Solucionar problemas de um objeto que não está sincronizando com o Microsoft Entra ID
Se um objeto não estiver sincronizando como esperado com o Microsoft Entra ID, pode ser devido a vários motivos. Se você recebeu um e-mail de erro do Microsoft Entra ID ou vê o erro no Microsoft Entra Connect Health, leia Solução de problemas de erros durante a sincronização . Mas se você estiver solucionando um problema em que o objeto não está no Microsoft Entra ID, este artigo é para você. Ele descreve como localizar erros na sincronização do componente local Microsoft Entra Connect.
Importante
Para implantação do Microsoft Entra Connect com versão 1.1.749.0 ou superior, use a tarefa de solução de problemas no assistente para solucionar problemas de sincronização de objetos.
Processo de sincronização
Antes de investigarmos problemas de sincronização, vamos entender o processo de sincronização do Microsoft Entra Connect:
Terminologia
- CS: Espaço do conector, uma tabela em um banco de dados
- MV: Metaverso, uma tabela em um banco de dados
Etapas de sincronização
O processo de sincronização envolve as seguintes etapas:
Importar do AD: os objetos do Ative Directory são trazidos para o CS do Ative Directory.
Importar do Microsoft Entra ID: os objetos do Microsoft Entra são trazidos para o Microsoft Entra CS.
Sincronização: as regras de sincronização de entrada e de saída são executadas na ordem do número de precedência, de menor para maior. Para exibir as regras de sincronização, vá para o Editor de Regras de Sincronização nos aplicativos da área de trabalho. As regras de sincronização de entrada trazem dados de CS para MV. As regras de sincronização de saída movem dados de MV para CS.
Exportar para AD: após a sincronização, os objetos são exportados do CS do Ative Directory para o Ative Directory.
Exportar para o Microsoft Entra ID: Após a sincronização, os objetos são exportados do Microsoft Entra CS para o Microsoft Entra ID.
Resolução de problemas
Para encontrar os erros, olhe para alguns lugares diferentes, na seguinte ordem:
- Os logs de operação para localizar erros identificados pelo mecanismo de sincronização durante a importação e sincronização.
- O espaço do conector para localizar objetos ausentes e erros de sincronização.
- O metaverso para encontrar problemas relacionados a dados.
Inicie o Synchronization Service Manager antes de iniciar estas etapas.
Operations
A guia Operações no Gerenciador de Serviço de Sincronização é onde você deve iniciar a solução de problemas. Esta guia mostra os resultados das operações mais recentes.
A metade superior da guia Operações mostra todas as execuções em ordem cronológica. Por padrão, o log de operações mantém informações sobre os últimos sete dias, mas essa configuração pode ser alterada com o agendador. Procure qualquer execução que não mostre um status de sucesso . Você pode alterar a classificação clicando nos cabeçalhos.
A coluna Status contém as informações mais importantes e mostra o problema mais grave para uma execução. Aqui está um resumo rápido dos status mais comuns em ordem de prioridade de investigação (onde * indica várias cadeias de caracteres de erro possíveis).
| Estado | Comentário |
|---|---|
| parado-* | A corrida não pôde terminar. Isso pode acontecer, por exemplo, se o sistema remoto estiver inativo e não puder ser contatado. |
| stopped-error-limit | Existem mais de 5.000 erros. A execução foi interrompida automaticamente devido ao grande número de erros. |
| completed-*-erros | A execução terminou, mas há erros (menos de 5.000) que devem ser investigados. |
| completed-*-avisos | A execução terminou, mas alguns dados não estão no estado esperado. Se você tiver erros, essa mensagem geralmente é apenas um sintoma. Não investigue avisos até ter corrigido os erros. |
| exito | Sem problemas. |
Quando você seleciona uma linha, a parte inferior da guia Operações é atualizada para mostrar os detalhes dessa execução. No lado mais à esquerda desta área, você pode ter uma lista intitulada Step #. Essa lista aparecerá somente se você tiver vários domínios em sua floresta e cada domínio for representado por uma etapa. O nome de domínio pode ser encontrado sob o título Partição. No título Estatísticas de sincronização, você pode encontrar mais informações sobre o número de alterações processadas. Selecione os links para obter uma lista dos objetos alterados. Se você tiver objetos com erros, esses erros aparecerão sob o título Erros de sincronização .
Erros na guia Operações
Quando você tem erros, o Synchronization Service Manager mostra o objeto em erro e o próprio erro como links que fornecem mais informações.
