Dépanner un objet qui ne se synchronise pas avec Microsoft Entra ID
Si un objet ne se synchronise pas comme prévu avec Microsoft Entra ID, cela peut être dû à plusieurs raisons. Si vous avez reçu un e-mail d'erreur de Microsoft Entra ID ou si vous voyez l'erreur dans Microsoft Entra Connect Health, lisez plutôt Dépannage des erreurs lors de la synchronisation. Mais si vous résolvez un problème où l'objet ne se trouve pas dans Microsoft Entra ID, cet article est fait pour vous. Il décrit comment rechercher des erreurs dans la synchronisation du composant Microsoft Entra Connect sur site.
Important
Pour le déploiement de Microsoft Entra Connect avec la version 1.1.749.0 ou supérieure, utilisez la tâche de dépannage de l'assistant pour résoudre les problèmes de synchronisation des objets.
Processus de synchronisation
Avant d'examiner les problèmes de synchronisation, comprenons le processus de synchronisation de Microsoft Entra Connect :
Terminologie
- CS : espace de connecteur, une table dans une base de données
- MV : métaverse, une table dans une base de données
Étapes de la synchronisation
Le processus de synchronisation comprend les étapes suivantes :
Importer à partir d’AD : les objets Active Directory sont placés dans l’espace de connecteur Active Directory.
Importer depuis Microsoft Entra ID : les objets Microsoft Entra sont importés dans Microsoft Entra CS.
Synchronisation : les règles de synchronisation entrante et les règles de synchronisation sortante sont exécutées dans l’ordre des numéros de priorité, du plus petit au plus grand. Pour afficher les règles de synchronisation, vous pouvez accéder à l’éditeur de règles de synchronisation à partir des applications de bureau. Les règles de synchronisation entrante déplacent les données de CS dans MV. Les règles de synchronisation sortante déplacent les données de MV dans CS.
Exporter vers AD : à l’issue de la synchronisation, les objets sont exportés de l’espace de connecteur Active Directory vers Active Directory.
Exporter vers Microsoft Entra ID : après la synchronisation, les objets sont exportés de Microsoft Entra CS vers Microsoft Entra ID.
Résolution des problèmes
Pour rechercher les erreurs, regardez à différents endroits, dans l’ordre suivant :
- Les journaux d’activité des opérations pour rechercher les erreurs identifiées par le moteur de synchronisation pendant l’importation et la synchronisation.
- L’espace connecteur pour rechercher les objets manquants et les erreurs de synchronisation.
- Le métaverse pour rechercher les problèmes liés aux données.
Démarrez Synchronization Service Manager avant de commencer ces étapes.
Opérations
L’onglet Operations (Opérations) dans Synchronization Service Manager est l’endroit où vous devez commencer votre dépannage. Cet onglet renseigne sur les résultats des opérations les plus récentes.
La partie supérieure de l’onglet Operations (Opérations) répertorie toutes les exécutions dans un ordre chronologique. Par défaut, le journal des opérations conserve les informations des sept derniers jours, mais vous pouvez modifier ce paramètre à l’aide du planificateur. Recherchez toute exécution qui ne présente pas un état de success (réussite). Vous pouvez modifier le tri en cliquant sur les en-têtes.
La colonne Status (État) contient les informations les plus importantes et renseigne sur le problème le plus grave pour une exécution. Voici un récapitulatif rapide des états les plus courants par ordre de priorité d’inspection (sachant que * indique plusieurs chaînes d’erreur possibles).
