Risoluzione dei problemi di sincronizzazione cloud
La sincronizzazione cloud ha molte dipendenze e interazioni diverse, che possono causare diversi problemi. Questo articolo fornisce informazioni utili per la risoluzione di questi problemi. Illustra le aree più comuni su cui concentrarsi, come raccogliere informazioni aggiuntive e le diverse tecniche che si possono usare per tenere traccia dei problemi.
Problemi relativi all'agente
Per la risoluzione dei problemi, verificare che l'agente sia stato installato correttamente e che comunichi con Microsoft Entra ID. In particolare, ecco le prime verifiche da effettuare per l'agente:
- È installato?
- È in esecuzione in locale?
- È nel portale?
- È contrassegnato come integro?
È possibile verificare questi aspetti nel portale di Azure e nel server locale che esegue l'agente.
Verifica dell'agente nell'interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Per verificare che Azure rilevi l'agente e che questo sia integro, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
- Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Sincronizzazione cloud.
- Selezionare Sincronizzazione cloud.
- Verranno visualizzati gli agenti installati. Verificare che l'agente in questione sia presente. Se è tutto corretto, verrà visualizzato lo stato attivo (verde) per l'agente.
Verificare le porte aperte necessarie
Verificare che l'agente di provisioning di Microsoft Entra sia in grado di comunicare correttamente con i data center di Azure. Se è presente un firewall nel percorso, assicurarsi che le porte seguenti siano aperte per il traffico in uscita:
Numero di porta | Uso |
---|---|
80 | Download degli elenchi di revoche di certificati (CRL) durante la convalida del certificato TLS/SSL. |
443 | Gestione di tutta la comunicazione in uscita con il servizio Application Proxy. |
Se il firewall regola il traffico in base agli utenti di origine, aprire anche le porte 80 e 443 per il traffico proveniente da servizi di Windows in esecuzione come servizio di rete.
Consentire l'accesso agli URL
Consentire l'accesso agli URL seguenti:
URL | Porta | Uso |
---|---|---|
*.msappproxy.net *.servicebus.windows.net |
443/HTTPS | Comunicazione tra il connettore e il servizio cloud Application Proxy. |
crl3.digicert.com crl4.digicert.com ocsp.digicert.com crl.microsoft.com oneocsp.microsoft.com ocsp.msocsp.com |
80/HTTP | Il connettore usa questi URL per verificare i certificati. |
login.windows.net secure.aadcdn.microsoftonline-p.com *.microsoftonline.com *.microsoftonline-p.com *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.com www.microsoft.com/pkiops |
443/HTTPS | Il connettore usa questi URL durante il processo di registrazione. |
ctldl.windowsupdate.com |
80/HTTP | Il connettore usa questo URL durante il processo di registrazione. |
È possibile consentire le connessioni a *.msappproxy.net
, *.servicebus.windows.net
e ad altri URL precedenti, se il firewall o il proxy consente di configurare le regole di accesso in base ai suffissi di dominio. In caso contrario, è necessario consentire l'accesso agli intervalli di indirizzi IP e ai tag di servizio di Azure - cloud pubblico. Gli intervalli di indirizzi IP vengono aggiornati ogni settimana.
Importante
Evitare tutte le forme di ispezione e terminazione inline sulle comunicazioni TLS in uscita tra i connettori di rete privata di Microsoft Entra e i servizi cloud Application Proxy di Microsoft Entra.
Risoluzione dei nomi DNS per gli endpoint Application Proxy di Microsoft Entra
I record DNS pubblici per gli endpoint Application Proxy di Microsoft Entra sono record CNAME concatenati, che puntano a un record A. Ciò assicura tolleranza di errore e flessibilità. È garantito che il connettore di rete privata di Microsoft Entra acceda sempre ai nomi host con i suffissi di dominio *.msappproxy.net
o *.servicebus.windows.net
.
Tuttavia, durante la risoluzione dei nomi, i record CNAME potrebbero contenere record DNS con nomi host e suffissi diversi. Per questo motivo, è necessario assicurarsi che il dispositivo possa risolvere tutti i record nella catena e che consenta la connessione agli indirizzi IP risolti. Poiché i record DNS nella catena potrebbero essere cambiati di tanto in tanto, non è possibile fornire alcun elenco di tali record.
