Dela via


Felsöka etablering av lokala program

Felsöka problem med testanslutning

När du har konfigurerat etableringsagenten och ECMA-värden (Extensible Connectivity) är det dags att testa anslutningen från Microsoft Entra-etableringstjänsten till etableringsagenten, ECMA-värden och programmet. Om du vill utföra det här testet från slutpunkt till slutpunkt väljer du Testa anslutning i programmet i Azure Portal. Vänta 10 till 20 minuter efter att du har tilldelat en första agent eller ändrat agenten innan du testar anslutningen. Om testanslutningen misslyckas efter den här gången kan du prova följande felsökningssteg:

  1. Kontrollera att agenten och ECMA-värden körs:

    1. Öppna Tjänster på servern med agenten installerad genom att gå till Start>Run>Services.msc.

    2. Under Tjänster kontrollerar du att Microsoft Entra Connect-etableringsagenten och Microsoft ECMA2Host-tjänsterna finns och att deras status är Körs.

      Skärmbild som visar att ECMA-tjänsten körs.

  2. Kontrollera att värdtjänsten för ECMA Connector svarar på begäranden.

    1. Starta PowerShell på servern med agenten installerad.
    2. Ändra till mappen där ECMA-värden installerades, till exempel C:\Program Files\Microsoft ECMA2Host.
    3. Ändra till underkatalogen Troubleshooting.
    4. Kör skriptet TestECMA2HostConnection.ps1 i den katalogen. Ange anslutningsappens namn och den hemliga token som argument när du uppmanas att göra det.
      PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1
      Supply values for the following parameters:
      ConnectorName: CORPDB1
      SecretToken: ************
      
    5. Det här skriptet skickar en SCIM GET- eller POST-begäran för att verifiera att ECMA Connector-värden fungerar och svarar på begäranden. Om utdata inte visar att en HTTP-anslutning lyckades kontrollerar du att tjänsten körs och att rätt hemlig token har angetts.
  3. Kontrollera att agenten är aktiv genom att gå till ditt program i Azure Portal, välja administratörsanslutning, välja listrutan agent och se till att din agent är aktiv.

  4. Kontrollera om den angivna hemliga token är samma som den lokala hemliga token. Gå till lokalt, ange den hemliga token igen och kopiera den sedan till Azure Portal.

  5. Kontrollera att du har tilldelat en eller flera agenter till programmet i Azure Portal.

  6. När du har tilldelat en agent måste du vänta 10 till 20 minuter innan registreringen har slutförts. Anslutningstestet fungerar inte förrän registreringen har slutförts.

  7. Kontrollera att du använder ett giltigt certifikat som inte har upphört att gälla. Gå till fliken Inställningar för ECMA-värden för att visa certifikatets förfallodatum. Om certifikatet har upphört att gälla klickar du för Generate certificate att generera ett nytt certifikat.

  8. Starta om etableringsagenten genom att gå till aktivitetsfältet på den virtuella datorn genom att söka efter Microsoft Entra Connect-etableringsagenten. Högerklicka på Stoppa och välj sedan Start.

  9. Om du fortsätter att se The ECMA host is currently importing data from the target application även efter att ha startat om ECMA Connector-värden och etableringsagenten och väntar på att den första importen ska slutföras, kan du behöva avbryta och börja konfigurera etableringen av programmet i Azure Portal.

  10. När du anger klient-URL:en i Azure Portal kontrollerar du att den följer följande mönster. Du kan ersätta localhost med värdnamnet, men det krävs inte. Ersätt connectorName med namnet på anslutningsappen som du angav i ECMA-värden. Felmeddelandet "ogiltig resurs" anger vanligtvis att URL:en inte följer det förväntade formatet.

    https://localhost:8585/ecma2host_connectorName/scim
    
  11. Gå till följande mapp för att granska provisoneringsagentloggarna: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace

