Felsöka ett objekt som inte synkroniseras med Microsoft Entra-ID

Om ett objekt inte synkroniseras som förväntat med Microsoft Entra-ID kan det bero på flera orsaker. Om du har fått ett felmeddelande via e-post från Microsoft Entra-ID eller om du ser felet i Microsoft Entra Anslut Health läser du Felsökningsfel under synkroniseringen i stället. Men om du felsöker ett problem där objektet inte finns i Microsoft Entra-ID är den här artikeln till för dig. Den beskriver hur du hittar fel i den lokala komponenten Microsoft Entra Anslut synkronisering.

Viktigt!

För Microsoft Entra Anslut distribution med version 1.1.749.0 eller senare använder du felsökningsaktiviteten i guiden för att felsöka problem med objektsynkronisering.

Synkroniseringsprocess

Innan vi undersöker synkroniseringsproblem ska vi förstå synkroniseringsprocessen för Microsoft Entra Anslut:

Diagram of Microsoft Entra Connect Sync process

Terminologi

  • CS: Anslut eller blanksteg, en tabell i en databas
  • MV: Metaverse, en tabell i en databas

Synkroniseringssteg

Synkroniseringsprocessen omfattar följande steg:

  1. Importera från AD: Active Directory-objekt förs in i Active Directory CS.

  2. Importera från Microsoft Entra-ID: Microsoft Entra-objekt förs in i Microsoft Entra CS.

  3. Synkronisering: Regler för inkommande synkronisering och regler för utgående synkronisering körs i prioritetsordning, från lägre till högre. Om du vill visa synkroniseringsreglerna går du till Redigeraren för synkroniseringsregler från skrivbordsprogram. Reglerna för inkommande synkronisering tar in data från CS till MV. Reglerna för utgående synkronisering flyttar data från MV till CS.

  4. Exportera till AD: Efter synkronisering exporteras objekt från Active Directory CS till Active Directory.

  5. Exportera till Microsoft Entra-ID: Efter synkronisering exporteras objekt från Microsoft Entra CS till Microsoft Entra ID.

Felsökning

Om du vill hitta felen kan du titta på några olika platser i följande ordning:

  1. Åtgärden loggar för att hitta fel som identifierats av synkroniseringsmotorn under import och synkronisering.
  2. Anslutningsutrymmet för att hitta saknade objekt och synkroniseringsfel.
  3. Metaversum för att hitta datarelaterade problem.

Starta Synkroniseringstjänsthanteraren innan du påbörjar de här stegen.

Operations

Fliken Åtgärder i Synkroniseringstjänsthanteraren är den plats där du bör starta felsökningen. På den här fliken visas resultatet från de senaste åtgärderna.

Screenshot of Synchronization Service Manager, showing Operations tab selected

Den övre halvan av fliken Åtgärder visar alla körningar i kronologisk ordning. Som standard behåller driftloggen information om de senaste sju dagarna, men den här inställningen kan ändras med schemaläggaren. Leta efter alla körningar som inte visar någon lyckad status. Du kan ändra sortering genom att klicka på rubrikerna.

Kolumnen Status innehåller den viktigaste informationen och visar det allvarligaste problemet för en körning. Här är en snabb sammanfattning av de vanligaste statusarna efter undersökningsprioritet (där * anger flera möjliga felsträngar).

Status Kommentar
Stoppat-* Det gick inte att slutföra körningen. Detta kan till exempel inträffa om fjärrsystemet är nere och inte kan kontaktas.
stopped-error-limit Det finns fler än 5 000 fel. Körningen stoppades automatiskt på grund av det stora antalet fel.
completed-*-errors Körningen slutfördes, men det finns fel (färre än 5 000) som bör undersökas.
slutförda-*-varningar Körningen slutfördes, men vissa data är inte i förväntat tillstånd. Om du har fel är det här meddelandet vanligtvis bara ett symptom. Undersök inte varningar förrän du har åtgärdat fel.
lyckades Inga problem.

När du väljer en rad uppdateras längst ned på fliken Åtgärder för att visa information om den körningen. Längst till vänster i det här området kan du ha en lista med titeln Steg #. Den här listan visas bara om du har flera domäner i skogen och varje domän representeras av ett steg. Domännamnet finns under rubriken Partition. Under rubriken Synkroniseringsstatistik hittar du mer information om antalet ändringar som har bearbetats. Välj länkarna för att hämta en lista över de ändrade objekten. Om du har objekt med fel visas dessa fel under rubriken Synkroniseringsfel .

Fel på fliken Åtgärder

När du har fel visar Synchronization Service Manager både objektet i fel och själva felet som länkar som ger mer information.

Screenshot of errors in Synchronization Service Manager
Börja med att välja felsträngen. (I föregående bild är felsträngen sync-rule-error-function-triggered.) Du får först en översikt över objektet. Om du vill se det faktiska felet väljer du StackSpårning. Den här spårningen innehåller information på felsökningsnivå för felet.

