Résolution des problèmes de synchronisation cloud

La synchronisation cloud présente de nombreuses dépendances et interactions différentes, qui peuvent donner lieu à divers problèmes. Cet article vous permet de résoudre ces problèmes. Il présente les principales causes de ces problèmes, explique comment rassembler des informations supplémentaires et vous donne différentes techniques permettant de détecter les problèmes.

Problèmes rencontrés avec l’agent

Lorsque vous résolvez les problèmes liés à l'agent, vous vérifiez que l'agent a été installé correctement et qu'il communique avec Microsoft Entra ID. En particulier, voici quelques-unes des premières choses à vérifier au niveau de l’agent :

  • L’agent est-il installé ?
  • L’agent s’exécute-t-il localement ?
  • L’agent se trouve-t-il dans le portail ?
  • L’agent est-il marqué comme sain ?

Vous pouvez vérifier ces éléments dans le portail et sur le serveur local qui exécute l’agent.

Vérification de l’agent du Centre d’administration Microsoft Entra

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour vérifier qu'Azure détecte l'agent et que celui-ci est sain, suivez ces étapes :

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur hybride.
  2. Accédez à Identité>Gestion hybride>Microsoft Entra Connect>Synchronisation cloud. Capture d’écran de la page d’accueil de Synchronisation cloud.
  1. Sélectionnez Synchronisation cloud.
  2. Vous voyez normalement les agents que vous avez installés. Vérifiez que l'agent en question est présent. Si tout va bien, l’agent affiche le statut actif (vert).

Vérifier les ports ouverts nécessaires

Assurez-vous que l'agent de provisionnement Microsoft Entra peut communiquer correctement avec les centres de données Azure. Si un pare-feu se trouve sur le chemin, vérifiez que les ports suivants sont ouverts pour le trafic sortant :

Numéro de port Utilisation
80 Téléchargement de la liste de révocation de certificats lors de la validation du certificat TLS/SSL.
443 Gestion de toutes les communications sortantes avec le service de proxy d’application.

Si votre pare-feu régule le trafic en fonction des utilisateurs d'origine, ouvrez également les ports 80 et 443 au trafic provenant des services Windows exécutés en tant que service réseau.

Autoriser l'accès à des URL

Autorisez l'accès aux URL suivantes :

URL Port Utilisation
*.msappproxy.net
*.servicebus.windows.net
443/HTTPS Communication entre le connecteur et le service cloud Proxy d'application.
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
80/HTTP Le connecteur utilise ces URL pour vérifier les certificats.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops
443/HTTPS Le connecteur utilise ces URL lors du processus d'inscription.
ctldl.windowsupdate.com 80/HTTP Le connecteur utilise cette URL lors du processus d’inscription.

Vous pouvez autoriser les connexions à *.msappproxy.net, *.servicebus.windows.net et les autres URL ci-dessus si votre pare-feu ou proxy vous permet de configurer des règles d’accès basées sur des suffixes de domaine. Si ce n’est pas le cas, vous devez autoriser l’accès aux Plages d’adresses IP et étiquettes des services Azure – Cloud public. Ces dernières sont mises à jour chaque semaine.

Important

Évitez toutes formes d’inspection en ligne et de résiliation des communications TLS sortantes entre les connecteurs de proxy d’application Microsoft Entra et les services cloud de proxy d’application Microsoft Entra.

Résolution de nom DNS pour les points de terminaison du proxy d’application Microsoft Entra

Les enregistrements DNS publics pour les points de terminaison du proxy d'application Microsoft Entra sont des enregistrements CNAME chaînés, pointant vers un enregistrement A. Cela garantit la tolérance de panne et la flexibilité. Il est garanti que le connecteur proxy d'application Microsoft Entra accède toujours aux noms d'hôtes portant les suffixes de domaine *.msappproxy.net ou *.servicebus.windows.net.

Cependant, pendant la résolution de noms, les enregistrements CNAME peuvent contenir des enregistrements DNS avec des noms d’hôtes et des suffixes différents. Pour cette raison, vous devez vous assurer que l'appareil peut résoudre tous les enregistrements de la chaîne et qu'il autorise la connexion aux adresses IP résolues. Sachant que les enregistrements DNS de la chaîne peuvent être modifiés de temps en temps, nous ne pouvons pas vous fournir de liste d’enregistrements DNS.