Nel server locale
Per verificare che l'agente sia in esecuzione, seguire questa procedura:
Nel server in cui è installato l'agente aprire Servizi. A tale scopo, passare a Start>Esegui>Services.msc.
In Servizi assicurarsi che siano presenti Microsoft Entra Connect Agent Updater e Microsoft Entra Provisioning Agent. Verificare anche che lo stato sia In esecuzione.
Problemi comuni di installazione dell'agente
Le sezioni seguenti descrivono alcuni problemi comuni di installazione dell'agente, insieme alle risoluzioni tipiche.
Non è stato possibile avviare l'agente
Potrebbe essere visualizzato un messaggio di errore analogo al seguente:
Non è stato possibile avviare il servizio 'Microsoft Entra Provisioning Agent'. Assicurarsi di disporre di privilegi sufficienti per l'avvio dei servizi di sistema.
Questo problema è in genere causato da uno dei criteri di gruppo. Il criterio ha impedito l'applicazione delle autorizzazioni all'account di accesso del servizio NT locale creato dal programma di installazione (NT SERVICE\AADConnectProvisioningAgent
). Queste autorizzazioni sono necessarie per avviare il servizio.
Per risolvere il problema, seguire questa procedura:
Accedere al server con un account amministratore.
Aprire Servizi passando a Start>Esegui>Services.msc.
In Servizi fare doppio clic su Microsoft Entra Provisioning Agent.
Nella scheda Connessione impostare Account su un amministratore di dominio. Quindi riavviare il servizio.
Si verifica un timeout dell'agente o il certificato non è valido
Quando si tenta di registrare l'agente, è possibile che venga visualizzato il messaggio di errore seguente.
Questo problema è in genere dovuto al fatto che l'agente non è in grado a connettersi al servizio di gestione delle identità ibride. Per risolvere il problema, configurare un proxy in uscita.
L'agente di provisioning supporta l'utilizzo di un proxy per traffico in uscita. È possibile configurarlo modificando il file di configurazione dell'agente: C:\Programmi\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.
Aggiungere le righe seguenti verso la fine del file appena prima del tag di chiusura </configuration>
. Sostituire le variabili [proxy-server]
e [proxy-port]
con i valori del nome del server proxy e delle porte.
<system.net>
<defaultProxy enabled="true" useDefaultCredentials="true">
<proxy
usesystemdefault="true"
proxyaddress="http://[proxy-server]:[proxy-port]"
bypassonlocal="true"
/>
</defaultProxy>
</system.net>
La registrazione dell'agente non riesce e viene visualizzato un errore relativo alla sicurezza
Quando si installa l'agente di provisioning cloud, è possibile che venga visualizzato un messaggio di errore. Questo problema è in genere dovuto al fatto che l'agente non è in grado di eseguire gli script di registrazione di PowerShell a causa dei criteri di esecuzione di PowerShell locali.
Per risolvere il problema, cambiare i criteri di esecuzione di PowerShell nel server. È necessario che i criteri computer e utente siano impostati su Undefined
o RemoteSigned
. Se sono impostati su Unrestricted
, verrà visualizzato questo errore. Per altre informazioni, vedere Criteri di esecuzione di PowerShell.
File di registro
Per impostazione predefinita, l'agente genera un numero ridotto di messaggi di errore e informazioni minime di analisi dello stack. Questi log di traccia sono disponibili nella cartella C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.
Per raccogliere altri dettagli per la risoluzione dei problemi relativi all'agente, seguire questa procedura.
- Installare il modulo AADCloudSyncTools di PowerShell.
- Usare il cmdlet
Export-AADCloudSyncToolsLogs
di PowerShell per acquisire le informazioni. È possibile usare le opzioni seguenti per ottimizzare la raccolta dati.SkipVerboseTrace
per esportare solo i log correnti senza acquisire i log dettagliati (impostazione predefinita = false).TracingDurationMins
per specificare una durata di acquisizione diversa (impostazione predefinita = 3 minuti).OutputPath
per specificare un percorso di output diverso (impostazione predefinita = cartella Documenti dell'utente).
