Dela via

Felsöka ett objekt som inte synkroniseras med Microsoft Entra-ID

  • Artikel

Om ett objekt inte synkroniseras som förväntat med Microsoft Entra-ID kan det bero på flera orsaker. Om du får ett felmeddelande via e-post från Microsoft Entra-ID eller om du ser felet i Microsoft Entra Connect Health läser du Felsöka fel under synkroniseringen i stället. Men om du felsöker ett problem där objektet inte finns i Microsoft Entra-ID är den här artikeln till dig. Den beskriver hur du hittar fel i den lokala komponenten Microsoft Entra Connect-synkronisering.

Viktig

För Microsoft Entra Connect-distribution med version 1.1.749.0 eller senare använder du felsökningsuppgift i guiden för att felsöka problem med objektsynkronisering.

Synkroniseringsprocess

Innan vi undersöker synkroniseringsproblem ska vi förstå synkroniseringsprocessen för Microsoft Entra Connect:

diagram över Microsoft Entra Connect-synkroniseringsprocessen

Terminologi

  • CS: Kopplingsrymd, en tabell i en databas
  • MV: Metaverse, en tabell i en databas

synkroniseringssteg

Synkroniseringsprocessen omfattar följande steg:

  1. Importera från AD: Active Directory-objekt förs in i Active Directory CS.

  2. Importera från Microsoft Entra-ID: Microsoft Entra-objekt förs in i Microsoft Entra CS.

  3. Synkronisering: Regler för inkommande synkronisering och regler för utgående synkronisering körs i prioritetsordning, från lägre till högre. Om du vill visa synkroniseringsreglerna går du till Redigeraren för synkroniseringsregler från skrivbordsprogram. Reglerna för inkommande synkronisering tar in data från CS till MV. Reglerna för utgående synkronisering flyttar data från MV till CS.

  4. Exportera till AD: Efter synkronisering exporteras objekt från Active Directory CS till Active Directory.

  5. Exportera till Microsoft Entra-ID: Efter synkronisering exporteras objekt från Microsoft Entra CS till Microsoft Entra ID.

Felsökning

Om du vill hitta felen kan du titta på några olika platser i följande ordning:

  1. -åtgärdsloggarna för att hitta fel som identifierats av synkroniseringsmotorn under import och synkronisering.
  2. Använd kontaktytan för att hitta saknade objekt och synkroniseringsfel.
  3. metaversum för att hitta datarelaterade problem.

Starta Synchronization Service Manager innan du påbörjar de här stegen.

Verksamhet

Fliken Åtgärder i Synkroniseringstjänsthanteraren är den plats där du bör starta felsökningen. På den här fliken visas resultatet från de senaste åtgärderna.

Skärmbild av Synkroniseringstjänsthanteraren med fliken Åtgärder markerad

Den övre halvan av fliken Åtgärder visar alla körningar i kronologisk ordning. Som standard behåller driftloggen information om de senaste sju dagarna, men den här inställningen kan ändras med schemaläggaren. Leta efter alla körningar som inte visar en lyckades status. Du kan ändra sortering genom att välja rubrikerna.

Kolumnen Status innehåller den viktigaste informationen och visar det allvarligaste problemet för en körning. Här är en snabb sammanfattning av de vanligaste statusarna efter undersökningsprioritet (där * anger flera möjliga felsträngar).

Status Kommentar
Stoppat-* Körningen kunde inte slutföras. Detta kan till exempel inträffa om fjärrsystemet är nere och inte kan kontaktas.
stoppad-felgräns Det finns fler än 5 000 fel. Körningen stoppades automatiskt på grund av det stora antalet fel.
slutförda-*-fel Körningen slutfördes, men det finns fel (färre än 5 000) som bör undersökas.
avslutade-*-varningar Körningen slutfördes, men vissa data är inte i det förväntade tillståndet. Om det finns fel är det här meddelandet bara ett symptom. Undersök inte varningar förrän du har åtgärdat fel.
framgång Inga problem.

När du väljer en rad uppdateras den nedre delen av fliken Åtgärder för att visa information om den körningen. Längst till vänster i det här området kan det finnas en lista med titeln Steg #. Den här listan visas bara om det finns flera domäner i skogen och varje domän representeras av ett steg. Domännamnet finns under rubriken Partition. Under rubriken Synkroniseringsstatistik hittar du mer information om antalet ändringar som har bearbetats. Välj länkarna för att hämta en lista över de ändrade objekten. Om det finns objekt med fel visas dessa fel under rubriken Synkroniseringsfel.

Fel på fliken Åtgärder

När det finns fel visar Synchronization Service Manager både objektet i fel och själva felet som länkar som ger mer information.

Skärmbild av fel i Synchronization Service Manager
Börja med att välja felsträngen. (I föregående figur är felsträngen sync-rule-error-function-triggered.) Du får först en översikt över objektet. Om du vill se det faktiska felet väljer du Stack Trace. Den här spårningen innehåller information på felsökningsnivå för felet.

