Felsöka etablering av lokala program
Felsöka problem med testanslutning
När du har konfigurerat etableringsagenten och ECMA-värden (Extensible Connectivity) är det dags att testa anslutningen från Microsoft Entra-etableringstjänsten till etableringsagenten, ECMA-värden och programmet. Om du vill utföra det här testet från slutpunkt till slutpunkt väljer du Testa anslutning i programmet i Azure Portal. Vänta 10 till 20 minuter efter att du har tilldelat en första agent eller ändrat agenten innan du testar anslutningen. Om testanslutningen misslyckas efter den här gången kan du prova följande felsökningssteg:
Kontrollera att agenten och ECMA-värden körs:
Öppna Tjänster på servern med agenten installerad genom att gå till Start>Run>Services.msc.
Under Tjänster kontrollerar du att Microsoft Entra Connect-etableringsagenten och Microsoft ECMA2Host-tjänsterna finns och att deras status är Körs.
Kontrollera att värdtjänsten för ECMA Connector svarar på begäranden.
- Starta PowerShell på servern med agenten installerad.
- Ändra till mappen där ECMA-värden installerades, till exempel
C:\Program Files\Microsoft ECMA2Host
. - Ändra till underkatalogen
Troubleshooting
. - Kör skriptet
TestECMA2HostConnection.ps1
i den katalogen. Ange anslutningsappens namn och den hemliga token som argument när du uppmanas att göra det.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 Supply values for the following parameters: ConnectorName: CORPDB1 SecretToken: ************
- Det här skriptet skickar en SCIM GET- eller POST-begäran för att verifiera att ECMA Connector-värden fungerar och svarar på begäranden. Om utdata inte visar att en HTTP-anslutning lyckades kontrollerar du att tjänsten körs och att rätt hemlig token har angetts.
Kontrollera att agenten är aktiv genom att gå till ditt program i Azure Portal, välja administratörsanslutning, välja listrutan agent och se till att din agent är aktiv.
Kontrollera om den angivna hemliga token är samma som den lokala hemliga token. Gå till lokalt, ange den hemliga token igen och kopiera den sedan till Azure Portal.
Kontrollera att du har tilldelat en eller flera agenter till programmet i Azure Portal.
När du har tilldelat en agent måste du vänta 10 till 20 minuter innan registreringen har slutförts. Anslutningstestet fungerar inte förrän registreringen har slutförts.
Kontrollera att du använder ett giltigt certifikat som inte har upphört att gälla. Gå till fliken Inställningar för ECMA-värden för att visa certifikatets förfallodatum. Om certifikatet har upphört att gälla klickar du för
Generate certificate
att generera ett nytt certifikat.Starta om etableringsagenten genom att gå till aktivitetsfältet på den virtuella datorn genom att söka efter Microsoft Entra Connect-etableringsagenten. Högerklicka på Stoppa och välj sedan Start.
Om du fortsätter att se
The ECMA host is currently importing data from the target application
även efter att ha startat om ECMA Connector-värden och etableringsagenten och väntar på att den första importen ska slutföras, kan du behöva avbryta och börja konfigurera etableringen av programmet i Azure Portal.När du anger klient-URL:en i Azure Portal kontrollerar du att den följer följande mönster. Du kan ersätta
localhost
med värdnamnet, men det krävs inte. ErsättconnectorName
med namnet på anslutningsappen som du angav i ECMA-värden. Felmeddelandet "ogiltig resurs" anger vanligtvis att URL:en inte följer det förväntade formatet.https://localhost:8585/ecma2host_connectorName/scim
Gå till följande mapp för att granska provisoneringsagentloggarna: C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace
- Om du ser följande fel lägger du till tjänstkontot "NT SERVICE\AADConnectProvisioningAgent" i den lokala gruppen med namnet "Prestandalogganvändare". Detta eliminerar undantagsfelet "Det går inte att initiera måttinsamlaren" genom att låta kontot komma åt den önskade registernyckeln: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
Unable to initialize metrics collector, exception: 'System.UnauthorizedAccessException: Access to the registry key 'Global' is denied.