Problemi di sincronizzazione degli oggetti
Nel portale è possibile usare i log di provisioning per individuare e risolvere i problemi di sincronizzazione degli oggetti. Per visualizzare i log, selezionare Log.
I log di provisioning offrono un'ampia gamma di informazioni sullo stato degli oggetti sincronizzati tra l'ambiente Active Directory locale e Azure.
È possibile filtrare la visualizzazione per concentrarsi su problemi specifici, ad esempio le date. È anche possibile cercare nei log le attività relative a un oggetto Active Directory usando il relativo attributo ObjectGuid
. Fare doppio clic su un singolo evento per visualizzare informazioni aggiuntive.
Queste informazioni forniscono passaggi dettagliati e il punto in cui si verifica il problema di sincronizzazione. In questo modo, è possibile individuare il punto esatto del problema.
Oggetti ignorati
Se è stata eseguita la sincronizzazione di utenti e gruppi da Active Directory, potrebbe non essere possibile individuare uno o più gruppi in Microsoft Entra ID. Il problema potrebbe essere dovuto al fatto che la sincronizzazione non è stata ancora completata o non è ancora al passo con la creazione dell'oggetto in Active Directory, oppure un errore di sincronizzazione impedisce la creazione dell'oggetto in Microsoft Entra ID o è stata applicata una regola di definizione dell'ambito per la sincronizzazione che esclude l'oggetto.
Riavviare la sincronizzazione, quindi quando il ciclo di provisioning viene completato, cercare nel log di provisioning le attività relative a un oggetto usando il relativo attributo ObjectGuid
di Active Directory. Se nel log è presente un evento con un'identità contenente solo un ID origine e uno stato Skipped
, è possibile che l'agente abbia filtrato l'oggetto di Active Directory perché non rientra nell'ambito.
Per impostazione predefinita, le regole di definizione dell'ambito escludono la sincronizzazione degli oggetti seguenti con Microsoft Entra ID:
- Utenti, gruppi e contatti con
IsCriticalSystemObject
impostato su TRUE, inclusi molti utenti e gruppi predefiniti in Active Directory - Oggetti sottoposti a replica
Possono essere presenti restrizioni aggiuntive nello schema di sincronizzazione.
Soglia di eliminazione di oggetti di Microsoft Entra
Se si dispone di una topologia di implementazione con Microsoft Entra Connect e Microsoft Entra Cloud Sync, che esportano entrambi nello stesso tenant di Microsoft Entra, oppure se si è passati completamente da Microsoft Entra Connect a Microsoft Entra Cloud Sync, è possibile che venga visualizzato il messaggio di errore di esportazione seguente quando si eliminano o si spostano più oggetti dall'ambito definito:
Questo errore non è correlato alla funzionalità di prevenzione delle eliminazioni accidentali della sincronizzazione cloud di Microsoft Entra Connect. È attivato dalla funzionalità di prevenzione delle eliminazioni accidentali impostata nella directory di Microsoft Entra da Microsoft Entra Connect. Se non è installato un server Microsoft Entra Connect da cui attivare o disattivare la funzionalità, è possibile usare il modulo "AADCloudSyncTools" di PowerShell installato con l'agente di sincronizzazione cloud di Microsoft Entra Connect per disabilitare l'impostazione nel tenant e consentire l'esportazione delle eliminazioni bloccate dopo aver confermato che sono previste e devono essere consentite. Utilizza il seguente comando:
Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"
Durante il ciclo di provisioning successivo, gli oggetti contrassegnati per l'eliminazione dovrebbero essere eliminati correttamente dalla directory di Microsoft Entra.
Problemi del provisioning in quarantena
La sincronizzazione cloud monitora l'integrità della configurazione e inserisce oggetti non integri in uno stato di quarantena. Se la maggior parte o tutte le chiamate effettuate al sistema di destinazione continuano a non riuscire a causa di un errore (ad esempio nel caso di credenziali di amministratore non valide), il processo di sincronizzazione viene contrassegnato come in quarantena.