Högerklicka på rutan Samtalsstackinformation, klicka på Välj alla och välj sedan Kopiera. Kopiera sedan stacken och titta på felet i din favoritredigerare, till exempel Anteckningar.

Om felet kommer från SyncRulesEngine visar informationen om anropsstacken först alla attribut i objektet. Rulla nedåt tills du ser rubriken InnerException =>.

Screenshot of the Synchronization Service Manager, showing error information under the heading InnerException =>

Raden efter rubriken visar felet. I föregående bild kommer felet från en anpassad synkroniseringsregel som Fabrikam skapade.

Om felet inte ger tillräckligt med information är det dags att titta på själva data. Välj länken med objektidentifieraren och fortsätt att felsöka det importerade objektet för anslutningsprogrammets utrymme.

egenskaper för Anslut eller blankstegsobjekt

Om fliken Åtgärder inte visar några fel följer du objektet för anslutningsutrymme från Active Directory till metaversum till Microsoft Entra-ID. I den här sökvägen bör du se var problemet finns.

Söka efter ett objekt i CS

I Synkroniseringstjänsthanteraren väljer du Anslut orer, väljer Active Directory-Anslut eller och väljer Sök Anslut eller blanksteg.

I rutan Omfång väljer du RDN när du vill söka efter CN-attributet eller väljer DN eller fästpunkt när du vill söka efter attributet distinguishedName. Ange ett värde och välj Sök.

Screenshot of a connector space search

Om du inte hittar objektet du letar efter kan det ha filtrerats med domänbaserad filtrering eller OU-baserad filtrering. Kontrollera att filtreringen är konfigurerad som förväntat genom att läsa Microsoft Entra Anslut Sync: Konfigurera filtrering.

Du kan utföra en annan användbar sökning genom att välja Microsoft Entra-Anslut eller. I rutan Omfång väljer du Väntar på import och markerar sedan kryssrutan Lägg till . Den här sökningen ger dig alla synkroniserade objekt i Microsoft Entra-ID som inte kan associeras med ett lokalt objekt.

Screenshot of orphans in a connector space search

Dessa objekt skapades av en annan synkroniseringsmotor eller en synkroniseringsmotor med en annan filtreringskonfiguration. Dessa överblivna objekt hanteras inte längre. Granska den här listan och överväg att ta bort dessa objekt med hjälp av Microsoft Graph PowerShell-cmdletar .

CS-import

När du öppnar ett CS-objekt finns det flera flikar överst. På fliken Import visas de data som mellanlagras efter en import.

Screenshot of the Connector Space Object Properties window, with the Import tab selected

Kolumnen Gammalt värde visar vad som för närvarande lagras i Anslut och kolumnen Nytt värde visar vad som har tagits emot från källsystemet och har inte tillämpats ännu. Om det finns ett fel på objektet bearbetas inte ändringarna.

Fliken Synkroniseringsfel visas endast i fönstret egenskaper för Anslut eller-blankstegsobjekt om det finns ett problem med objektet. Mer information finns i felsöka synkroniseringsfel på fliken Åtgärder.

Screenshot of the Synchronization Error tab in the Connector Space Object Properties window

CS-ursprung

Fliken Ursprung i fönstret egenskaper för Anslut eller blankstegsobjekt visar hur objektet för anslutningsutrymmet är relaterat till metaversumobjektet. Du kan se när anslutningsappen senast importerade en ändring från det anslutna systemet och vilka regler som tillämpas för att fylla i data i metaversum.

Screenshot showing the Lineage tab in the Connector Space Object Properties window

I föregående bild visar kolumnen Åtgärd en regel för inkommande synkronisering med åtgärden Etablera. Det indikerar att så länge det här kopplingsutrymmesobjektet finns kvar finns metaversumobjektet kvar. Om listan över synkroniseringsregler i stället visar en regel för utgående synkronisering med en etableringsåtgärd tas objektet bort när metaversumobjektet tas bort.

Screenshot of a lineage window on the Lineage tab in the Connector Space Object Properties window

I föregående bild kan du också se i kolumnen PasswordSync att det inkommande anslutningsutrymmet kan bidra med ändringar i lösenordet eftersom en synkroniseringsregel har värdet Sant. Det här lösenordet skickas till Microsoft Entra-ID via utgående regel.

På fliken Ursprung kan du komma till metaversum genom att välja Egenskaper för metaversumobjekt.

Förhandsgranskning

I det nedre vänstra hörnet i fönstret egenskaper för Anslut eller blankstegsobjekt är knappen Förhandsgranska. Välj den här knappen för att öppna förhandsgranskningssidan, där du kan synkronisera ett enskilt objekt. Den här sidan är användbar om du felsöker vissa anpassade synkroniseringsregler och vill se effekten av en ändring på ett enskilt objekt. Du kan välja en fullständig synkronisering eller en Delta-synkronisering. Du kan också välja Generera förhandsversion, som bara behåller ändringen i minnet. Eller välj Checka in förhandsversion, som uppdaterar metaversumet och stegviserar alla ändringar i målanslutningsutrymmen.