Sur le serveur local

Pour vérifier que l’agent est en cours d’exécution, procédez comme suit :

  1. Sur le serveur sur lequel l’agent est installé, ouvrez Services. Pour cela, accédez à Démarrer>Exécuter>Services.msc.

  2. Sous Services, assurez-vous que le Programme de mise à jour de l’agent Microsoft Azure AD Connect et l’Agent de provisionnement Microsoft Azure AD sont présents. Vérifiez également que leur état indique En cours d’exécution.

    Capture d’écran des services locaux et de leur état.

Problèmes courants concernant l’installation de l’agent

Les sections suivantes décrivent certains problèmes courants liés à l’installation de l’agent et fournissent des solutions à ces problèmes.

Échec du démarrage de l’agent

Vous pouvez recevoir un message d’erreur indiquant ceci :

Le service « Agent d’approvisionnement Microsoft Entra » n’a pas pu démarrer. Vérifiez que vous disposez des autorisations suffisantes pour démarrer les services système.

Ce problème est généralement dû à une stratégie de groupe. La stratégie a empêché l'application des autorisations au compte de connexion local du service NT créé par le programme d'installation (NT SERVICE\AADConnectProvisioningAgent). Ces autorisations sont nécessaires pour démarrer le service.

Pour résoudre ce problème, effectuez les opérations suivantes :

  1. Connectez-vous au serveur avec un compte Administrateur.

  2. Ouvrez Services en sélectionnant Démarrer>Exécuter>Services.msc.

  3. Sous Services, double-cliquez sur Agent d’approvisionnement Microsoft Entra.

  4. Sous l’onglet Ouvrir une session, remplacez ce compte par celui d’un administrateur de domaine. Ensuite, redémarrez le service.

    Capture d’écran qui montre les options disponibles sous l’onglet Ouvrir une session.

Le délai de l’agent a expiré ou le certificat n’est pas valide

Les messages d’erreur suivants peuvent s’afficher si vous essayez d’inscrire l’agent.

Capture d’écran qui montre un message d’erreur de délai d’expiration.

Ce problème est généralement dû au fait que l’agent ne parvient pas à se connecter au service d’identité hybride. Pour résoudre ce problème, configurez un proxy sortant.

L’agent de provisionnement prend en charge l’utilisation du proxy sortant. Vous pouvez le configurer en modifiant le fichier de configuration suivant : C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config de l'agent.

Ajoutez les lignes suivantes à la fin du fichier, juste avant la balise </configuration> de fermeture. Remplacez les variables [proxy-server] et [proxy-port] par le nom de votre serveur proxy et les valeurs de port.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

L’inscription de l’agent échoue avec une erreur de sécurité

Vous pouvez recevoir un message d’erreur lorsque vous installez l’agent de provisionnement cloud. Ce problème est généralement dû à l’incapacité de l’agent à exécuter les scripts d’inscription PowerShell en raison des stratégies d’exécution PowerShell locales.

Pour résoudre ce problème, modifiez les stratégies d’exécution PowerShell sur le serveur. Les stratégies de la machine et de l’utilisateur doivent être définies sur Undefined ou RemoteSigned. Si elles sont définies sur Unrestricted, vous verrez ce message d’erreur. Pour plus d’informations, consultez Stratégies d’exécution PowerShell.

Fichiers journaux

Par défaut, l’agent émet peu de messages d’erreur et d’informations sur la trace de la pile. Vous trouverez ces journaux de suivi dans le dossier suivant : C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

Pour obtenir des détails supplémentaires en vue de résoudre les problèmes liés à l’agent, effectuez les étapes suivantes.

  1. Installer le module PowerShell AADCloudSyncTools.
  2. Utilisez l’applet de commande PowerShell Export-AADCloudSyncToolsLogs pour capturer les informations. Vous pouvez utiliser les options suivantes pour affiner votre collecte de données.
    • SkipVerboseTrace pour exporter uniquement les journaux actuels sans capturer les journaux détaillés (par défaut = false).
    • TracingDurationMins pour spécifier une durée de capture différente (par défaut = 3 minutes).
    • OutputPath pour spécifier un autre chemin de sortie (par défaut = le dossier des documents de l’utilisateur).

Problèmes de synchronisation des objets

Dans le portail, vous pouvez utiliser les journaux de provisionnement pour faciliter le suivi et résoudre les problèmes de synchronisation des objets. Pour voir les journaux, sélectionnez Journaux.