- När du konfigurerar ECMA-värden ska du ange ett certifikat med ett ämne som matchar värdnamnet för windows-servern. Certifikatet som genereras av ECMA-värden gör detta automatiskt åt dig, men ska endast användas i testsyfte.
Error code: SystemForCrossDomainIdentityManagementCredentialValidationUnavailable
Details: We received this unexpected response from your application: Received response from Web resource. Resource: https://localhost/Users?filter=PLACEHOLDER+eq+"8646d011-1693-4cd3-9ee6-0d7482ca2219" Operation: GET Response Status Code: InternalServerError Response Headers: Response Content: An error occurred while sending the request. Please check the service and try again.
Det går inte att konfigurera ECMA-värden, visa loggar i Loggboken eller starta ECMA-värdtjänsten
Lös följande problem genom att köra konfigurationsguiden för ECMA-värden som administratör:
Jag får ett fel när jag öppnar GUIDEN ECMA-värd.
Jag kan konfigurera ECMA-värdguiden, men jag kan inte se ECMA-värdloggarna. I det här fallet måste du öppna konfigurationsguiden för ECMA-värden som administratör och konfigurera en anslutningsapp från slutpunkt till slutpunkt. Det här steget kan förenklas genom att exportera en befintlig anslutningsapp och importera den igen.
Jag kan konfigurera GUIDEN ECMA-värd, men jag kan inte starta ECMA-värdtjänsten.
Aktivera utförlig loggning
Som standard switchValue
är ecma connector-värden inställd på Verbose
. Den här inställningen genererar detaljerad loggning som hjälper dig att felsöka problem. Du kan ändra verbosity till Error
om du vill begränsa antalet loggar som genereras till endast fel. Om du använder SQL-anslutningsappen utan Windows-integrerad autentisering rekommenderar vi att du anger switchValue
till Error
eftersom det säkerställer att anslutningssträng inte genereras i loggarna. Om du vill ändra verbositeten till fel uppdaterar switchValue
du till "Fel" på båda platserna enligt nedan.
Filplatsen för utförlig tjänstloggning är C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<startup>
<supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />
</startup>
<appSettings>
<add key="Debug" value="true" />
</appSettings>
<system.diagnostics>
<sources>
<source name="ConnectorsLog" switchValue="Error">
<listeners>
<add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack">
<filter type=""/>
</add>
</listeners>
</source>
<!-- Choose one of the following switchTrace: Off, Error, Warning, Information, Verbose -->
<source name="ECMA2Host" switchValue="Error">
<listeners>
<add initializeData="ECMA2Host" type="System.Diagnos
Filplatsen för guidens loggning är C:\Program Files\Microsoft ECMA2Host\Wizard\Microsoft.ECMA2Host.ConfigWizard.exe.config.
<source name="ConnectorsLog" switchValue="Error">
<listeners>
<add initializeData="ConnectorsLog" type="System.Diagnostics.EventLogTraceListener, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ConnectorsLog" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack">
<filter type=""/>
</add>
</listeners>
</source>
<!-- Choose one of the following switchTrace: Off, Error, Warning, Information, Verbose -->
<source name="ECMA2Host" switchValue="Error">
<listeners>
<add initializeData="ECMA2Host" type="System.Diagnostics.EventLogTraceListener, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" name="ECMA2HostListener" traceOutputOptions="LogicalOperationStack, DateTime, Timestamp, Callstack" />
Fråga ECMA-värdcachen
ECMA-värden har en cache med användare i ditt program som uppdateras enligt det schema som du anger på egenskapssidan i GUIDEN ECMA-värd. Utför stegen nedan för att köra frågor mot cachen:
Ange felsökningsflaggan till
true
.Tänk på att inställningen av felsökningsflaggan inaktiverar
true
autentisering på ECMA-värden. Du måste ställa in den påfalse
och starta om ECMA-värdtjänsten när du är klar med att fråga cacheminnet.Filplatsen för utförlig tjänstloggning är
C:\Program Files\Microsoft ECMA2Host\Service\Microsoft.ECMA2Host.Service.exe.config
.<?xml version="1.0" encoding="utf-8"?> <configuration> <startup> <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" /> </startup> <appSettings> <add key="Debug" value="true" /> </appSettings>
Microsoft ECMA2Host
Starta om tjänsten.Vänta tills ECMA-värden ansluter till målsystemen och läs dess cache från vart och ett av de anslutna systemen igen. Om det finns många användare i dessa anslutna system kan importprocessen ta flera minuter.
