Řešení potíží s objektem, který se nesynchronuje s ID Microsoft Entra

  • Článek

Pokud se objekt nesynchronizuje podle očekávání s ID Microsoft Entra, může to být z několika důvodů. Pokud jste dostali e-mail s chybou z ID Microsoft Entra nebo se vám zobrazí chyba v Microsoft Entra Připojení Health, přečtěte si informace o řešení chyb při synchronizaci. Pokud ale řešíte problém, kdy objekt není v Microsoft Entra ID, je tento článek určený pro vás. Popisuje, jak najít chyby v místní komponentě Microsoft Entra Připojení synchronizaci.

Důležité

V případě nasazení Microsoft Entra Připojení verze 1.1.749.0 nebo vyšší použijte úlohu řešení potíží v průvodci k řešení potíží se synchronizací objektů.

Proces synchronizace

Než prošetříme problémy se synchronizací, pojďme se seznámit s procesem synchronizace Připojení Microsoft Entra:

Diagram of Microsoft Entra Connect Sync process

Terminologie

  • CS: Připojení, tabulka v databázi
  • MV: Metaverse, tabulka v databázi

Kroky synchronizace

Proces synchronizace zahrnuje následující kroky:

  1. Import ze služby AD: Objekty služby Active Directory se přenesou do služby Active Directory CS.

  2. Import z MICROSOFT Entra ID: Objekty Microsoft Entra jsou přeneseny do microsoft Entra CS.

  3. Synchronizace: Pravidla příchozí synchronizace a pravidla odchozí synchronizace se spouštějí v pořadí podle čísla priority, od nižšího po vyšší. Pokud chcete zobrazit pravidla synchronizace, přejděte z desktopových aplikací do Editoru synchronizačních pravidel. Příchozí synchronizační pravidla přinesou data z CS do MV. Odchozí synchronizační pravidla přesouvají data z MV do CS.

  4. Export do AD: Po synchronizaci se objekty exportují ze služby Active Directory CS do služby Active Directory.

  5. Export do ID Microsoft Entra: Po synchronizaci se objekty exportují z webu Microsoft Entra CS do Microsoft Entra ID.

Řešení problému

Pokud chcete chyby najít, podívejte se na několik různých míst v následujícím pořadí:

  1. Operace protokoluje k vyhledání chyb identifikovaných synchronizačním modulem během importu a synchronizace.
  2. Místo konektoru pro vyhledání chybějících objektů a chyb synchronizace.
  3. Metaverze k vyhledání problémů souvisejících s daty.

Než začnete s těmito kroky, spusťte Synchronizační Service Manager .

Operace

Na kartě Operace v Synchronizační službě Service Manager byste měli začít řešit potíže. Tato karta zobrazuje výsledky z nejnovějších operací.

Screenshot of Synchronization Service Manager, showing Operations tab selected

Horní polovina karty Operace zobrazuje všechna spuštění v chronologickém pořadí. Protokol operací ve výchozím nastavení uchovává informace o posledních 7 dnech, ale toto nastavení je možné změnit pomocí plánovače. Vyhledejte všechna spuštění, která nezobrazuje stav úspěchu . Řazení můžete změnit kliknutím na záhlaví.

Sloupec Stav obsahuje nejdůležitější informace a ukazuje největší problém spuštění. Tady je stručný přehled nejběžnějších stavů v pořadí priority šetření (kde * označuje několik možných chybových řetězců).

Stav Komentář
Zastavil-* Spuštění nebylo možné dokončit. K tomu může dojít například v případě výpadku vzdáleného systému a nelze ho kontaktovat.
zastavený limit chyb Existuje více než 5 000 chyb. Spuštění se automaticky zastavilo kvůli velkému počtu chyb.
completed-*-errors Spuštění bylo dokončeno, ale měly by se prošetřit chyby (méně než 5 000).
completed-*-warnings Spuštění bylo dokončeno, ale některá data nejsou v očekávaném stavu. Pokud máte chyby, je tato zpráva obvykle pouze příznakem. Nevyšetřujte upozornění, dokud nevyřešíte chyby.
úspěch Žádné problémy.

