Microsoft Entra Connect 單一物件同步處理
Microsoft Entra Connect 單一物件同步工具是 PowerShell cmdlet,可用來將個別物件從 Active Directory 同步到 Microsoft Entra ID。 產生的報告可用來調查和針對每個物件同步處理問題進行疑難解答。
注意
此工具支援從 Active Directory 同步至微軟 Entra ID。 它不支援從 Microsoft Entra ID 同步到 Active Directory。
此工具支援同步處理物件修改新增和更新。 它不支援同步處理物件修改刪除。
運作方式
單一物件同步工具需要 Active Directory 識別名稱作為輸入,才能尋找來源連接器和分區以進行匯入。 它會將變更匯出至 Microsoft Entra ID。 此工具會產生類似 provisioningObjectSummary 資源類型的 JSON 輸出。
單一物件同步工具會執行下列步驟:
- 判斷物件的網域(來源)是否位於同步範圍內的 Active Directory 連接器和分割區中。
- 判斷對象(target)的網域(Microsoft Entra Connector 和 Partition)是否在同步範圍內。
- 判斷物件的組織單位是否在同步範圍中。
- 判斷物件是否可使用連接器帳戶認證來存取。
- 判斷物件類型是否在同步範圍中。
- 判斷物件是否在同步範圍中,是否已啟用群組篩選。
- 將物件從 Active Directory 匯入至 Active Directory 連接器空間。
- 將物件從 Microsoft Entra ID 匯入至 Microsoft Entra 連接器空間。
- 從 Active Directory 連接器空間同步物件。
- 將物件從 Microsoft Entra 連接器空間匯出至 Microsoft Entra ID。
除了 JSON 輸出之外,此工具還會產生 HTML 報表,其中包含同步處理作業的所有詳細數據。 HTML 報表位於 C:\ProgramData\AADConnect\ADSyncObjectDiagnostics\ ADSyncSingleObjectSyncResult-<date>.htm。 如有需要,此 HTML 報告可以與支援小組共用,以進行進一步的疑難解答。
HTML 報表具有下列內容:
| 標籤 | 描述 |
|---|---|
| 步驟 | 概述同步處理對象所採取的步驟。 每個步驟都包含疑難解答的詳細數據。 匯入、同步和匯出步驟包含其他屬性資訊,例如名稱,是多重值、類型、值、值新增、值刪除、作業、同步規則、對應類型和數據源。 |
| 疑難解答 & 建議 | 提供錯誤碼和原因。 只有在發生失敗時,才會提供錯誤資訊。 |
| 修改的屬性 | 顯示舊的值和新值。 如果沒有舊的值,或是刪除新值,該儲存格會是空白的。 針對多重值屬性,它會顯示計數。 屬性名稱是連結到「步驟」分頁的:將物件從 Microsoft Entra 連接器空間匯出到 Microsoft Entra ID:屬性資訊,其中包含此屬性的其他詳細資訊,例如名稱、多值、類型、值、值新增、值刪除、操作、同步規則、對應類型和資料來源。 |
| 總結 | 提供來源和目標系統中對象發生狀況和標識碼的概觀。 |
先決條件
若要使用單一物件同步工具,您必須使用下列項目:
- 2021 年 3 月發行(1.6.4.0)或更新版本的 Microsoft Entra Connect。
- PowerShell 5.0
執行單一物件同步工具
若要執行單一物件同步工具,請執行下列步驟:
使用 [以系統管理員身分執行] 選項,在您的 Microsoft Entra Connect 伺服器上開啟新的 Windows PowerShell 會話。
將 執行原則 設定為 RemoteSigned 或 Unrestricted。
確認未執行同步處理作業之後,停用同步排程器。
Set-ADSyncScheduler -SyncCycleEnabled $false匯入 AdSync 診斷模組
Import-module -Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSyncDiagnostics\ADSyncDiagnostics.psm1"叫用單一物件同步 Cmdlet。
Invoke-ADSyncSingleObjectSync -DistinguishedName "CN=testobject,OU=corp,DC=contoso,DC=com" | Out-File -FilePath ".\output.json"重新啟用同步排程器。
Set-ADSyncScheduler -SyncCycleEnabled $true
| 單一物件同步輸入參數 | 描述 |
|---|---|
| DistinguishedName | 這是必要的字串參數。
這是需要同步處理和疑難解答的 Active Directory 物件的辨別名稱。 |
| StagingMode | 這是選擇性的 switch 參數。
此參數可用來防止將變更導出至 Microsoft Entra ID。 注意:該 cmdlet 會提交同步作業。 附註:Microsoft Entra Connect 預備伺服器不會將變更匯出至 Microsoft Entra ID。 |
| 無HTML報告 | 這是選擇性的 switch 參數。
此參數可用來防止產生 HTML 報表。 |
單一物件同步節流
單一物件同步工具 的目的是用於調查和解決每個物件的同步問題。 它 並非 用來取代排程器執行的同步週期。 從 Microsoft Entra ID 匯入和匯出到 Microsoft Entra ID 都受到流量限制。 如果您達到節流限制,請在 5 分鐘後重試。