    1. Om du ser följande fel lägger du till tjänstkontot "NT SERVICE\AADConnectProvisioningAgent" i den lokala gruppen med namnet "Prestandalogganvändare". Detta eliminerar undantagsfelet "Det går inte att initiera måttinsamlaren" genom att låta kontot komma åt den önskade registernyckeln: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
Unable to initialize metrics collector, exception: 'System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
  1. När du konfigurerar ECMA-värden ska du ange ett certifikat med ett ämne som matchar värdnamnet för windows-servern. Certifikatet som genereras av ECMA-värden gör detta automatiskt åt dig, men ska endast användas i testsyfte.
Error code: SystemForCrossDomainIdentityManagementCredentialValidationUnavailable

Details: We received this unexpected response from your application: Received response from Web resource. Resource: https://localhost/Users?filter=PLACEHOLDER+eq+"8646d011-1693-4cd3-9ee6-0d7482ca2219" Operation: GET Response Status Code: InternalServerError Response Headers: Response Content: An error occurred while sending the request. Please check the service and try again.

Det går inte att konfigurera ECMA-värden, visa loggar i Loggboken eller starta ECMA-värdtjänsten

Lös följande problem genom att köra konfigurationsguiden för ECMA-värden som administratör:

  • Jag får ett fel när jag öppnar GUIDEN ECMA-värd.

    Skärmbild som visar ett ecma-guidefel.

  • Jag kan konfigurera ECMA-värdguiden, men jag kan inte se ECMA-värdloggarna. I det här fallet måste du öppna konfigurationsguiden för ECMA-värden som administratör och konfigurera en anslutningsapp från slutpunkt till slutpunkt. Det här steget kan förenklas genom att exportera en befintlig anslutningsapp och importera den igen.

    Skärmbild som visar värdloggar.

  • Jag kan konfigurera GUIDEN ECMA-värd, men jag kan inte starta ECMA-värdtjänsten.

    Skärmbild som visar värdtjänsten.

Aktivera utförlig loggning

Som standard switchValue är ecma connector-värden inställd på Verbose. Den här inställningen genererar detaljerad loggning som hjälper dig att felsöka problem. Du kan ändra verbosity till Error om du vill begränsa antalet loggar som genereras till endast fel. Om du använder SQL-anslutningsappen utan Windows-integrerad autentisering rekommenderar vi att du anger switchValue till Error eftersom det säkerställer att anslutningssträng inte genereras i loggarna. Om du vill ändra verbositeten till fel uppdaterar switchValue du till "Fel" på båda platserna enligt nedan.

Filplatsen för utförlig tjänstloggning är C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.

<?xml version="1.0" encoding="utf-8"?> 
<configuration> 
    <startup>  
        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> 
    </startup> 
    <appSettings> 
      <add key="Debug" value="true" /> 
    </appSettings> 
    <system.diagnostics> 
      <sources> 
    <source name="ConnectorsLog" switchValue="Error"> 
          <listeners> 
            <add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack"> 
              <filter type=""/> 
            </add> 
          </listeners> 
        </source> 
        <!-- Choose one of the following switchTrace:  Off, Error, Warning, Information, Verbose --> 
        <source name="ECMA2Host" switchValue="Error"> 
          <listeners>  
            <add initializeData="ECMA2Host" type="System.Diagnos

Filplatsen för guidens loggning är C:\Program Files\Microsoft ECMA2Host\Wizard\Microsoft.ECMA2Host.ConfigWizard.exe.config.

      <source name="ConnectorsLog" switchValue="Error"> 
        <listeners> 
          <add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack"> 
            <filter type=""/> 
          </add> 
        </listeners> 
      </source> 
      <!-- Choose one of the following switchTrace:  Off, Error, Warning, Information, Verbose --> 
      <source name="ECMA2Host" switchValue="Error"> 
        <listeners> 
          <add initializeData="ECMA2Host" type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ECMA2HostListener" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack" /> 

Fråga ECMA-värdcachen

ECMA-värden har en cache med användare i ditt program som uppdateras enligt det schema som du anger på egenskapssidan i GUIDEN ECMA-värd. Utför stegen nedan för att köra frågor mot cachen:

  1. Ange felsökningsflaggan till true.

    Tänk på att inställningen av felsökningsflaggan inaktiverar true autentisering på ECMA-värden. Du måste ställa in den på false och starta om ECMA-värdtjänsten när du är klar med att fråga cacheminnet.