Fråga den här slutpunkten från servern som ECMA-värden är installerad på och ersätt
{connector name}
med namnet på anslutningsappen, som anges på egenskapssidan för ECMA-värden:https://localhost:8585/ecma2host_{connectorName}/scim/cache
.- Starta PowerShell på servern med agenten installerad.
- Ändra till mappen där ECMA-värden installerades, till exempel
C:\Program Files\Microsoft ECMA2Host
. - Ändra till underkatalogen
Troubleshooting
. - Kör skriptet
TestECMA2HostConnection.ps1
i katalogen och ange anslutningsappens namn ochObjectTypePath
värdetcache
som argument. När du uppmanas till det skriver du den hemliga token som konfigurerats för anslutningsappen.PS C:\Program Files\Microsoft ECMA2Host\Troubleshooting> .\TestECMA2HostConnection.ps1 -ConnectorName CORPDB1 -ObjectTypePath cache Supply values for the following parameters: SecretToken: ************
- Det här skriptet skickar en SCIM GET-begäran för att verifiera att ECMA Connector-värden fungerar och svarar på begäranden. Om utdata inte visar att en HTTP-anslutning lyckades kontrollerar du att tjänsten körs och att rätt hemlig token har angetts.
Ställ in felsökningsflaggan tillbaka till
false
eller ta bort inställningen när du är klar med att fråga cacheminnet.Microsoft ECMA2Host
Starta om tjänsten.
Målattribut saknas
Etableringstjänsten identifierar automatiskt attribut i målprogrammet. Om du ser att ett målattribut saknas i listan över målattribut i Azure Portal utför du följande felsökningssteg:
- Granska sidan Välj attribut i ECMA-värdkonfigurationen för att kontrollera att attributet har valts, så att det exponeras för Azure Portal.
- Kontrollera att ECMA-värdtjänsten körs.
- När du har tilldelat agenterna till företagsprogrammet, slutfört testanslutningssteget och sparat administratörsautentiseringsuppgifterna uppdaterar du webbläsaren. Detta tvingar etableringstjänsten att göra en /schemas-begäran och identifiera målattributen.
- Granska ECMA-värdloggarna för att kontrollera att en /schemas-begäran har gjorts och granska attributen i svaret. Den här informationen är värdefull för support för att felsöka problemet.
Samla in loggar från Loggboken som en zip-fil
Du kan använda ett medföljande skript för att avbilda händelseloggarna i en zip-fil och exportera dem.
- På servern med agenten installerad högerklickar du på PowerShell i Start-menyn och väljer till
Run as administrator
. - Ändra till mappen där ECMA-värden installerades, till exempel
C:\Program Files\Microsoft ECMA2Host
. - Ändra till underkatalogen
Troubleshooting
. - Kör skriptet
CollectTroubleshootingInfo.ps1
i den katalogen. - Skriptet skapar en ZIP-fil i katalogen som innehåller händelseloggarna.
Granska händelser i Loggboken
När mappningen av ECMA Connector-värdschemat har konfigurerats startar du tjänsten så att den lyssnar efter inkommande anslutningar. Övervaka sedan för inkommande begäranden.