Když vyberete řádek, v dolní části karty Operace se zobrazí podrobnosti o daném spuštění. Na levé straně této oblasti můžete mít seznam s názvem Krok #. Tento seznam se zobrazí jenom v případě, že máte v doménové struktuře více domén a každá doména je reprezentována krokem. Název domény najdete pod nadpisem Oddíl. V části Statistika synchronizace najdete další informace o počtu zpracovaných změn. Výběrem odkazů získáte seznam změněných objektů. Pokud máte objekty s chybami, zobrazí se tyto chyby pod nadpisem Chyby synchronizace.

Chyby na kartě Operace

Pokud dojde k chybám, správce služby Synchronizace zobrazuje objekt v chybě i samotnou chybu jako odkazy, které poskytují další informace.

Screenshot of errors in Synchronization Service Manager
Začněte výběrem řetězce chyby. (Na předchozím obrázku je řetězec chyby sync-rule-error-function-triggered.) Nejprve se zobrazí přehled objektu. Pokud chcete zobrazit skutečnou chybu, vyberte Trasování zásobníku. Toto trasování poskytuje informace na úrovni ladění pro chybu.

Klikněte pravým tlačítkem myši na pole Informace o zásobníku volání, klepněte na tlačítko Vybrat vše a pak vyberte Kopírovat. Pak zásobník zkopírujte a podívejte se na chybu ve svém oblíbeném editoru, například Poznámkový blok.

Pokud je chyba syncRulesEngine, informace zásobníku volání nejprve zobrazí všechny atributy objektu. Posuňte se dolů, dokud se nezobrazí nadpis InnerException =>.

Screenshot of the Synchronization Service Manager, showing error information under the heading InnerException =>

Řádek za nadpisem zobrazuje chybu. Na předchozím obrázku je chyba z vlastního synchronizačního pravidla, které Fabrikam vytvořil.

Pokud chyba neposkytuje dostatek informací, je čas se podívat na samotná data. Vyberte odkaz s identifikátorem objektu a pokračujte v řešení potíží s importovaným objektem prostoru konektoru.

vlastnosti objektu prostoru Připojení

Pokud se na kartě Operace nezobrazí žádné chyby, postupujte podle objektu prostoru konektoru ze služby Active Directory k metaverse k ID Microsoft Entra. V této cestě byste měli zjistit, kde je problém.

Hledání objektu v CS

Ve Správci synchronizačních služeb vyberte Připojení or, vyberte Připojení služby Active Directory a vyberte Hledat Připojení oteří prostor.

V poli Obor vyberte RDN, pokud chcete vyhledat atribut CN, nebo vyberte DN nebo ukotvení, pokud chcete vyhledat rozlišujícíName atribut. Zadejte hodnotu a vyberte Hledat.

Screenshot of a connector space search

Pokud hledaný objekt nenajdete, je možné, že se filtroval pomocí filtrování na základě domény nebo filtrování na základě organizační jednotky. Pokud chcete ověřit, jestli je filtrování nakonfigurované podle očekávání, přečtěte si článek Microsoft Entra Připojení Sync: Konfigurace filtrování.

Další užitečné vyhledávání můžete provést výběrem Připojení or Microsoft Entra. V poli Obor vyberte Čekající import a pak zaškrtněte políčko Přidat . Toto hledání poskytuje všechny synchronizované objekty v ID Microsoft Entra, které nelze přidružit k místnímu objektu.

Screenshot of orphans in a connector space search

Tyto objekty byly vytvořeny jiným synchronizačním modulem nebo synchronizačním modulem s jinou konfigurací filtrování. Tyto osamocené objekty se už nespravují. Projděte si tento seznam a zvažte odebrání těchto objektů pomocí rutin Prostředí Microsoft Graph PowerShell .

