Risolvere i problemi per la mancata sincronizzazione di un oggetto con Microsoft Entra ID
Se un oggetto non viene sincronizzato come previsto con Microsoft Entra ID, il problema può dipendere da vari motivi. Se hai ricevuto un messaggio di errore tramite posta elettronica da Microsoft Entra ID o visualizzi l’errore in Microsoft Entra Connect Health, leggi l'articolo Risoluzione degli errori durante la sincronizzazione. Se invece stai risolvendo un problema dovuto al fatto che l'oggetto non è incluso in Microsoft Entra ID, questo è l'articolo adatto. Questo articolo descrive infatti come trovare gli errori di sincronizzazione nel componente locale Microsoft Entra Connect.
Importante
Per la distribuzione di Microsoft Entra Connect versione 1.1.749.0 o successiva, usa l'attività specifica nella procedura guidata per la risoluzione dei problemi di sincronizzazione degli oggetti.
Processo sincronizzazione
Prima di esaminare i problemi di sincronizzazione, è importante conoscere il processo di sincronizzazione di Microsoft Entra Connect:
Terminologia
- CS: spazio connettore, una tabella in un database
- MV: metaverse, una tabella in un database
Passaggi di sincronizzazione
Il processo di sincronizzazione prevede i passaggi seguenti:
Importa da AD: gli oggetti Active Directory vengono importati nello spazio connettore di Active Directory.
Importa da Microsoft Entra ID: gli oggetti Microsoft Entra vengono importati nello spazio connettore di Microsoft Entra.
Sincronizzazione: le regole di sincronizzazione in ingresso e in uscita vengono eseguite in base al numero di precedenza, dal più basso al più alto. Per visualizzare le regole di sincronizzazione, è possibile passare all'editor delle regole di sincronizzazione da un'applicazione desktop. Le regole di sincronizzazione in ingresso importano i dati dallo spazio connettore al metaverse, mentre le regole di sincronizzazione in uscita spostano i dati dal metaverse allo spazio connettore.
Esporta a AD: dopo la sincronizzazione, gli oggetti vengono esportati dallo spazio connettore di Active Directory in Active Directory.
Esporta a Microsoft Entra ID: Dopo la sincronizzazione, gli oggetti vengono esportati dallo spazio connettore Microsoft Entra a Microsoft Entra ID.
Risoluzione dei problemi
Per trovare gli errori, controllare in diverse aree, nell'ordine seguente:
- I log delle operazioni per cercare gli errori rilevati dal motore di sincronizzazione durante l'importazione e la sincronizzazione.
- Lo spazio connettore per cercare gli oggetti mancanti e gli errori di sincronizzazione.
- Il metaverse per trovare i problemi relativi ai dati.
Avviare Synchronization Service Manager prima di iniziare questa procedura.
Operazioni
La risoluzione dei problemi deve essere avviata dalla scheda Operations (Operazioni) di Synchronization Service Manager, in cui vengono visualizzati i risultati delle ultime operazioni.
Nella metà superiore della scheda Operations (Operazioni) sono elencate tutte le esecuzioni in ordine cronologico. Per impostazione predefinita, il log delle operazioni mantiene le informazioni relative agli ultimi sette giorni, ma è possibile modificare questa impostazione tramite l' utilità di pianificazione. Cercare eventuali esecuzioni il cui stato è diverso da success (esito positivo). È possibile modificare l'ordinamento facendo clic sulle intestazioni.
La colonna Status (Stato) contiene le informazioni più importanti e segnala il problema più grave di un'esecuzione. Di seguito è riportato un breve riepilogo degli stati più comuni, ordinati in base alla priorità con cui devono essere analizzati (dove * indica varie possibili stringhe di errore).