    Filplatsen för utförlig tjänstloggning är C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.

    <?xml version="1.0" encoding="utf-8"?>
    <configuration>
       <startup>  
           <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> 
       </startup> 
       <appSettings> 
         <add key="Debug" value="true" /> 
       </appSettings> 
    
    
  2. Microsoft ECMA2Host Starta om tjänsten.

  3. Vänta tills ECMA-värden ansluter till målsystemen och läs dess cache från vart och ett av de anslutna systemen igen. Om det finns många användare i dessa anslutna system kan importprocessen ta flera minuter.

  4. Fråga den här slutpunkten från servern som ECMA-värden är installerad på och ersätt {connector name} med namnet på anslutningsappen, som anges på egenskapssidan för ECMA-värden: https://localhost:8585/ecma2host_{connectorName}/scim/cache.

    1. Starta PowerShell på servern med agenten installerad.
    2. Ändra till mappen där ECMA-värden installerades, till exempel C:\Program Files\Microsoft ECMA2Host.
    3. Ändra till underkatalogen Troubleshooting.
    4. Kör skriptet TestECMA2HostConnection.ps1 i katalogen och ange anslutningsappens namn och ObjectTypePath värdet cachesom argument. När du uppmanas till det skriver du den hemliga token som konfigurerats för anslutningsappen.
      PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 -ConnectorName CORPDB1 -ObjectTypePath cache
      Supply values for the following parameters:
      SecretToken: ************
      
    5. Det här skriptet skickar en SCIM GET-begäran för att verifiera att ECMA Connector-värden fungerar och svarar på begäranden. Om utdata inte visar att en HTTP-anslutning lyckades kontrollerar du att tjänsten körs och att rätt hemlig token har angetts.
  5. Ställ in felsökningsflaggan tillbaka till false eller ta bort inställningen när du är klar med att fråga cacheminnet.

  6. Microsoft ECMA2Host Starta om tjänsten.

Målattribut saknas

Etableringstjänsten identifierar automatiskt attribut i målprogrammet. Om du ser att ett målattribut saknas i listan över målattribut i Azure Portal utför du följande felsökningssteg:

  1. Granska sidan Välj attribut i ECMA-värdkonfigurationen för att kontrollera att attributet har valts, så att det exponeras för Azure Portal.
  2. Kontrollera att ECMA-värdtjänsten körs.
  3. När du har tilldelat agenterna till företagsprogrammet, slutfört testanslutningssteget och sparat administratörsautentiseringsuppgifterna uppdaterar du webbläsaren. Detta tvingar etableringstjänsten att göra en /schemas-begäran och identifiera målattributen.
  4. Granska ECMA-värdloggarna för att kontrollera att en /schemas-begäran har gjorts och granska attributen i svaret. Den här informationen är värdefull för support för att felsöka problemet.

Samla in loggar från Loggboken som en zip-fil

Du kan använda ett medföljande skript för att avbilda händelseloggarna i en zip-fil och exportera dem.

  1. På servern med agenten installerad högerklickar du på PowerShell i Start-menyn och väljer till Run as administrator.
  2. Ändra till mappen där ECMA-värden installerades, till exempel C:\Program Files\Microsoft ECMA2Host.
  3. Ändra till underkatalogen Troubleshooting.
  4. Kör skriptet CollectTroubleshootingInfo.ps1 i den katalogen.
  5. Skriptet skapar en ZIP-fil i katalogen som innehåller händelseloggarna.

Granska händelser i Loggboken

När mappningen av ECMA Connector-värdschemat har konfigurerats startar du tjänsten så att den lyssnar efter inkommande anslutningar. Övervaka sedan för inkommande begäranden.