Import cs

Když otevřete objekt CS, v horní části je několik karet. Na kartě Import se zobrazují data, která jsou připravená po importu.

Screenshot of the Connector Space Object Properties window, with the Import tab selected

Sloupec Stará hodnota zobrazuje, co je aktuálně uloženo v Připojení, a sloupec Nová hodnota zobrazuje, co bylo přijato ze zdrojového systému a dosud nebylo použito. Pokud u objektu dojde k chybě, změny se nezpracují.

Karta Chyba synchronizace je viditelná v okně vlastnosti objektu prostoru Připojení, pouze pokud došlo k problému s objektem. Další informace najdete v tématu Řešení chyb synchronizace na kartě Operace.

Screenshot of the Synchronization Error tab in the Connector Space Object Properties window

Rodokmen CS

Karta Rodokmen v okně vlastnosti objektu prostoru Připojení oru ukazuje, jak objekt prostoru spojnice souvisí s objektem metaverse. Uvidíte, kdy konektor naposledy importoval změnu z připojeného systému a jaká pravidla se použila k naplnění dat v metaverse.

Screenshot showing the Lineage tab in the Connector Space Object Properties window

Na předchozím obrázku se ve sloupci Akce zobrazuje příchozí synchronizační pravidlo s akcí Zřízení. To znamená, že pokud je k dispozici tento objekt prostoru spojnice, objekt metaverse zůstane. Pokud seznam synchronizačních pravidel místo toho zobrazuje odchozí synchronizační pravidlo s akcí Zřizování , tento objekt se odstraní při odstranění objektu metaverse.

Screenshot of a lineage window on the Lineage tab in the Connector Space Object Properties window

Na předchozím obrázku vidíte také ve sloupci PasswordSync , že místo příchozího konektoru může přispívat změnami hesla, protože jedno pravidlo synchronizace má hodnotu True. Toto heslo se odešle na ID Microsoft Entra prostřednictvím pravidla odchozích přenosů.

Na kartě Rodokmen se můžete dostat k metaverse výběrem vlastností objektu Metaverse.

Ukázková

V levém dolním rohu okna vlastnosti objektu Připojení or prostorového objektu je tlačítko Náhled. Výběrem tohoto tlačítka otevřete stránku Náhled , kde můžete synchronizovat jeden objekt. Tato stránka je užitečná, pokud řešíte potíže s některými vlastními synchronizačními pravidly a chcete vidět vliv změny na jeden objekt. Můžete vybrat úplnou synchronizaci nebo rozdílovou synchronizaci. Můžete také vybrat možnost Generovat náhled, který uchovává pouze změnu v paměti. Nebo vyberte Potvrdit náhled, který aktualizuje metaverse a připraví všechny změny cílových prostorů konektorů.

Screenshot of the Preview page, with Start Preview selected

V náhledu můžete zkontrolovat objekt a zjistit, které pravidlo se použilo pro konkrétní tok atributů.

Screenshot of the Preview page, showing Import Attribute Flow

Protokol

Vedle tlačítka Náhled vyberte tlačítko Protokol a otevřete stránku Protokol. Tady vidíte stav a historii synchronizace hesel. Další informace naleznete v tématu Řešení potíží se synchronizací hodnot hash hesel pomocí nástroje Microsoft Entra Připojení Sync.

Vlastnosti objektu metaverse

Obvykle je lepší začít hledat ze zdrojového prostoru konektoru služby Active Directory. Můžete ale také začít hledat z metaverse.

Hledání objektu v MV

Ve Správci synchronizačních služeb vyberte Metaverse Search, jak je znázorněno na následujícím obrázku. Vytvořte dotaz, který znáte, že najde uživatele. Vyhledejte běžné atributy, například accountName (sAMAccountName) a userPrincipalName. Další informace najdete v tématu Synchronizace hledání metaverse Service Manageru.