- Välj Start-menyn, ange loggboken och välj Loggboken.
- I Loggboken expanderar du Program- och tjänstloggar och väljer Microsoft ECMA2Host-loggar.
- När ändringar tas emot av anslutningsvärden skrivs händelser till programloggen.
Vanliga fel
Fel | Åtgärd |
---|---|
Det gick inte att läsa in filen eller sammansättningen "file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\Cache\8b514472-c18a-4641-9a44-732c296534e8\Microsoft.IAM.Connector.GenericSql.dll" eller något av dess beroenden. Åtkomst nekas. | Kontrollera att nätverkstjänstkontot har fullständig behörighet över cachemappen. Om kontot har behörigheter men .NET försöker skapa en kopia av anslutnings-DLL:en kan det vara nödvändigt att lägga till DLL:en i den globala sammansättningscacheminnet. |
Ogiltigt LDAP-format för objektets DN. DN: username@domain.com" eller Target Site: ValidByLdapStyle |
Kontrollera att kryssrutan "DN is Anchor" inte är markerad på ecma-värdens anslutningssida. Kontrollera att kryssrutan "autogenererad" är markerad på sidan "objekttyper" på ECMA-värden. Mer information finns i Om fästpunktsattribut och unika namn. |
ExportErrorCustomContinueRun. objectClass: värdenumret är ogiltigt per syntax | Kontrollera att etableringsattributmappningen till objectClass attributet endast innehåller namn på objektklasser som identifieras av katalogservern. |
Förstå inkommande SCIM-begäranden
Begäranden från Microsoft Entra-ID till etableringsagenten och anslutningsvärden använder SCIM-protokollet. Begäranden som görs från värden till appar använder protokollet som appen stöder. Begäranden från värden till agenten till Microsoft Entra ID förlitar sig på SCIM. Du kan lära dig mer om SCIM-implementeringen i Självstudie: Utveckla och planera etablering för en SCIM-slutpunkt i Microsoft Entra-ID.
Microsoft Entra-etableringstjänsten gör vanligtvis ett get-user-anrop för att söka efter en dummyanvändare i tre situationer: i början av varje etableringscykel, innan etablering på begäran och när testanslutning väljs. Den här kontrollen säkerställer att målslutpunkten är tillgänglig och returnerar SCIM-kompatibla svar till Microsoft Entra-etableringstjänsten.
Hur gör jag för att felsöka etableringsagenten?
Du kan uppleva följande felscenarier.
Agenten kunde inte starta
Du kan få ett felmeddelande som anger:
"Det gick inte att starta tjänsten Microsoft Entra Connect Provisioning Agent. Kontrollera att du har tillräcklig behörighet för att starta systemtjänsterna."
Det här problemet orsakas vanligtvis av en grupprincip som förhindrade behörigheter från att tillämpas på det lokala inloggningskontot för NT-tjänsten som skapats av installationsprogrammet (NT SERVICE\AADConnectProvisioningAgent). De här behörigheterna krävs för att starta tjänsten.
Så här löser du problemet:
- Logga in på servern med ett administratörskonto.
- Öppna Tjänster genom att antingen navigera till den eller genom att gå till Start>Run>Services.msc.
- Under Tjänster dubbelklickar du på Microsoft Entra Connect Provisioning Agent.
- På fliken Logga in ändrar du Det här kontot till en domänadministratör. Starta sedan om tjänsten.
Det här testet verifierar att dina agenter kan kommunicera med Azure via port 443. Öppna en webbläsare och gå till den tidigare URL:en från servern där agenten är installerad.
Tidsgränsen för agenten eller certifikatet är ogiltigt
Du kan få följande felmeddelande när du försöker registrera agenten.
Det här problemet orsakas normalt av att agenten inte kan ansluta till hybrididentitetstjänsten och kräver att du konfigurerar en HTTP-proxy. Du kan lösa problemet genom att konfigurera en utgående proxy.