Statut | Commentaire |
---|---|
stopped- * | L’exécution n’a pas pu se terminer. Cela peut se produire, par exemple, si le système distant est arrêté et ne peut pas être contacté. |
stopped-error-limit | Il existe plus de 5 000 erreurs. L’exécution a été automatiquement arrêtée en raison du grand nombre d’erreurs. |
completed-*-errors | L’exécution s’est terminée, mais il existe des erreurs (moins de 5 000) qui doivent être examinées. |
completed-*-warnings | L’exécution s’est terminée, mais des données n’ont pas l’état attendu. Si vous avez des erreurs, ce message n’est, en général, qu’un symptôme. N’explorez pas les avertissements avant d’avoir résolu les erreurs. |
success | Aucun problème. |
Lorsque vous sélectionnez une ligne, la partie inférieure de l’onglet Operations (Opérations) est mise à jour pour afficher les détails de cette exécution. Situé tout à gauche dans cette zone, vous pouvez voir une liste intitulée Step # (Étape #). Cette liste ne s’affiche que si votre forêt contient plusieurs domaines et que chaque domaine est représenté par une étape. Le nom de domaine se trouve sous le titre Partition. Sous l’en-tête (Synchronization Statistics) (Statistiques de synchronisation), vous trouvez plus d’informations sur le nombre de modifications qui ont été traitées. Sélectionnez les liens pour obtenir la liste des objets modifiés. Si vous avez des objets comportant des erreurs, celles-ci s’affichent sous l’en-tête Synchronization Errors (Erreurs de synchronisation).
Erreurs dans l’onglet Operations (Opérations)
Quand vous avez des erreurs, Synchronization Service Manager affiche l’objet comportant l’erreur et l’erreur elle-même sous forme de liens qui fournissent d’autres informations.
Commencez par sélectionner la chaîne d’erreur. (Dans l’image précédente, la chaîne d’erreur est sync-rule-error-function-triggered.) Une présentation de l’objet s’affiche d’abord. Pour voir l’erreur détaillée, sélectionnez Stack Trace (Trace de la pile). Cette trace vous fournit des informations de débogage pour l’erreur.
Cliquez avec le bouton droit dans la zone Call Stack Information (Informations de la pile des appels), choisissez Select All (Tout sélectionner), puis Copy (Copier). Copiez ensuite la pile et examinez l’erreur dans l’éditeur de votre choix, par exemple le Bloc-notes.
Si l’erreur provient de SyncRulesEngine, les informations de la pile des appels affichent d’abord la liste de tous les attributs sur l’objet. Faites défiler la page vers le bas jusqu’à ce que l’en-tête InnerException => s’affiche.
La ligne qui suit le titre renseigne sur l’erreur. Dans l’image précédente, l’erreur provient d’une règle de synchronisation personnalisée qui a été créée par Fabrikam.
Si l’erreur ne fournit pas suffisamment d’informations, il est temps d’examiner les données elles-mêmes. Sélectionnez le lien contenant l’identificateur d’objet et poursuivez la résolution des problèmes de l’objet importé de l’espace connecteur.
Propriétés de l’objet espace connecteur
Si l'onglet Opérations n'affiche aucune erreur, suivez l'objet d'espace de connecteur d'Active Directory vers le métaverse jusqu'à Microsoft Entra ID. Dans ce chemin d’accès, vous devez rechercher la cause du problème.
Recherche d’un objet dans l’espace connecteur
Dans Synchronization Service Manager, sélectionnez Connectors (Connecteurs), puis le connecteur Active Directory et enfin Search Connector Space (Rechercher dans l’espace connecteur).
Dans la zone Scope (Étendue), sélectionnez RDN lorsque vous souhaitez effectuer une recherche sur l’attribut CN, ou sélectionnez DN or anchor (Nom unique ou ancre) lorsque vous souhaitez effectuer une recherche sur l’attribut distinguishedName. Entrez une valeur et sélectionnez Search (Rechercher).
Si vous ne trouvez pas l’objet recherché, celui-ci peut avoir été filtré avec le filtrage basé sur le domaine ou le filtrage basé sur l’unité d’organisation. Pour vérifier que le filtrage est configuré comme prévu, lisez Microsoft Entra Connect Sync : configurer le filtrage.
Vous pouvez effectuer une autre recherche utile en sélectionnant le connecteur Microsoft Entra. Dans la zone Scope (Étendue), sélectionnez Pending Import (Importation en attente), puis cochez l’option Add (Ajouter). Cette recherche vous donne tous les objets synchronisés dans Microsoft Entra ID qui ne peuvent pas être associés à un objet sur site.