Selezionando lo stato, è possibile visualizzare informazioni aggiuntive sulla quarantena. È anche possibile ottenere il codice errore e il messaggio.
Facendo clic con il pulsante destro del mouse sullo stato verranno visualizzate opzioni aggiuntive per:
- Visualizzare i log di provisioning.
- Visualizzare gli agenti.
- Cancellare la quarantena.
Risolvere una quarantena
È possibile risolvere una quarantena in due modi. È possibile cancellare la quarantena oppure riavviare il processo di provisioning.
Cancellare la quarantena
Per cancellare il limite ed eseguire una sincronizzazione differenziale nel processo di provisioning dopo averlo verificato, è sufficiente fare clic con il pulsante destro del mouse sullo stato e scegliere Cancella la quarantena.
Si noterà che la quarantena è in fase di cancellazione.
Lo stato dell'agente dovrebbe ora essere integro.
Riavviare il processo di provisioning
Usare il portale per riavviare il processo di provisioning. Nella pagina di configurazione dell'agente selezionare Riavviare sincronizzazione.
In alternativa, è possibile usare Microsoft Graph per riavviare il processo di provisioning. L'utente ha il controllo completo su cosa riavviare. È possibile scegliere di cancellare:
- Depositi, per riavviare il contatore di depositi che si accumulano verso lo stato di quarantena.
- Quarantena, per rimuovere l'applicazione dalla quarantena.
- Limiti.
Usare la richiesta seguente:
POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Ripristinare l'account del servizio di sincronizzazione cloud
Se è necessario ripristinare l'account del servizio di sincronizzazione cloud, è possibile usare il comando Repair-AADCloudSyncToolsAccount
.
In una sessione di PowerShell con privilegi amministrativi digitare o copiare e incollare quanto segue:
Connect-AADCloudSyncTools
Immettere le credenziali di amministratore globale di Microsoft Entra.
Digitare o copiare e incollare quanto segue:
Repair-AADCloudSyncToolsAccount
Al termine, si dovrebbe visualizzare un messaggio indicante che l'account è stato ripristinato correttamente.
writeback delle password
Per abilitare e usare il writeback delle password con la sincronizzazione cloud, tenere presente quanto segue:
- Se è necessario aggiornare le autorizzazioni gMSA, la replica di tali autorizzazioni in tutti gli oggetti della directory potrebbe richiedere almeno un'ora. Se non si assegnano queste autorizzazioni, potrebbe sembrare che il writeback sia configurato correttamente, ma gli utenti potrebbero riscontrare errori quando aggiornano le loro password locali dal cloud. Per visualizzare Password senza scadenza, è necessario applicare le autorizzazioni a Questo oggetto e tutti i discendenti.
- Se il writeback delle password non viene eseguito nella directory locale per alcuni account utente, assicurarsi che l'ereditarietà non sia disabilitata per l'account nell'ambiente di Active Directory Domain Services locale. Per la corretta esecuzione della funzionalità, è necessario che le autorizzazioni di scrittura per le password vengano applicate agli oggetti discendenti.
- I criteri delle password nell'ambiente di Active Directory Domain Services locale possono impedire la corretta elaborazione delle reimpostazioni delle password. Se si sta testando questa funzionalità e si vogliono reimpostare le password per gli utenti più di una volta al giorno, i criteri di gruppo per il periodo di validità minimo delle password devono essere impostati su 0. È possibile trovare questa impostazione nel percorso seguente: Configurazione computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri account all'interno di gpmc.msc.
- Se si aggiornano i criteri di gruppo, attendere la replica del criterio aggiornato oppure usare il comando
gpupdate /force
. - Affinché le password vengano cambiate immediatamente, il periodo di validità minimo deve essere impostato su 0. Tuttavia, se gli utenti rispettano i criteri locali e il periodo di validità minimo delle password è impostato su un valore maggiore di 0, il writeback delle password non funzionerà dopo la valutazione dei criteri locali.
- Se si aggiornano i criteri di gruppo, attendere la replica del criterio aggiornato oppure usare il comando