Etableringsagenten stöder användning av en utgående proxy. Du kan konfigurera det genom att redigera agentkonfigurationsfilen C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config. Lägg till följande rader i den, mot slutet av filen precis före den avslutande </configuration>
taggen.
Ersätt variablerna [proxy-server]
och [proxy-port]
med proxyserverns namn och portvärden.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
Agentregistreringen misslyckas med säkerhetsfel
Du kan få ett felmeddelande när du installerar molnetableringsagenten.
Det här problemet orsakas vanligtvis av att agenten inte kan köra PowerShell-registreringsskripten på grund av lokala PowerShell-körningsprinciper.
Lös problemet genom att ändra PowerShell-körningsprinciperna på servern. Du måste ha maskin- och användarprinciper inställda som Odefinierade eller Fjärrsignerade. Om de anges som Obegränsade visas det här felet. Mer information finns i PowerShell-körningsprinciper.
Loggfiler
Som standard avger agenten minimala felmeddelanden och stackspårningsinformation. Du hittar spårningsloggar i mappen C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.
Så här samlar du in mer information om felsökning av agentrelaterade problem:
AADCloudSyncTools
Installera PowerShell-modulen enligt beskrivningen iAADCloudSyncTools
PowerShell-modulen för Microsoft Entra Connect-molnsynkronisering.Använd PowerShell-cmdleten
Export-AADCloudSyncToolsLogs
för att samla in informationen. Använd följande växlar för att finjustera datainsamlingen. Använd:- Hoppa överVerboseTrace för att endast exportera aktuella loggar utan att samla in utförliga loggar (standard = false).
- TracingDurationMins för att ange en annan varaktighet för avbildning (standard = 3 minuter).
- OutputPath för att ange en annan utdatasökväg (standard = användarens dokument).
Genom att använda Microsoft Entra-ID kan du övervaka etableringstjänsten i molnet och samla in loggar lokalt. Etableringstjänsten genererar loggar för varje användare som utvärderades som en del av synkroniseringsprocessen. Dessa loggar kan användas via Azure Portal användargränssnitt, API:er och logganalys. ECMA-värden genererar även loggar lokalt. Den visar varje etableringsbegäran som togs emot och svaret som skickades till Microsoft Entra-ID.
Agentinstallationen misslyckas
Felet
System.ComponentModel.Win32Exception: The specified service already exists
anger att den tidigare ECMA-värden inte avinstallerades. Avinstallera värdprogrammet. Gå till programfiler och ta bort ECMA-värdmappen. Du kanske vill lagra konfigurationsfilen för säkerhetskopiering.Följande fel anger att en förutsättning inte har uppfyllts. Kontrollera att .NET 4.7.1 är installerat.
Method Name : <>c__DisplayClass0_1 : RegisterNotLoadedAssemblies Error during load assembly: System.Management.Automation.resources.dll --------- Outer Exception Data --------- Message: Could not load file or assembly 'file:///C:\Program Files\Microsoft ECMA2Host\Service\ECMA\System.Management.Automation.resources.dll' or one of its dependencies. The system cannot find the file specified.
Jag får ett ogiltigt DN-fel i LDAP-format när jag försöker konfigurera ECMA Connector-värden med SQL
Som standard förväntar sig den allmänna SQL-anslutningsappen att DN fylls i med LDAP-formatet (när attributet "DN är fästpunkt" lämnas avmarkerat på den första anslutningssidan). I felmeddelandet Invalid LDAP style DN
eller Target Site: ValidByLdapStyle
kan du se att DN-fältet innehåller ett UPN (User Principal Name) i stället för ett DN i LDAP-format som anslutningsappen förväntar sig.
Lös det här felmeddelandet genom att se till att Autogenererad har valts på sidan objekttyper när du konfigurerar anslutningsappen.
Mer information finns i Om fästpunktsattribut och unika namn.