| Status | Commento |
|---|---|
| stopped-* | Impossibile completare l'esecuzione. Questa condizione si verifica, ad esempio, se il sistema remoto è inattivo e non può essere contattato. |
| stopped-error-limit | Sono presenti più di 5.000 errori. L'esecuzione è stata arrestata automaticamente a causa dell'elevato numero di errori. |
| completed-*-errors | L'esecuzione è stata completata, ma sono presenti errori (meno di 5.000) che devono essere analizzati. |
| completed-*-warnings | L'esecuzione è stata completata, ma alcuni dati non si trovano nello stato previsto. Se sono presenti errori, questo messaggio è in genere solo un sintomo. Evitare di analizzare gli avvisi fino a quando non sono stati risolti tutti gli errori. |
| esito positivo | Non sono presenti problemi. |
Quando si seleziona una riga, la parte inferiore della scheda Operations (Operazioni) viene aggiornata in base ai dettagli dell'esecuzione corrispondente. All'estrema sinistra di questa area è possibile che sia presente un elenco con voci di tipo Step # (Passaggio n.). L'elenco viene visualizzato solo se nella foresta sono presenti più domini e ogni dominio è rappresentato da un passaggio. Il nome di dominio è visibile sotto l'intestazione Partition(Partizione). Sotto l'intestazione Synchronization Statistics (Statistiche di sincronizzazione) sono presenti altre informazioni sul numero delle modifiche elaborate. Selezionare i collegamenti per ottenere un elenco degli oggetti modificati. Se alcuni oggetti presentano errori, questi verranno visualizzati sotto l'intestazione Synchronization Errors (Errori di sincronizzazione).
Errori nella scheda Operations (Operazioni)
In caso di errori, Synchronization Service Manager mostra sia l'oggetto con l'errore sia l'errore stesso sotto forma di collegamenti per la visualizzazione di altre informazioni.
Per iniziare, selezionare la stringa di errore. Nella figura precedente, la stringa di errore è sync-rule-error-function-triggered. Verrà prima presentata una panoramica dell'oggetto. Per visualizzare l'errore effettivo, selezionare Stack Trace (Analisi dello stack). Questa analisi fornisce informazioni di debug relative all'errore.
Fare clic con il pulsante destro del mouse nella casella Call Stack Information (Informazioni sullo stack delle chiamate), fare clic su Select All (Seleziona tutto) e quindi selezionare Copy (Copia). Copiare quindi lo stack ed esaminare l'errore nell'editor preferito, ad esempio nel Blocco note.
Se l'errore proviene da SyncRulesEngine, le informazioni sullo stack delle chiamate includono come primo elemento un elenco di tutti gli attributi dell'oggetto. Scorrere verso il basso fino all'intestazione InnerException =>>.
L'errore viene visualizzato nella riga successiva. Nella figura precedente, l'errore proviene da una regola di sincronizzazione personalizzata creata da Fabrikam.
Se l'errore non fornisce informazioni sufficienti, è necessario esaminare i dati. Selezionare il collegamento con l'identificatore dell'oggetto e continuare la risoluzione del problema relativo all'oggetto importato nello spazio connettore.
Proprietà dell’oggetto spazio connettore
Se nella scheda Operations (Operazioni) non vengono visualizzati errori, segui l'oggetto dello spazio connettore da Active Directory al metaverse, fino a Microsoft Entra ID. In questo percorso, è necessario trovare il problema.
Ricerca di un oggetto nello spazio connettore
In Synchronization Service Manager selezionare Connectors (Connettori), il connettore di Active Directory e Search Connector Space (Ricerca spazio connettore).
Nella casella Scope (Ambito) selezionare RDN se si vuole eseguire la ricerca in base all'attributo CN o DN or anchor (DN o ancoraggio) se si vuole eseguire la ricerca in base all'attributo distinguishedName. Immettere un valore e selezionare Search (Cerca).
Se non si trova l'oggetto che si sta cercando, è possibile che sia stato filtrato con il filtro basato sul dominio o con il filtro basato sull'unità organizzativa. Per verificare che il filtro sia configurato come previsto, leggi Sincronizzazione Microsoft Entra Connect: configurare il filtro.
Puoi eseguire un'altra ricerca utile selezionando il connettore Microsoft Entra. Nella casella Scope (Ambito) selezionare Pending Import (Importazione in sospeso) e quindi la casella di controllo Add (Aggiungi). Questa ricerca restituisce tutti gli oggetti sincronizzati in Microsoft Entra ID che non possono essere associati a un oggetto locale.