Capture d’écran qui montre le bouton Journaux.

Les journaux de provisionnement fournissent une multitude d’informations sur l’état des objets synchronisés entre votre environnement Active Directory local et Azure.

Capture d’écran qui montre des informations sur les journaux de provisionnement.

Vous pouvez filtrer la vue pour vous concentrer sur des problèmes spécifiques, par exemple des dates. Vous pouvez également rechercher dans les journaux les activités relatives à un objet Active Directory en utilisant son Active Directory ObjectGuid. Double-cliquez sur un événement pour afficher des informations supplémentaires.

Capture d’écran qui montre les informations dans la liste déroulante des journaux de provisionnement.

Ces informations détaillent les étapes, et le moment auquel le problème de synchronisation se produit. De cette façon, vous pouvez identifier l’emplacement exact du problème.

Objets ignorés

Si vous avez synchronisé des utilisateurs et des groupes à partir d’Active Directory, il est possible que vous ne puissiez pas localiser un ou plusieurs groupes dans Microsoft Entra ID. Cela peut être dû à une synchronisation non terminée ou qui ne reflète pas encore la création de l’objet dans Active Directory, une erreur de synchronisation qui bloque la création de l’objet dans Microsoft Entra ID ou une règle d’étendue de règle de synchronisation est peut-être appliquée et exclut l’objet.

Si vous redémarrez la synchronisation, puis terminez le cycle d’approvisionnement, recherchez dans le journal d’approvisionnement les activités relatives à un objet utilisant Active Directory ObjectGuid de cet objet. Si un événement avec une identité contenant uniquement un ID de source et un état Skipped est présent dans le journal, cela peut indiquer que l’agent a filtré l’objet Active Directory car il était hors étendue.

Par défaut, les règles d’étendue exclut les objets suivants de la synchronisation vers Microsoft Entra ID :

  • utilisateurs, groupes et contacts avec IsCriticalSystemObject défini sur TRUE, y compris plusieurs utilisateurs et groupes intégrés dans Active Directory
  • objets victimes de réplication

Des restrictions supplémentaires peuvent être présentes dans le schéma de synchronisation.

Seuil de suppression d’objet Microsoft Entra

Si vous disposez d’une topologie d’implémentation avec Microsoft Entra Connect et Microsoft Entra Cloud Sync et qu’ils exportent vers le même locataire Microsoft Entra, ou si vous êtes intégralement passé de Microsoft Entra Connect à Microsoft Entra Cloud Sync, vous pouvez recevoir le message d’erreur d’exportation suivant lorsque vous supprimez ou déplacez plusieurs objets hors de la portée définie :

Capture d’écran montrant l’erreur d’exportation.

Cette erreur n’est pas liée à la fonctionnalité de prévention des suppressions accidentelles de la synchronisation cloud Microsoft Entra Connect. Elle est déclenchée par la fonctionnalité de prévention de suppression accidentelle définie dans le répertoire Microsoft Entra à partir de Microsoft Entra Connect. Si vous n’avez pas installé de serveur Microsoft Entra Connect à partir duquel vous pouvez désactiver la fonctionnalité, vous pouvez utiliser le module PowerShell « AADCloudSyncTools » installé avec l’agent de synchronisation cloud Microsoft Entra Connect, afin de désactiver le paramètre sur le locataire et autoriser les suppressions bloquées à exporter, après avoir confirmé qu’elles sont prévues et doivent être autorisées. Utilisez la commande suivante :

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Au cours du prochain cycle d’approvisionnement, les objets marqués pour suppression doivent être bien supprimés du répertoire Microsoft Entra.

Problèmes de provisionnement en quarantaine

La synchronisation cloud supervise l’intégrité de la configuration et place les objets qui ne sont pas sains en état de quarantaine. Si la plupart ou la totalité des appels effectués sur le système cible échouent systématiquement à cause d’une erreur (par exemple, informations d’identification non valides), le travail de synchronisation est mis en quarantaine.

Capture d’écran qui montre l’état de la mise en quarantaine.

En sélectionnant l’état, vous pouvez voir des informations supplémentaires sur la mise en quarantaine. Vous pouvez également obtenir le code et le message d’erreur.

Capture d’écran qui affiche des informations supplémentaires sur la quarantaine.