Ces objets ont été créés par un autre moteur de synchronisation, ou par un moteur de synchronisation doté d’une autre configuration de filtrage. Ces objets orphelins ne sont plus managés. Examinez cette liste et projetez de supprimer ces objets au moyen des cmdlet Microsoft Graph PowerShell.
Importation de CS
Quand vous ouvrez un objet CS, plusieurs onglets sont affichés en haut. L’onglet Importer affiche les données mises en lot après une importation.
La colonneOld Value (Ancienne valeur) montre ce qui est actuellement stocké dans Connect, et la colonne New Value (Nouvelle valeur), ce qui a été reçu du système source et qui n’a pas encore été appliqué. Si une erreur est présente sur l’objet, les modifications ne sont pas traitées.
L’onglet Synchronization Error (Erreur de synchronisation) n’est visible dans la fenêtre Connector Space Object Properties (Propriétés de l’objet espace connecteur) que s’il existe un problème avec l’objet. Pour plus d’informations, consultez Résoudre les erreurs de synchronisation dans l’onglet Operations.
Lignage CS
L’onglet Lineage (Lignage) dans la fenêtre Connector Space Object Properties (Propriétés de l’objet espace connecteur) montre de quelle manière l’objet espace connecteur est lié à l’objet métaverse. Vous pouvez voir à quel moment le connecteur a importé pour la dernière fois une modification à partir du système connecté, et connaître les règles appliquées pour remplir les données dans le métaverse.
Dans l’image précédente, la colonne Action affiche une règle de synchronisation entrante avec l’action Provision (Provisionner). Cela signifie que tant que cet objet espace connecteur est présent, l’objet métaverse est conservé. Si la liste des règles de synchronisation affiche à la place une règle de synchronisation sortante avec une action Provision (Provisionner), cet objet est supprimé en même temps que l’objet métaverse.
Dans l’image précédente, vous pouvez également remarquer dans la colonne PasswordSync que l’espace connecteur entrant peut participer aux modifications du mot de passe, car une règle de synchronisation a la valeur True. Ce mot de passe est envoyé à Microsoft Entra ID via la règle de trafic sortant.
Sous l’onglet Lineage (Lignage), vous pouvez accéder au métaverse en sélectionnant Metaverse Object Properties (Propriétés de l’objet métaverse).
PRÉVERSION
Le bouton Preview (Aperçu) se trouve en bas à gauche dans la fenêtre Connector Space Object Properties (Propriétés de l’objet espace connecteur). Sélectionnez ce bouton pour ouvrir la page Preview (Aperçu) dans laquelle vous pouvez synchroniser un objet. Cette page est utile si vous résolvez des problèmes liés aux règles de synchronisation personnalisée et que vous souhaitez voir l’effet d’une modification sur un seul objet. Vous pouvez sélectionner Full sync (Synchronisation complète) ou Delta sync (Synchronisation Delta). Vous pouvez également sélectionner Generate Preview (Générer l’aperçu), qui permet de conserver uniquement la modification en mémoire. Sinon, sélectionnez Commit Preview (Valider l’aperçu), qui met à jour le métaverse et implémente toutes les modifications dans les espaces connecteur cibles.
Dans l’aperçu, vous pouvez inspecter l’objet et voir la règle appliquée pour un flux d’attribut particulier.
Journal
À côté du bouton Preview (Aperçu), sélectionnez le bouton Log (Journal) pour ouvrir la page Log (Journal). Là, vous pouvez voir l’état de synchronisation et l’historique du mot de passe. Pour plus d’informations, consultez Dépanner la synchronisation du hachage de mot de passe avec Microsoft Entra Connect Sync.
Propriétés de l’objet métaverse
Il est généralement préférable de commencer la recherche à partir de l’espace connecteur Active Directory source. Mais vous pouvez également démarrer la recherche depuis le métaverse.
Recherche d’un objet dans MV
Dans Synchronization Service Manager, sélectionnez Metaverse Search (Recherche dans le métaverse), comme illustré dans l’image suivante. Créez une requête capable de trouver l’utilisateur. Recherchez des attributs communs, comme accountName (sAMAccountName) et userPrincipalName. Pour plus d’informations, consultez Recherche dans le métaverse de Sync Service Manager.
