибут больше не будет управляться локальным AD.

    Дополнительные сведения о функции BypassDirSyncOverrides и восстановлении синхронизации атрибутов Mobile и другихMobile из идентификатора Microsoft Entra в локальная служба Active Directory см. в разделе "Как использовать функцию BypassDirSyncOverrides клиента Microsoft Entra".

  • Изменения UserPrincipalName не обновляются в идентификаторе Microsoft Entra

    Если атрибут UserPrincipalName не обновляется в идентификаторе Microsoft Entra ID, а другие атрибуты синхронизируются должным образом, возможно, что функция, которая называется SyncUpnForManagedUsers, не включена в клиенте. Этот сценарий часто возникает.

    Перед добавлением этой функции все обновления имени участника-пользователя, поступающие из локальной среды после подготовки пользователя в идентификаторе Microsoft Entra ID и назначенные лицензией, игнорируются автоматически. Администратору придется использовать MSOnline или Azure AD PowerShell для обновления имени участника-пользователя непосредственно в идентификаторе Microsoft Entra. После обновления этой функции все обновления имени участника-пользователя будут передаваться в Microsoft Entra независимо от того, лицензируется ли пользователь (управляемый).

    Примечание.

    После включения эта функция не может быть отключена.

    Обновления UserPrincipalName будут работать, если пользователь не лицензирован. Однако без функции SynchronizeUpnForManagedUsers ПользовательPrincipalName изменяется после подготовки пользователя и назначается лицензирование, которое не будет обновлено в идентификаторе Microsoft Entra. Обратите внимание, что корпорация Майкрософт не отключает эту функцию от имени клиента.

  • Недопустимые символы и внутренние компоненты ProxyCalc

    Проблемы, связанные с недопустимыми символами, которые не создают никаких ошибок синхронизации, являются более проблемными в атрибутах UserPrincipalName и ProxyAddresses из-за каскадного эффекта в обработке ProxyCalc, который автоматически отменяет значение, синхронизированное из локальной AD. Эта ситуация возникает следующим образом:

    1. Результирующий userPrincipalName в идентификаторе Microsoft Entra будет начальным доменом MailNickName или CommonName @ (at). Например, вместо John.Smith@Contoso.comэтого идентификатор UserPrincipalName в идентификаторе Microsoft Entra может статьsmithj@Contoso.onmicrosoft.com, так как в локальном AD есть невидимый символ в значении имени участника-пользователя.

    2. Если proxyAddress содержит пробел, ProxyCalc отбрасывает его и автоматически генерирует адрес электронной почты на основе MailNickName на начальном домене. Например, "SMTP: John.Smith@Contoso.com" не будет отображаться в идентификаторе Microsoft Entra, так как он содержит пробел после двоеточия.

    3. Пользователь UserPrincipalName, содержащий пробел или proxyAddress, который включает невидимый символ, вызовет ту же проблему.

      Чтобы устранить неполадки с недопустимым символом в UserPrincipalName или ProxyAddress, проверьте значение, хранящееся в локальном AD из LDIFDE или PowerShell, экспортированного в файл. Легко обнаружить невидимый символ — скопировать содержимое экспортированного файла, а затем вставить его в окно PowerShell. Невидимый символ будет заменен вопросительным знаком (?), как показано в следующем примере.

      Снимок экрана: пример устранения неполадок UserPrincipalName или ProxyAddress.

  • Атрибут ThumbnailPhoto (KB4518417)

    Существует общее неправильное представление о том, что после синхронизации ThumbnailPhoto из AD в первый раз вы не сможете обновить его, что только частично верно.

    Как правило, идентификатор Эскиза в Microsoft Entra ID постоянно обновляется. Однако проблема возникает, если обновленный рисунок больше не извлекается из идентификатора Microsoft Entra по соответствующей рабочей нагрузке или партнеру (например, EXO или SfBO). Эта проблема приводит к ложному впечатлению, что изображение не синхронизировано из локальной службы AD с идентификатором Microsoft Entra.

    Основные шаги по устранению неполадок с Эскизфото

    1. Убедитесь, что образ правильно хранится в AD и не превышает предел размера 100 КБ.

    2. Проверьте изображение на портале учетных записей или используйте Get-AzureADUserThumbnailPhoto, так как эти методы считывают ЭскизPhoto непосредственно из идентификатора Microsoft Entra.

    3. Если эскиз AD (или AzureAD) имеет правильное изображение, но не соответствует другим веб-службы, могут применяться следующие условия:

    • Почтовый ящик пользователя содержит изображение HD и не принимает изображения с низким разрешением из Microsoft Entra thumbnailPhoto. Решение заключается в непосредственном обновлении образа почтового ящика пользователя.
    • Изображение почтового ящика пользователя было обновлено правильно, но вы по-прежнему видите исходный образ. Решение состоит в том, чтобы подождать не менее шести часов, чтобы просмотреть обновленный образ на пользовательском портале Office 365 или портал Azure.

Дополнительные ресурсы

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.