Cliquez avec le bouton droit sur le statut pour afficher des options supplémentaires et :

  • Afficher les journaux d’approvisionnement.
  • Afficher les agents.
  • Désactiver la mise en quarantaine.

Capture d’écran des options de menu contextuel.

Résoudre une mise en quarantaine

Il existe deux façons différentes de résoudre une quarantaine. Vous pouvez effacer la quarantaine ou redémarrer le travail d’approvisionnement.

Désactiver la mise en quarantaine

Pour désactiver et exécuter une synchronisation différentielle sur le travail de provisionnement une fois celui-ci vérifié, il suffit de cliquer avec le bouton droit et de sélectionner Désactiver la mise en quarantaine.

Une notification vous informe que la mise en quarantaine est en cours de désactivation.

Capture d’écran qui montre l’avis d’effacement de la mise en quarantaine.

Ensuite, l’état de l’agent devient sain.

Capture d’écran qui montre que l’agent est sain.

Redémarrage du travail de provisionnement

Utilisez le portail pour redémarrer le travail de provisionnement. Dans la page de configuration de l’agent, sélectionnez Redémarrer la synchronisation.

Capture d’écran qui montre les options dans la page de configuration de l’agent.

Vous pouvez également utiliser Microsoft Graph pour redémarrer le travail d’approvisionnement. Vous bénéficiez d’un contrôle total sur ce que vous redémarrez. Vous pouvez choisir d’effacer les éléments suivants :

  • Les escrows, afin de redémarrer le compteur des escrows dont l’augmentation amène à la mise en quarantaine
  • La mise en quarantaine, afin de retirer l’application de la quarantaine
  • Les filigranes

Utilisez la requête suivante :

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Réparation du compte du service de synchronisation cloud

Si vous devez réparer le compte de service Cloud Sync, vous pouvez utiliser la commande Repair-AADCloudSyncToolsAccount.

  1. Installer le module PowerShell AADCloudSyncTools.

  2. À partir d’une session PowerShell avec des privilèges d’administrateur, tapez ou copiez et collez les éléments suivants :

    Connect-AADCloudSyncTools
    
  3. Entrez vos informations d’identification d’administrateur Microsoft Entra Global.

  4. Tapez ou copiez-collez le code suivant :

    Repair-AADCloudSyncToolsAccount
    
  5. Une fois cette opération terminée, le compte devrait indiquer que le compte a été correctement réparé.

Réécriture du mot de passe

Pour activer et utiliser l’écriture différée du mot de passe avec la synchronisation cloud, gardez à l’esprit les points suivants :

  • Si vous devez mettre à jour les autorisations gMSA, la réplication de celles-ci sur tous les objets de l’annuaire peut durer jusqu’à une heure voire davantage. Si vous n’attribuez pas ces autorisations, la réécriture peut sembler être configurée correctement, mais les utilisateurs peuvent rencontrer des erreurs quand ils mettent à jour leurs mots de passe locaux à partir du cloud. Les autorisations doivent être appliquées à Cet objet et tous ses descendants pour que l’option Ne pas faire expirer le mot de passe soit proposée.
  • Si les mots de passe de certains comptes d’utilisateur ne sont pas réécrits dans l’annuaire local, vérifiez que l’héritage n’est pas désactivé pour le compte dans l’environnement local Active Directory Domain Services (AD DS). Les autorisations d’écriture pour les mots de passe doivent être appliquées aux objets descendants pour que la fonctionnalité fonctionne correctement.
  • Les stratégies de mot de passe dans l’environnement AD DS local peuvent empêcher le traitement correct des réinitialisations de mot de passe. Si vous testez cette fonctionnalité et souhaitez réinitialiser les mots de passe des utilisateurs plusieurs fois par jour, la stratégie de groupe pour Durée de vie minimale du mot de passe doit être définie sur 0. Ce paramètre se trouve à l’emplacement suivant : Configuration de ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de compte, dans gpmc.msc.
    • Si vous mettez à jour la stratégie de groupe, attendez la réplication de la stratégie mise à jour ou utilisez la commande gpupdate /force.
    • Pour que les mots de passe soient changés immédiatement, l’âge minimum du mot de passe doit être défini sur 0. Toutefois, si les utilisateurs adhèrent aux stratégies locales et que le paramètre Durée de vie minimale du mot de passe est défini sur une valeur supérieure à 0, la réécriture du mot de passe ne fonctionne pas une fois les stratégies locales évaluées.

Étapes suivantes