  1. Välj Start-menyn, ange loggboken och välj Loggboken.
  2. I Loggboken expanderar du Program- och tjänstloggar och väljer Microsoft ECMA2Host-loggar.
  3. När ändringar tas emot av anslutningsvärden skrivs händelser till programloggen.

Vanliga fel

Fel Åtgärd
Det gick inte att läsa in filen eller sammansättningen "file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\Cache\8b514472-c18a-4641-9a44-732c296534e8\Microsoft.IAM.Connector.GenericSql.dll" eller något av dess beroenden. Åtkomst nekas. Kontrollera att nätverkstjänstkontot har fullständig behörighet över cachemappen. Om kontot har behörigheter men .NET försöker skapa en kopia av anslutnings-DLL:en kan det vara nödvändigt att lägga till DLL:en i den globala sammansättningscacheminnet.
Ogiltigt LDAP-format för objektets DN. DN: username@domain.com" eller Target Site: ValidByLdapStyle Kontrollera att kryssrutan "DN is Anchor" inte är markerad på ecma-värdens anslutningssida. Kontrollera att kryssrutan "autogenererad" är markerad på sidan "objekttyper" på ECMA-värden. Mer information finns i Om fästpunktsattribut och unika namn.
ExportErrorCustomContinueRun. objectClass: värdenumret är ogiltigt per syntax Kontrollera att etableringsattributmappningen till objectClass attributet endast innehåller namn på objektklasser som identifieras av katalogservern.

Förstå inkommande SCIM-begäranden

Begäranden från Microsoft Entra-ID till etableringsagenten och anslutningsvärden använder SCIM-protokollet. Begäranden som görs från värden till appar använder protokollet som appen stöder. Begäranden från värden till agenten till Microsoft Entra ID förlitar sig på SCIM. Du kan lära dig mer om SCIM-implementeringen i Självstudie: Utveckla och planera etablering för en SCIM-slutpunkt i Microsoft Entra-ID.

Microsoft Entra-etableringstjänsten gör vanligtvis ett get-user-anrop för att söka efter en dummyanvändare i tre situationer: i början av varje etableringscykel, innan etablering på begäran och när testanslutning väljs. Den här kontrollen säkerställer att målslutpunkten är tillgänglig och returnerar SCIM-kompatibla svar till Microsoft Entra-etableringstjänsten.

Hur gör jag för att felsöka etableringsagenten?

Du kan uppleva följande felscenarier.

Agenten kunde inte starta

Du kan få ett felmeddelande som anger:

"Det gick inte att starta tjänsten Microsoft Entra Connect Provisioning Agent. Kontrollera att du har tillräcklig behörighet för att starta systemtjänsterna."

Det här problemet orsakas vanligtvis av en grupprincip som förhindrade behörigheter från att tillämpas på det lokala inloggningskontot för NT-tjänsten som skapats av installationsprogrammet (NT SERVICE\AADConnectProvisioningAgent). De här behörigheterna krävs för att starta tjänsten.

Så här löser du problemet:

  1. Logga in på servern med ett administratörskonto.
  2. Öppna Tjänster genom att antingen navigera till den eller genom att gå till Start>Run>Services.msc.
  3. Under Tjänster dubbelklickar du på Microsoft Entra Connect Provisioning Agent.
  4. På fliken Logga in ändrar du Det här kontot till en domänadministratör. Starta sedan om tjänsten.

Det här testet verifierar att dina agenter kan kommunicera med Azure via port 443. Öppna en webbläsare och gå till den tidigare URL:en från servern där agenten är installerad.

Tidsgränsen för agenten eller certifikatet är ogiltigt

Du kan få följande felmeddelande när du försöker registrera agenten.

Skärmbild som visar att agenten överskrider tidsgränsen.