Questi oggetti sono stati creati da un altro motore di sincronizzazione o da un motore di sincronizzazione con una diversa configurazione dei filtri. Questi oggetti orfani non vengono più gestiti. Esamina questo elenco e considera la possibilità di rimuovere questi oggetti usando i cmdlet di Microsoft Graph PowerShell.
Importazione nello spazio connettore
Quando si apre un oggetto nello spazio connettore, nella parte superiore vengono visualizzate varie schede. La scheda Import (Importa) visualizza i dati di gestione temporanea dopo l'importazione.
La colonna Old Value (Valore precedente) elenca gli elementi attualmente memorizzati in Connect, mentre la colonna New Value (Nuovo valore) mostra gli elementi ricevuti dal sistema di origine e non ancora applicati. Se si verifica un errore nell'oggetto, le modifiche non vengono elaborate.
La scheda Synchronization Error (Errore di sincronizzazione) viene visualizzata nella finestra Connector Space Object Properties (Proprietà dell'oggetto spazio connettore) solo se si è verificato un problema con l'oggetto. Per altre informazioni, rivedere come risolvere errori di sincronizzazione nella scheda Operations (Operazioni).
Derivazione dello spazio connettore
La scheda Lineage (Derivazione) disponibile nella finestra Connector Space Object Properties (Proprietà dell'oggetto spazio connettore) visualizza la correlazione fra l'oggetto nello spazio connettore e l'oggetto nel metaverse. È possibile vedere l'ultima volta in cui il connettore ha importato una modifica dal sistema connesso e quali regole sono state applicate per popolare i dati nel metaverse.
Nella figura precedente, la colonna Action (Azione) mostra una regola di sincronizzazione in ingresso con l'azione Provision (Provisioning). Questo indica che l'oggetto metaverse rimarrà fino a quando sarà presente l'oggetto spazio connettore. Se invece nell'elenco delle regole di sincronizzazione è presente una regola di sincronizzazione in uscita con l'azione Provision (Provisioning), l'oggetto viene eliminato quando viene rimosso l'oggetto nel metaverse.
Nella figura precedente, nella colonna PasswordSync (Sincronizzazione password) lo spazio connettore in ingresso può modificare la password, poiché una regola di sincronizzazione presenta il valore True. Questa password viene inviata a Microsoft Entra ID attraverso la regola in uscita.
Dalla scheda Lineage (Derivazione) è possibile accedere al metaverse selezionando Metaverse Object Properties (Proprietà dell'oggetto metaverse).
Anteprima
Nell'angolo inferiore sinistro della finestra Connector Space Object Properties (Proprietà dell'oggetto spazio connettore) è disponibile il pulsante Preview (Anteprima). Selezionare questo pulsante per aprire la pagina Preview (Anteprima), in cui è possibile sincronizzare un singolo oggetto. Questa pagina è utile mentre si risolvono problemi relativi alle regole di sincronizzazione personalizzate e si vuole vedere l'effetto di una modifica su un singolo oggetto. È possibile selezionare una sincronizzazione completa o una sincronizzazione differenziale. È anche possibile selezionare Generate Preview (Genera anteprima), che mantiene semplicemente la modifica in memoria, o Commit Preview (Esegui commit anteprima), che aggiorna il metaverse e inserisce tutte le modifiche negli spazi connettore di destinazione.
Nell'anteprima è possibile esaminare l'oggetto e individuare la regola applicata per un particolare flusso di attributi.
Log
Accanto al pulsante Preview (Anteprima) selezionare il pulsante Log per aprire la pagina Log, in cui sono riportati lo stato e la cronologia di sincronizzazione della password. Per ulteriori informazioni, vedi Risolvere i problemi di sincronizzazione dell'hash delle password con la sincronizzazione di Microsoft Entra Connect.
Proprietà dell'oggetto Metaverse
È in genere preferibile avviare la ricerca dallo spazio connettore di origine di Active Directory, Ma è anche possibile avviare la ricerca da metaverse.