Högerklicka på rutan Anropsstackinformation, välj Markera allaoch klicka sedan på Kopiera. Kopiera sedan stacken och titta på felet i din favoritredigerare, till exempel Anteckningar.

Om felet kommer från SyncRulesEnginevisar informationen om anropsstacken först alla attribut i objektet. Rulla nedåt tills rubriken InnerException =>.

Skärmbild av Synkroniseringstjänsthanteraren som visar felinformation under rubriken InnerException =>

Raden efter rubriken visar felet. I föregående bild kommer felet från en anpassad synkroniseringsregel som Fabrikam skapade.

Om felet inte ger tillräckligt med information är det dags att titta på själva data. Välj länken med objektidentifieraren och fortsätt att felsöka det anslutningsutrymme som importerats.

Egenskaper för anslutningsutrymmesobjekt

Om fliken Åtgärder inte visar några fel, följer du objektet för anslutningsutrymme från Active Directory till metaverse till Microsoft Entra ID. I den här sökvägen bör du se var problemet finns.

Söka efter ett objekt i CS

I Synkroniseringstjänsthanteraren väljer du Anslutningar, väljer Active Directory Connector och väljer Sök i anslutningsutrymme.

I rutan Omfång väljer du RDN när du vill söka på CN-attributet, eller DN eller fästpunkt när du vill söka på attributet distinguishedName. Ange ett värde och välj Sök.

Skärmbild av en sökning i en connectorplats

Om du inte hittar objektet du letar efter kan det ha filtrerats med domänbaserad filtrering eller OU-baserad filtrering. Kontrollera att filtreringen är konfigurerad som förväntat genom att läsa Microsoft Entra Connect Sync: Konfigurera filtrering.

Du kan utföra en annan användbar sökning genom att välja Microsoft Entra Connector. I rutan Omfång väljer du Väntar på importoch markerar sedan kryssrutan Lägg till. Den här sökningen ger dig alla synkroniserade objekt i Microsoft Entra-ID som inte kan associeras med ett lokalt objekt.

Skärmbild av föräldralösa i en connector space-sökning

Dessa objekt skapades av en annan synkroniseringsmotor eller en synkroniseringsmotor med en annan filtreringskonfiguration. Dessa överblivna objekt hanteras inte längre. Granska den här listan och överväg att ta bort dessa objekt med hjälp av cmdletarna Microsoft Graph PowerShell.

CS-import

När du öppnar ett CS-objekt finns det flera flikar överst. Fliken Importera visar de data som mellanlagras efter en import.

Skärmbild av fönstret Egenskaper för anslutningsutrymmesobjekt med fliken Importera markerad

Kolumnen Gammalt värde visar vad som för närvarande lagras i Connect. Kolumnen Nytt värde visar vad som tas emot från källsystemet och tillämpas inte ännu. Om det finns ett fel på objektet bearbetas inte ändringarna.

Fliken synkroniseringsfel visas i anslutningsobjektsegenskaper enbart om det föreligger ett problem med objektet. För mer information, se hur du felsöker synkroniseringsfel på fliken Åtgärder.

Skärmbild av fliken Synkroniseringsfel i fönstret Egenskaper för anslutningsutrymmesobjekt

CS-linje

Fliken Härledning i fönstret Egenskaper för anslutningsutrymmesobjekt visar hur anslutningsutrymmesobjektet är kopplat till metaversumobjektet. Du kan se när anslutningsappen senast importerade en ändring från det anslutna systemet och vilka regler som tillämpas för att fylla i data i metaversum.

Skärmbild som visar fliken Släktlinje i fönstret Egenskaper för anslutningsutrymmesobjekt

I föregående bild visar kolumnen Åtgärd en regel för inkommande synkronisering med åtgärden Tilldelning. Det indikerar att så länge det här kopplingsutrymmesobjektet finns kvar finns metaversumobjektet kvar. Om listan över synkroniseringsregler i stället visar en utgående synkroniseringsregel med åtgärden Provision, tas det här objektet bort när metaverse-objektet tas bort.

Skärmbild av ett härstamningsfönster på fliken Härstamning i fönstret Egenskaper för anslutningsutrymmesobjekt

I föregående bild kan du också se i kolumnen PasswordSync att det inkommande anslutningsutrymmet kan bidra med ändringar i lösenordet eftersom en synkroniseringsregel har värdet True. Det här lösenordet skickas till Microsoft Entra-ID via utgående regel.

På fliken Ursprung kan du komma till metaversen genom att välja Metaverse-objektegenskaper.

Förhandsvisning

I det nedre vänstra hörnet i fönstret Egenskaper för anslutningsutrymmesobjekt finns knappen Förhandsgranskning. Välj den här knappen om du vill öppna sidan Förhandsversion, där du kan synkronisera ett enda objekt. Den här sidan är användbar om du felsöker vissa anpassade synkroniseringsregler och vill se effekten av en ändring på ett enskilt objekt. Du kan välja en Fullständig synkronisering eller en Delta-synkronisering. Du kan också välja Generera förhandsversion, som bara behåller ändringen i minnet. Du kan också välja Commit Preview, som uppdaterar metaversum och förbereder alla ändringar i målanslutningsmiljöer.

