雲端同步疑難解答
雲端同步有許多不同的相依性和互動,這可能會引發各種問題。 本文可協助您針對這些問題進行疑難解答。 它介紹一般區域,讓您專注於、如何收集其他資訊,以及可用來追蹤問題的各種技術。
代理人問題
當您針對代理程式問題進行疑難排解時,請確認代理程式已安裝正確,且它與 Microsoft Entra ID 通訊。 特別是,您想要向代理人驗證的首要事項包括:
- 是否已安裝?
- 代理程式是否在本機執行?
- 代理在入口網站中嗎?
- 代理程式是否被標示為健康狀態?
您可以在入口網站和執行代理程式的本地伺服器上驗證這些項目。
Microsoft Entra 管理中心代理驗證
若要確認 Azure 偵測到代理程式,且代理程序狀況良好,請遵循下列步驟:
- 以至少 混合式系統管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 身分識別>混合式管理>Microsoft Entra Connect>雲端同步。
- 選取 [雲端同步]。
- 您應該看到已安裝的代理程式。 確認該代理程式是否存在。 如果一切順利,您會看到代理程式的 作用中(綠色)狀態。
確認必要的開啟埠
確認Microsoft Entra 布建代理程式能夠與 Azure 數據中心順利通訊。 如果路徑中有防火牆,請確定已開啟下列輸出流量的埠:
埠號碼 | 其使用方式 |
---|---|
80 | 下載證書吊銷清單 (CRL),同時驗證 TLS/SSL 憑證。 |
443 | 處理與應用程式代理服務的所有對外通訊。 |
如果您的防火牆會根據來源使用者控管流量,也要為以網路服務身份執行的 Windows 服務的流量開啟埠 80 和 443。
允許存取 URL
允許存取下列 URL:
URL | 港口 | 其使用方式 |
---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | 連接器與應用程式 Proxy 雲端服務之間的通訊。 |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | 連接器會使用這些 URL 來驗證憑證。 |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops |
443/HTTPS | 連接器會在註冊程式期間使用這些 URL。 |
ctldl.windowsupdate.com |
80/HTTP | 連接器會在註冊程序期間使用此 URL。 |
如果您的防火牆或 Proxy 可讓您根據網域後綴來設定存取規則,您可以允許連線到 *.msappproxy.net
、*.servicebus.windows.net
和其他上述 URL。 如果沒有,您必須允許存取 Azure IP 範圍和服務標籤 - 公共雲。 IP 範圍每周都會更新。
重要
避免Microsoft Entra 專用網連接器與Microsoft Entra 應用程式 Proxy 雲端服務之間輸出 TLS 通訊上的所有內嵌檢查和終止形式。
Microsoft Entra 應用程式 Proxy 端點的 DNS 名稱解析
Microsoft Entra 應用程式 Proxy 端點的公用 DNS 記錄會鏈結 CNAME 記錄,指向 A 記錄。 這可確保容錯和彈性。 保證Microsoft Entra 專用網連接器一律會使用網域後綴 *.msappproxy.net
或 *.servicebus.windows.net
存取主機名。
不過,在名稱解析期間,CNAME 記錄可能包含具有不同主機名和後綴的 DNS 記錄。 因此,您必須確定裝置可以解析鏈結中的所有記錄,並允許連線到已解析的IP位址。 由於鏈結中的 DNS 記錄可能會不時變更,因此我們無法為您提供任何清單 DNS 記錄。
在本機伺服器上
若要確認代理程式正在執行,請遵循下列步驟:
在已安裝代理程式的伺服器上,開啟 Services。 若要完成此操作,請移至 Start>Run>Services.msc。
在 [Services] 下,確定 Microsoft Entra Connect 代理程式更新程式 和 Microsoft Entra 佈建代理程式 均存在。 也請確認其狀態為 執行中。
常見的代理程式安裝問題
下列各節說明一些常見的代理程式安裝問題,以及這些問題的典型解決方式。
代理程式無法啟動
您可能會收到錯誤訊息,指出:
服務 'Microsoft Entra Provisioning Agent' 無法啟動。 確認您有足夠的許可權可啟動系統服務。