Comece selecionando a cadeia de erro. (Na figura anterior, a cadeia de caracteres de erro é sync-rule-error-function-triggered.) Primeiro, é apresentada uma visão geral do objeto. Para ver o erro real, selecione Rastreamento de pilha. Esse rastreamento fornece informações de nível de depuração para o erro.
Clique com o botão direito do rato na caixa Informações da Pilha de Chamadas, clique em Selecionar Tudo e, em seguida, selecione Copiar. Em seguida, copie a pilha e olhe para o erro em seu editor favorito, como o bloco de notas.
Se o erro for de SyncRulesEngine, as informações da pilha de chamadas primeiro listarão todos os atributos no objeto. Role para baixo até ver o título InnerException =>.
A linha após o título mostra o erro. Na figura anterior, o erro é de uma regra de sincronização personalizada criada pela Fabrikam.
Se o erro não fornecer informações suficientes, é hora de olhar para os dados em si. Selecione o link com o identificador de objeto e continue solucionando problemas do objeto importado de espaço do conector.
Propriedades do objeto de espaço do conector
Se a guia Operações não mostrar erros, siga o objeto de espaço do conector do Ative Directory para o metaverso para o ID do Microsoft Entra. Neste caminho, você deve encontrar onde está o problema.
Procurando um objeto no CS
No Gerenciador do Serviço de Sincronização, selecione Conectores, selecione o Conector do Ative Directory e selecione Espaço do Conector de Pesquisa.
Na caixa Escopo, selecione RDN quando quiser pesquisar no atributo CN ou selecione DN ou âncora quando quiser pesquisar no atributo distinguishedName. Insira um valor e selecione Pesquisar.
Se você não encontrar o objeto que está procurando, ele pode ter sido filtrado com filtragem baseada em domínio ou filtragem baseada em UO. Para verificar se a filtragem está configurada conforme o esperado, leia Microsoft Entra Connect Sync: Configure filtering.
Você pode realizar outra pesquisa útil selecionando o Microsoft Entra Connector. Na caixa Escopo, selecione Importação Pendente e marque a caixa de seleção Adicionar. Essa pesquisa fornece todos os objetos sincronizados na ID do Microsoft Entra que não podem ser associados a um objeto local.
Esses objetos foram criados por outro mecanismo de sincronização ou um mecanismo de sincronização com uma configuração de filtragem diferente. Esses objetos órfãos não são mais gerenciados. Analise esta lista e considere remover esses objetos usando os cmdlets do Microsoft Graph PowerShell .
Importação CS
Quando você abre um objeto CS, há várias guias na parte superior. A guia Importar mostra os dados que são preparados após uma importação.
A coluna Valor Antigo mostra o que está atualmente armazenado em Connect e a coluna Novo Valor mostra o que foi recebido do sistema de origem e ainda não foi aplicado. Se houver um erro no objeto, as alterações não serão processadas.
A guia Erro de sincronização fica visível na janela Propriedades do objeto de espaço do conector somente se houver um problema com o objeto. Para obter mais informações, consulte como solucionar erros de sincronização na guia Operações.
Linhagem CS
A guia Linhagem na janela Propriedades do objeto de espaço do conector mostra como o objeto de espaço do conector está relacionado ao objeto do metaverso. Você pode ver quando o conector importou pela última vez uma alteração do sistema conectado e quais regras se aplicaram para preencher dados no metaverso.
Na figura anterior, a coluna Ação mostra uma regra de sincronização de entrada com a ação Provisionamento. Isso indica que, enquanto esse objeto de espaço do conector estiver presente, o objeto do metaverso permanecerá. Se, em vez disso, a lista de regras de sincronização mostrar uma regra de sincronização de saída com uma ação Provisão , esse objeto será excluído quando o objeto do metaverso for excluído.
Na figura anterior, você também pode ver na coluna PasswordSync que o espaço do conector de entrada pode contribuir com alterações na senha, já que uma regra de sincronização tem o valor True. Esta palavra-passe é enviada para o Microsoft Entra ID através da regra de saída.
Na guia Linhagem, você pode chegar ao metaverso selecionando Propriedades do objeto do metaverso.
Pré-visualizar
No canto inferior esquerdo da janela Propriedades do objeto de espaço do conector está o botão Visualizar . Selecione este botão para abrir a página Pré-visualização , onde pode sincronizar um único objeto. Esta página é útil se você estiver solucionando problemas de algumas regras de sincronização personalizadas e quiser ver o efeito de uma alteração em um único objeto. Você pode selecionar uma sincronização completa ou uma sincronização Delta. Você também pode selecionar Gerar visualização, que mantém apenas a alteração na memória. Ou selecione Confirmar visualização, que atualiza o metaverso e prepara todas as alterações nos espaços do conector de destino.