Skärmbild av förhandsgranskningssidan med Start Preview valt

I förhandsversionen kan du granska objektet och se vilken regel som tillämpas för ett visst attributflöde.

Skärmbild av förhandsgranskningssidan som visar importera attributflöde

Logg

Bredvid knappen Förhandsgranska väljer du knappen Logg för att öppna sidan Logg. Här kan du se status och historik för lösenordssynkronisering. För mer information, se Felsöka synkronisering av lösenordshash med Microsoft Entra Connect Sync.

Egenskaper för metaversumobjekt

Det är bättre att börja söka från källans Active Directory-anslutningsutrymme. Men du kan också börja söka från metaversum.

Söka efter ett objekt i MV

I Synkroniseringstjänsthanteraren väljer du Metaverse Search, som i följande bild. Skapa en fråga som du vet hittar användaren. Sök efter vanliga attribut, till exempel accountName (sAMAccountName) och userPrincipalName. Mer information finns i Sync Service Manager Metaverse search.

Skärmbild av Synchronization Service Manager med fliken Metaverse Search markerad

I fönstret Sökresultat väljer du objektet.

Om du inte hittade objektet har det inte nått metaversum. Fortsätt att söka efter objektet i active directory-anslutningsutrymmet. Om du hittar objektet i Active Directory-anslutningsutrymmet kan det finnas ett synkroniseringsfel som blockerar objektet från att komma till metaversum. Eller så kan ett omfångsfilter för synkroniseringsregel tillämpas.

Objektet hittades inte i MV

Om objektet finns i Active Directory CS men inte finns i MV tillämpas ett omfångsfilter. För att granska omfångsfiltret, gå in på skrivbordsprogrammenyn och välj Redigeraren för synkroniseringsregler. Filtrera de regler som gäller för objektet genom att justera filtret nedan.

Skärmbild av Redigeraren för synkroniseringsregler som visar en sökning efter inkommande synkroniseringsregler

Visa varje regel i listan ovan och kontrollera avgränsningsfiltret . Om värdet för isCriticalSystemObject är null, FALSE eller tomt, är det i omfånget i följande omfångsfilter.

Skärmbild av ett omfångsfilter i en sökning efter inkommande synkroniseringsregel

Gå till CS Import attributlistan och kontrollera vilket filter som blockerar objektet från att flyttas till MV. Attributlistan i Connector Space visar endast attribut som varken är null eller tomma. Om till exempel isCriticalSystemObject inte visas i listan är värdet för det här attributet null eller tomt.

Objektet hittades inte i Microsoft Entra CS

Om objektet inte finns i anslutningsutrymmet för Microsoft Entra-ID men finns i MV kan du titta på omfångsfiltret för de utgående reglerna för motsvarande anslutningsutrymme. Kontrollera om objektet filtreras bort eftersom MV-attribut inte uppfyller kriterierna.

Om du vill titta på det utgående omfångsfiltret väljer du tillämpliga regler för objektet genom att justera följande filter. Visa varje regel och granska motsvarande MV-attribut-värde.

Skärmbild av en sökning efter utgående synkroniseringsregler i Redigeraren för synkroniseringsregler

MV-egenskap

På fliken Attribut kan du se värdena och vilka kontakter som bidrog till dem.

Skärmbild av fönstret Egenskaper för metaversumobjekt med fliken Attribut markerad

Om ett objekt inte synkroniseras ställer du följande frågor om attributtillstånd i metaversum:

  • Är attributet cloudFiltered närvarande och inställt på True? I så fall filtreras den enligt stegen i attributbaserad filtrering.
  • Finns attributet sourceAnchor? Om inte, har du en skogstopologi för kontoresurser? Om ett objekt identifieras som en länkad postlåda (attributet msExchRecipientTypeDetails har värdet 2) är det den skog med ett aktiverat Active Directory-konto som bidrar med sourceAnchor. Kontrollera att huvudkontot har importerats och synkroniserats korrekt. Huvudkontot måste anges bland de anslutningarna för objektet.

MV-kontakter

Fliken Kontakter visar alla kontaktytor som har en representation av objektet.

Skärmbild av fönstret Egenskaper för metaverse-objekt med fliken Anslutningar markerad

Du bör ha en anslutning till:

  • Varje Active Directory-skog som användaren representeras i. Den här representationen kan omfatta foreignSecurityPrincipals-- och Kontakt--objekt.
  • En anslutning i Microsoft Entra ID.

Om du saknar anslutningen till Microsoft Entra ID kan du läsa avsnittet om MV-attribut för att verifiera kriterierna för tilldelning till Microsoft Entra ID.

På fliken Connectors kan du också gå till -anslutningsobjektet. Välj en rad och välj Egenskaper.

Nästa steg