此問題通常是由組策略所造成。 原則會防止許可權套用至安裝程式所建立的本機 NT 服務登入帳戶(NT SERVICE\AADConnectProvisioningAgent
)。 啟動服務需要這些許可權。
若要解決此問題,請遵循下列步驟:
使用系統管理員帳戶登入伺服器。
開啟 Services,方法是移至 Start>,然後執行>Services.msc。
在 [服務] 底下,按兩下 Microsoft Entra Provisioning Agent。
在 [登入] 索引標籤上,將 [此 帳戶] 變更為網域系統管理員。然後重新啟動服務。
代理逾時或證書無效
當您嘗試註冊代理程式時,可能會收到下列錯誤訊息。
此問題通常是因為代理程式無法連線到混合式身分識別服務所造成。 若要解決此問題,請設定傳出代理伺服器。
配置代理程式支援使用外部代理伺服器。 您可以編輯下列代理程式 .config 檔案來設定它:C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config。
將下列幾行新增至檔案結尾,就在結尾 </configuration>
標籤之前。 將變數 [proxy-server]
和 [proxy-port]
取代為您的 Proxy 伺服器名稱和埠值。
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
代理程式註冊失敗,發生安全性錯誤
當您安裝雲端布建代理程式時,可能會收到錯誤訊息。 此問題通常是因為本機 PowerShell 執行原則而導致代理程式無法執行 PowerShell 註冊腳本。
若要解決此問題,請變更伺服器上的PowerShell執行原則。 您必須將電腦和使用者原則設定為 Undefined
或 RemoteSigned
。 如果它們設定為 Unrestricted
,您會看到此錯誤。 如需詳細資訊,請參閱 PowerShell 執行原則。
記錄檔
根據預設,代理程式會發出最少的錯誤訊息和堆疊追蹤資訊。 您可以在下列資料夾中找到這些追蹤記錄:C:\ProgramData\Microsoft\Azure AD Connect 布建代理程式\追蹤。
若要收集疑難解答代理程式相關問題的其他詳細數據,請遵循下列步驟。
- 安裝 AADCloudSyncTools PowerShell 模組。
- 使用
Export-AADCloudSyncToolsLogs
PowerShell Cmdlet 來擷取資訊。 您可以使用下列選項來微調數據收集。-
SkipVerboseTrace
僅匯出當前日誌,而不擷取詳細日誌(預設值 = false)。 -
TracingDurationMins
指定不同的擷取持續時間(預設值 = 3 分鐘)。 -
OutputPath
指定不同的輸出路徑(預設值 = 使用者的 Documents 資料夾)。
-
物件同步處理問題
在入口網站中,您可以使用布建記錄來協助追蹤及解決物件的同步處理問題。 若要檢視記錄,請選擇 記錄。
布建記錄提供有關內部部署 Active Directory 環境與 Azure 之間同步處理之物件狀態的豐富資訊。
您可以篩選檢視以專注於特定問題,例如日期。 您也可以使用 Active Directory ObjectGuid
來搜尋與 Active Directory 物件相關的活動記錄。 按兩下個別事件以查看其他資訊。
此資訊提供詳細的步驟,以及同步處理問題發生的位置。 如此一來,您就可以找出問題的確切位置。
略過的物件
如果您已從 Active Directory 同步處理使用者和群組,則可能無法在 Microsoft Entra ID 中找到一或多個群組。 這可能是因為同步處理尚未完成或尚未趕上Active Directory中物件的建立;或者,同步錯誤正在阻止在Microsoft Entra ID中建立物件;又或者是應用了排除該物件的同步處理規則範圍規則。
如果您重新啟動同步處理,然後在布建週期完成時,請使用該物件的 Active Directory ObjectGuid
搜尋與對象相關的活動布建記錄檔。 如果在記錄檔中出現只包含來源標識碼且狀態為 Skipped
的標識事件,這表示代理程式已篩選掉 Active Directory 對象,因為它超出範圍。
根據預設,範圍規則會排除下列物件,使其無法同步至Microsoft Entra 識別碼:
- 使用者、群組和聯繫人,且
IsCriticalSystemObject
設定為 TRUE,包括 Active Directory 中的許多內建使用者和群組 - 複製受害物件
同步架構中可能會有其他限制。