Ricerca di un oggetto nel metaverse
In Synchronization Service Manager selezionare Metaverse Search (Ricerca metaverse), come illustrato nella figura seguente. Creare una query che rilevi l'utente. È possibile cercare gli attributi comuni, ad esempio accountName (sAMAccountName) e userPrincipalName. Per altre informazioni, vedere Ricerca metaverse di Synchronization Service Managerr.
Nella finestra Risultati della ricerca, fare clic sull'oggetto.
Se l'oggetto non è stato trovato, significa che non ha ancora raggiunto il metaverse. Continuare la ricerca dell'oggetto nello spazio connettore di Active Directory. Se l'oggetto viene trovato nello spazio connettore di Active Directory, potrebbe essersi verificato un errore di sincronizzazione che sta bloccando il passaggio dell'oggetto nel metaverse oppure potrebbe essere applicato un filtro di ambito per la regola di sincronizzazione.
Oggetto non trovato nel metaverse
Se l'oggetto è presente nello spazio connettore di Active Directory ma non è presente nel metaverse, è stato applicato un filtro di ambito. Per esaminare il filtro di ambito, passare al menu delle applicazioni desktop e selezionare Synchronization Rules Editor (Editor delle regole di sincronizzazione). Filtrare le regole applicabili all'oggetto modificando il filtro seguente.
Visualizzare ogni regola nell'elenco precedente e verificare Scoping filter (Filtro di ambito). Nel filtro di ambito seguente, se il valore isCriticalSystemObject è null o FALSE oppure è vuoto, significa che si trova nell'ambito.
Andare all'elenco di attributi di CS Import (Importazione CS) e controllare quale filtro sta bloccando il passaggio dell'oggetto nel metaverse. L'elenco di attributi di Connector Space (Spazio connettore) mostrerà solo gli attributi non null e non vuoti. Se ad esempio isCriticalSystemObject non è visibile nell'elenco, significa che il valore di questo attributo è null o vuoto.
Oggetto non trovato in Microsoft Entra CS
Se l'oggetto non è presente nello spazio connettore di Microsoft Entra ID ma è presente nel metaverse, esamina il filtro di ambito delle regole in uscita dello spazio connettore corrispondente e verifica se l'oggetto viene escluso perché gli attributi del metaverse non soddisfano i criteri.
Per esaminare il filtro di ambito in uscita, selezionare le regole applicabili per l'oggetto modificando il filtro riportato di seguito. Visualizzare ogni regola ed esaminare il valore dell'attributo del metaverse corrispondente.
Attributi MV
Nella scheda Attributes (Attributi) è possibile visualizzare i valori e il connettore che li ha indicati.
Se un oggetto non viene sincronizzato, formulare le domande seguenti in merito agli stati degli attributi nel metaverse:
- L'attributo cloudFiltered è presente e impostato su True? In questo caso, è stato filtrato in base ai passaggi descritti in Filtro basato su attributo.
- L'attributo sourceAnchor è presente? Se non lo è, si dispone di una topologia di foresta account-risorse? Se un oggetto viene identificato come cassetta postale collegata (l'attributo msExchRecipientTypeDetails ha il valore 2), l'attributo sourceAnchor viene fornito dalla foresta con un account di Active Directory abilitato. Assicurarsi che l'account principale sia stato importato e sincronizzato correttamente. L'account principale deve essere elencato tra i connettori dell'oggetto.
Connettori del metaverse
La scheda Connectors (Connettori) visualizza tutti gli spazi connettore che hanno una rappresentazione dell'oggetto.
È necessario disporre di un connettore per:
- Ogni foresta di Active Directory in cui l'utente viene rappresentato. Questa rappresentazione può includere oggetti foreignSecurityPrincipals e Contact.
- Un connettore in Microsoft Entra ID.
Se non disponi di un connettore per Microsoft Entra ID, controlla la sezione su Attributi del metaverse per verificare i criteri per il provisioning in Microsoft Entra ID.
Dalla scheda Connectors (Connettori) è possibile anche passare all'oggetto nello spazio connettore. Selezionare una riga e fare clic su Proprietà.
Passaggi successivi
- Scopri di più in Microsoft Entra Connect Sync.
- Altre informazioni sulle identità ibride.