Screenshot of the Preview page, with Start Preview selected

I förhandsversionen kan du granska objektet och se vilken regel som tillämpas för ett visst attributflöde.

Screenshot of the Preview page, showing Import Attribute Flow

Loggas

Bredvid förhandsgranskningsknappen väljer du knappen Logga för att öppna loggsidan. Här kan du se status och historik för lösenordssynkronisering. Mer information finns i Felsöka synkronisering av lösenordshash med Microsoft Entra Anslut Sync.

Egenskaper för metaversumobjekt

Det är vanligtvis bättre att börja söka från källans Active Directory-anslutningsutrymme. Men du kan också börja söka från metaversum.

Söka efter ett objekt i MV

I Synchronization Service Manager väljer du Metaverse Search, som i följande bild. Skapa en fråga som du vet hittar användaren. Sök efter vanliga attribut, till exempel accountName (sAMAccountName) och userPrincipalName. Mer information finns i Sync Service Manager Metaverse search (Sync Service Manager Metaverse search).

Screenshot of Synchronization Service Manager, with the Metaverse Search tab selected

Klicka på objektet i fönstret Sökresultat.

Om du inte hittade objektet har det ännu inte nått metaversum. Fortsätt att söka efter objektet i Active Directory-anslutningsutrymmet. Om du hittar objektet i Active Directory-anslutningsutrymmet kan det finnas ett synkroniseringsfel som hindrar objektet från att komma till metaversumet, eller så kan ett omfångsfilter för synkroniseringsregeln tillämpas.

Objektet hittades inte i MV

Om objektet finns i Active Directory CS men inte finns i MV tillämpas ett omfångsfilter. Om du vill titta på omfångsfiltret går du till programmenyn för skrivbordet och väljer Redigeraren för synkroniseringsregler. Filtrera de regler som gäller för objektet genom att justera filtret nedan.

Screenshot of Synchronization Rules Editor, showing an inbound synchronization rules search

Visa varje regel i listan ovan och kontrollera omfångsfiltret. Om värdet isCriticalSystemObject är null eller FALSE eller tomt finns det i omfånget i följande omfångsfilter.

Screenshot of a scoping filter in an inbound synchronization rule search

Gå till listan med CS-importattribut och kontrollera vilket filter som blockerar objektet från att flyttas till MV. Listan med attribut för Anslut ellerutrymme visar endast attribut som inte är null och inte tomma. Om till exempel isCriticalSystemObject inte visas i listan är värdet för det här attributet null eller tomt.

Objektet hittades inte i Microsoft Entra CS

Om objektet inte finns i anslutningsutrymmet för Microsoft Entra-ID men finns i MV:t kan du titta på omfångsfiltret för de utgående reglerna för motsvarande anslutningsutrymme och ta reda på om objektet filtreras bort eftersom MV-attributen inte uppfyller kriterierna.

Om du vill titta på det utgående omfångsfiltret väljer du tillämpliga regler för objektet genom att justera filtret nedan. Visa varje regel och titta på motsvarande MV-attributvärde .

Screenshot of an outbound synchronization rules search in Synchronization Rules Editor

MV-attribut

På fliken Attribut kan du se värdena och vilka anslutningsappar som bidrog med dem.

Screenshot of the Metaverse Object Properties window, with the Attributes tab selected

Om ett objekt inte synkroniseras ställer du följande frågor om attributtillstånd i metaversum:

  • Är attributet cloudFiltered närvarande och inställt på Sant? I så fall har den filtrerats enligt stegen i attributbaserad filtrering.
  • Finns attributet sourceAnchor ? Om inte, har du en skogstopologi för kontoresurser? Om ett objekt identifieras som en länkad postlåda (attributet msExchRecipientTypeDetails har värdet 2) bidrar sourceAnchor av skogen med ett aktiverat Active Directory-konto. Kontrollera att huvudkontot har importerats och synkroniserats korrekt. Huvudkontot måste anges bland anslutningsapparna för objektet.

MV-anslutningsappar

Fliken Anslut orer visar alla kopplingsutrymmen som har en representation av objektet.

Screenshot of the Metaverse Object Properties window, with the Connectors tab selected

Du bör ha en anslutningsapp för att:

  • Varje Active Directory-skog som användaren representeras i. Den här representationen kan innehålla foreignSecurityPrincipals - och Kontaktobjekt .
  • En anslutningsapp i Microsoft Entra-ID.

Om du saknar anslutningsappen till Microsoft Entra-ID:t läser du avsnittet om MV-attribut för att verifiera kriterierna för etablering av Microsoft Entra-ID.

På fliken Anslut orer kan du också gå till objektet för anslutningsutrymme. Välj en rad och klicka på Egenskaper.

Nästa steg