Dans la fenêtre Résultats de la recherche, cliquez sur l’objet.
Si vous ne trouvez pas l’objet, c’est qu’il n’a pas encore atteint le métaverse. Continuez à rechercher l’objet dans l’espace de connecteur Active Directory. Si vous le trouvez dans l’espace connecteur Active Directory, il se peut qu’une erreur de synchronisation bloque l’entrée de l’objet dans le métaverse, ou qu’un filtre d’étendue de règles de synchronisation soit appliqué.
Objet introuvable dans MV
Si l’objet se trouve dans l’espace Active Directory CS, mais pas dans le Métaverse, le filtre d’étendue est appliqué. Pour examiner le filtre d’étendue, accédez au menu de l’application de bureau, puis sélectionnez Synchronization Rules Editor (Éditeur de règles de synchronisation). Filtrez les règles applicables à l’objet en ajustant le filtre ci-dessous.
Affichez chaque règle de la liste ci-dessus et vérifiez le paramètre Scoping filter (Filtre d’étendue). Dans le filtre d’étendue qui suit, si isCriticalSystemObject a la valeur Null ou FALSE, ou s’il n’est pas défini, il se situe dans l’étendue.
Accédez à la liste d’attributs CS Import (Importation de CS), puis vérifiez quel filtre bloque l’objet et empêche son déplacement dans MV. La liste d’attributs Connector Space (Espace connecteur) affiche uniquement les attributs renseignés, ou ceux dont la valeur n’est pas de type Null. Par exemple, si l’attribut isCriticalSystemObject n’apparaît pas dans la liste, sa valeur est Null ou n’est pas renseignée.
Objet introuvable dans Microsoft Entra CS
Si l'objet n'est pas présent dans l'espace de connecteur de Microsoft Entra ID mais est présent dans le MV, examinez le filtre de portée des règles de trafic sortant de l'espace de connecteur correspondant et découvrez si l'objet est filtré car les attributs MV ne sont pas présents. ne répond pas aux critères.
Pour afficher le filtre d’étendue sortant, sélectionnez les règles applicables de l’objet en ajustant le filtre ci-dessous. Affichez chaque règle et examinez la valeur correspondante de l’attribut MV.
Attributs MV
Sous l’onglet Attributes (Attributs), vous pouvez voir les valeurs et quels connecteurs y ont contribué.
Si un objet n’est pas synchronisé, posez-vous les questions suivantes sur les états d’attribut dans le métaverse :
- L’attribut cloudFiltered est-il présent et défini sur true ? Si c’est le cas, il a été filtré selon les étapes décrites dans Filtrage par attribut.
- L’attribut sourceAnchor est-il présent ? Si ce n’est pas le cas, utilisez-vous une topologie de forêt compte-ressource ? Si un objet est identifié en tant que boîte aux lettres liée (l’attribut msExchRecipientTypeDetails a la valeur 2), l’attribut sourceAnchor est fourni par la forêt avec un compte Active Directory activé. Assurez-vous que le compte principal a été importé et synchronisé correctement. Le compte principal doit être répertorié parmi les connecteurs pour l’objet.
Connecteurs MV
L’onglet Connectors (Connecteurs) affiche tous les espaces connecteur qui ont une représentation de l’objet.
Vous devez disposer d’un connecteur pour :
- Chaque forêt Active Directory dans laquelle l’utilisateur est représenté. Cette représentation peut inclure des objets Contact et foreignSecurityPrincipals.
- Un connecteur dans Microsoft Entra ID.
S'il vous manque le connecteur vers Microsoft Entra ID, consultez la section sur les attributs MV pour vérifier les critères de provisionnement vers Microsoft Entra ID.
Dans l’onglet Connectors (Connecteurs) , vous pouvez également accéder à l’objet espace connecteur. Sélectionnez une ligne et cliquez sur Propriétés.
Étapes suivantes
- En savoir plus sur Microsoft Entra Connect Sync.
- En savoir plus sur l’identité hybride.