Microsoft Entra 對象刪除閾值
如果您有 Microsoft Entra Connect 和 Microsoft Entra Cloud Sync 的實作拓撲,兩者都匯出到相同的 Microsoft Entra 租用戶,或者如果您完全從 Microsoft Entra Connect 移至 Microsoft Entra Cloud Sync,當您刪除或將多個物件移出已定義的範圍時,可能會收到以下匯出錯誤訊息:
此錯誤與 Microsoft Entra Connect 雲端同步處理中的意外刪除防護功能 無關。它是由 Microsoft Entra Connect 設定於 Microsoft Entra 目錄中的意外刪除防護功能 所觸發。 如果您沒有安裝 Microsoft Entra Connect 伺服器來進行功能切換,您可以使用隨 Microsoft Entra Connect 雲端同步代理程式一起安裝的 “AADCloudSyncTools” PowerShell 模組來停用租戶上的設定。確認封鎖的刪除是預期的並且應該被允許後,可以執行導出操作。 使用下列命令:
Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"
在下一個布建週期中,標示要刪除的對象應該從 Microsoft Entra 目錄成功刪除。
處理隔離的問題
雲端同步會監視設定的健康情況,並將狀況不良的物件置於隔離狀態。 如果對目標系統的大部分或所有呼叫經常失敗,因為發生錯誤(例如,無效的系統管理員憑證),同步處理作業會被標示為處於隔離狀態。
藉由選取狀態,您可以看到隔離的其他資訊。 您也可以取得錯誤碼和訊息。
在狀態上點擊右鍵將會顯示更多選項:
- 檢視配置記錄。
- 檢視代理程式。
- 清除隔離區。
解除隔離
有兩種不同的方法來解決隔離。 您可以清除隔離區,也可以重新啟動布建作業。
解除隔離
若要在驗證後清除浮水印並在佈建作業中執行差異同步處理,只要以滑鼠右鍵按下狀態,然後選取 清除隔離。
您應該會看到隔離已清除的通知。
然後,您應該會看到代理程式的狀態為運作正常。
重新啟動布建作業
使用平台重新啟動布建作業。 在 [代理程式組態] 頁面上,選取 重新啟動同步處理。
或者,您可以使用 Microsoft Graph 來 重新啟動布建作業。 您可以完全控制重新啟動的內容。 您可以選擇清除:
- 委付,以重新啟動累算至隔離狀態的委付計數器。
- 隔離,以從隔離區移除應用程式。
- 水印。
使用下列指令:
POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
修復雲端同步服務帳戶
如果您需要修復雲端同步服務帳戶,您可以使用 Repair-AADCloudSyncToolsAccount
命令。
從具有系統管理許可權的 PowerShell 工作階段中,輸入或複製並貼上下列內容:
Connect-AADCloudSyncTools
輸入您的Microsoft Entra Global Administrator 認證。
輸入或複製並貼上下列內容:
Repair-AADCloudSyncToolsAccount
完成之後,應該會指出帳戶已成功修復。
密碼回寫
若要啟用和使用具有雲端同步的密碼回寫,請記住下列事項:
- 如果您需要更新 gMSA 許可權,這些許可權可能需要一小時或更多時間才能復寫到目錄中的所有物件。 如果您未指派這些權限,寫回功能表面上可能已正確設定,但使用者在透過雲端更新其內部部署密碼時可能會遇到錯誤。 必須將許可權套用至 此物件和所有子系物件 才能使 取消密碼過期 出現。
- 如果某些使用者帳戶的密碼未寫回內部部署目錄,請確定內部部署 Active Directory 網域服務 (AD DS) 環境中的帳戶不會停用繼承。 密碼的寫入許可權必須套用至子代物件,此功能才能正常運作。
- 內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確處理。 如果您要測試這項功能,而且想要每天為使用者重設密碼一次以上,則最低密碼存留期的組策略必須設定為 0。 您可以在下列位置找到此設定:計算機設定>原則>Windows 設定>安全性設定>帳戶原則gpmc.msc內。
- 如果您更新群組原則,請等候更新的原則複寫,或使用
gpupdate /force
命令。 - 若要立即變更密碼,密碼的最小存留期必須設定為 0。 不過,如果使用者遵守內部部署原則,且密碼存留期下限設定為大於0的值,在評估內部部署原則之後,密碼回寫將無法運作。
- 如果您更新群組原則,請等候更新的原則複寫,或使用