Screenshot of Synchronization Service Manager, with the Metaverse Search tab selected

V okně Výsledky hledání klikněte na objekt.

Pokud jste objekt nenalezli, ještě se nedosáhl k metaverse. Pokračujte v hledání objektu v prostoru konektoru služby Active Directory. Pokud najdete objekt v prostoru konektoru služby Active Directory, může dojít k chybě synchronizace, která blokuje příchod objektu do metaverse nebo může být použit filtr oborů synchronizačního pravidla.

Objekt nebyl v MV nalezen.

Pokud je objekt v cs služby Active Directory, ale není k dispozici v MV, použije se filtr oborů. Pokud se chcete podívat na filtr oborů, přejděte do nabídky desktopové aplikace a vyberte Editor synchronizačních pravidel. Filtrujte pravidla, která se vztahují k objektu, úpravou následujícího filtru.

Screenshot of Synchronization Rules Editor, showing an inbound synchronization rules search

Zobrazte každé pravidlo v seznamu z výše uvedeného seznamu a zkontrolujte filtr oborů. Pokud je v následujícím filtru oborů hodnota isCriticalSystemObject null nebo FALSE nebo prázdná, je v oboru.

Screenshot of a scoping filter in an inbound synchronization rule search

Přejděte do seznamu atributů importu CS a zkontrolujte, který filtr blokuje přesun objektu do MV. Seznam atributů prostoru Připojení oru bude zobrazovat pouze neprázdné a neprázdné atributy. Pokud se například v seznamu nezobrazí objekt isCriticalSystemObject , hodnota tohoto atributu je null nebo prázdná.

Objekt nebyl nalezen v nástroji Microsoft Entra CS

Pokud objekt není v prostoru konektoru ID Microsoft Entra, ale nachází se v MV, podívejte se na filtr oborů pravidel odchozích přenosů odpovídajícího prostoru konektoru a zjistěte, jestli je objekt filtrovaný, protože atributy MV nesplňují kritéria.

Pokud se chcete podívat na filtr rozsahu odchozích přenosů, vyberte příslušná pravidla pro objekt úpravou následujícího filtru. Prohlédněte si každé pravidlo a podívejte se na odpovídající hodnotu atributu MV.

Screenshot of an outbound synchronization rules search in Synchronization Rules Editor

Atributy MV

Na kartě Atributy můžete zobrazit hodnoty a konektory, které k nim přispěly.

Screenshot of the Metaverse Object Properties window, with the Attributes tab selected

Pokud se objekt nesynchronizuje, položte následující otázky týkající se stavů atributů v metaverse:

  • Je atribut cloudFiltered k dispozici a nastaven na hodnotu True? Pokud ano, byl filtrován podle kroků v filtrování na základě atributů.
  • Existuje atribut sourceAnchor ? Pokud ne, máte topologii doménové struktury prostředků účtu? Pokud je objekt identifikován jako propojená poštovní schránka (atribut msExchRecipientTypeDetails má hodnotu 2), sourceAnchor je přispěl doménovou strukturou s povoleným účtem Active Directory. Ujistěte se, že se hlavní účet naimportoval a správně synchronizoval. Hlavní účet musí být uveden mezi spojnicemi objektu.

Konektory MV

Karta Připojení orů zobrazuje všechny mezery spojnice, které mají reprezentaci objektu.

Screenshot of the Metaverse Object Properties window, with the Connectors tab selected

Měli byste mít konektor pro:

  • Každá doménová struktura služby Active Directory, ve které je uživatel reprezentován. Tato reprezentace může zahrnovat cizíSecurityPrincipals a Contact objekty.
  • Konektor v Microsoft Entra ID.

Pokud nemáte konektor pro Microsoft Entra ID, projděte si část atributů MV a ověřte kritéria zřizování pro Microsoft Entra ID.

Na kartě Připojení orů můžete také přejít k objektu prostoru spojnice. Vyberte řádek a klikněte na Vlastnosti.

Další kroky