Det här problemet orsakas normalt av att agenten inte kan ansluta till hybrididentitetstjänsten och kräver att du konfigurerar en HTTP-proxy. Du kan lösa problemet genom att konfigurera en utgående proxy.

Etableringsagenten stöder användning av en utgående proxy. Du kan konfigurera det genom att redigera agentkonfigurationsfilen C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Lägg till följande rader i den, mot slutet av filen precis före den avslutande </configuration> taggen. Ersätt variablerna [proxy-server] och [proxy-port] med proxyserverns namn och portvärden.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Agentregistreringen misslyckas med säkerhetsfel

Du kan få ett felmeddelande när du installerar molnetableringsagenten.

Det här problemet orsakas vanligtvis av att agenten inte kan köra PowerShell-registreringsskripten på grund av lokala PowerShell-körningsprinciper.

Lös problemet genom att ändra PowerShell-körningsprinciperna på servern. Du måste ha maskin- och användarprinciper inställda som Odefinierade eller Fjärrsignerade. Om de anges som Obegränsade visas det här felet. Mer information finns i PowerShell-körningsprinciper.

Loggfiler

Som standard avger agenten minimala felmeddelanden och stackspårningsinformation. Du hittar spårningsloggar i mappen C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Så här samlar du in mer information om felsökning av agentrelaterade problem:

  1. AADCloudSyncTools Installera PowerShell-modulen enligt beskrivningen i AADCloudSyncTools PowerShell-modulen för Microsoft Entra Connect-molnsynkronisering.

  2. Använd PowerShell-cmdleten Export-AADCloudSyncToolsLogs för att samla in informationen. Använd följande växlar för att finjustera datainsamlingen. Använd:

    • Hoppa överVerboseTrace för att endast exportera aktuella loggar utan att samla in utförliga loggar (standard = false).
    • TracingDurationMins för att ange en annan varaktighet för avbildning (standard = 3 minuter).
    • OutputPath för att ange en annan utdatasökväg (standard = användarens dokument).

Genom att använda Microsoft Entra-ID kan du övervaka etableringstjänsten i molnet och samla in loggar lokalt. Etableringstjänsten genererar loggar för varje användare som utvärderades som en del av synkroniseringsprocessen. Dessa loggar kan användas via Azure Portal användargränssnitt, API:er och logganalys. ECMA-värden genererar även loggar lokalt. Den visar varje etableringsbegäran som togs emot och svaret som skickades till Microsoft Entra-ID.

Agentinstallationen misslyckas

  • Felet System.ComponentModel.Win32Exception: The specified service already exists anger att den tidigare ECMA-värden inte avinstallerades. Avinstallera värdprogrammet. Gå till programfiler och ta bort ECMA-värdmappen. Du kanske vill lagra konfigurationsfilen för säkerhetskopiering.

  • Följande fel anger att en förutsättning inte har uppfyllts. Kontrollera att .NET 4.7.1 är installerat.

      Method Name : <>c__DisplayClass0_1 : 
      RegisterNotLoadedAssemblies Error during load assembly: System.Management.Automation.resources.dll
      --------- Outer Exception Data ---------
      Message: Could not load file or assembly 'file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\System.Management.Automation.resources.dll' or one of its dependencies. The system cannot find the file specified.
    
    

Jag får ett ogiltigt DN-fel i LDAP-format när jag försöker konfigurera ECMA Connector-värden med SQL

Som standard förväntar sig den allmänna SQL-anslutningsappen att DN fylls i med LDAP-formatet (när attributet "DN är fästpunkt" lämnas avmarkerat på den första anslutningssidan). I felmeddelandet Invalid LDAP style DN eller Target Site: ValidByLdapStylekan du se att DN-fältet innehåller ett UPN (User Principal Name) i stället för ett DN i LDAP-format som anslutningsappen förväntar sig.

Lös det här felmeddelandet genom att se till att Autogenererad har valts på sidan objekttyper när du konfigurerar anslutningsappen.

Mer information finns i Om fästpunktsattribut och unika namn.

Nästa steg