Na visualização, você pode inspecionar o objeto e ver qual regra foi aplicada a um fluxo de atributo específico.
Registo
Ao lado do botão Visualizar, selecione o botão Log para abrir a página Log. Aqui você pode ver o status e o histórico de sincronização de senha. Para obter mais informações, consulte Solucionar problemas de sincronização de hash de senha com o Microsoft Entra Connect Sync.
Propriedades do objeto Metaverso
Normalmente, é melhor começar a pesquisar a partir do espaço do conector do Ative Directory de origem. Mas você também pode começar a pesquisar a partir do metaverso.
Procurando por um objeto no MV
No Gerenciador do Serviço de Sincronização, selecione Pesquisa do Metaverso, como na figura a seguir. Crie uma consulta que você sabe que localiza o usuário. Pesquise atributos comuns, como accountName (sAMAccountName) e userPrincipalName. Para obter mais informações, consulte Pesquisa do Metaverso do Sync Service Manager.
Na janela Resultados da Pesquisa, clique no objeto.
Se você não encontrou o objeto, ele ainda não chegou ao metaverso. Continue a procurar o objeto no espaço do conector do Ative Directory. Se você encontrar o objeto no espaço do conector do Ative Directory, pode haver um erro de sincronização que está bloqueando a entrada do objeto no metaverso ou um filtro de escopo de regra de sincronização pode ser aplicado.
Objeto não encontrado na MV
Se o objeto estiver no CS do Ative Directory, mas não estiver presente no MV, um filtro de escopo será aplicado. Para ver o filtro de escopo, vá para o menu do aplicativo da área de trabalho e selecione Editor de regras de sincronização. Filtre as regras aplicáveis ao objeto ajustando o filtro abaixo.
Veja cada regra na lista acima e verifique o filtro de escopo. No filtro de escopo a seguir, se o valor isCriticalSystemObject for null ou FALSE ou vazio, ele estará no escopo.
Vá para a lista de atributos CS Import e verifique qual filtro está bloqueando a movimentação do objeto para a MV. A lista de atributos Espaço do Conector mostrará apenas atributos não nulos e não vazios. Por exemplo, se isCriticalSystemObject não aparecer na lista, o valor desse atributo será nulo ou vazio.
Objeto não encontrado no Microsoft Entra CS
Se o objeto não estiver presente no espaço do conector do Microsoft Entra ID, mas estiver presente no MV, examine o filtro de escopo das regras de saída do espaço do conector correspondente e descubra se o objeto está filtrado porque os atributos MV não atendem aos critérios.
Para examinar o filtro de escopo de saída, selecione as regras aplicáveis ao objeto ajustando o filtro abaixo. Visualize cada regra e veja o valor do atributo MV correspondente.
Atributos MV
Na guia Atributos, você pode ver os valores e quais conectores contribuíram com eles.
Se um objeto não estiver sincronizando, faça as seguintes perguntas sobre estados de atributo no metaverso:
- O atributo cloudFiltered está presente e definido como True? Se estiver, ele foi filtrado de acordo com as etapas na filtragem baseada em atributos.
- O atributo sourceAnchor está presente? Se não, você tem uma topologia de floresta de recursos de conta? Se um objeto for identificado como uma caixa de correio vinculada (o atributo msExchRecipientTypeDetails tem o valor 2), o sourceAnchor será contribuído pela floresta com uma conta do Ative Directory habilitada. Verifique se a conta mestra foi importada e sincronizada corretamente. A conta mestra deve ser listada entre os conectores para o objeto.
Conectores MT
A guia Conectores mostra todos os espaços de conector que têm uma representação do objeto.
Você deve ter um conector para:
- Cada floresta do Ative Directory em que o usuário está representado. Essa representação pode incluir foreignSecurityPrincipals e objetos Contact .
- Um conector no Microsoft Entra ID.
Se estiver faltando o conector para o Microsoft Entra ID, revise a seção sobre atributos MV para verificar os critérios de provisionamento para o Microsoft Entra ID.
Na guia Conectores, você também pode ir para o objeto de espaço do conector. Selecione uma linha e clique em Propriedades.
Próximos passos
- Saiba mais sobre o Microsoft Entra Connect Sync.
- Saiba mais sobre identidade híbrida.