Поделиться через

Устранение неполадок объекта, который не синхронизируется с идентификатором Microsoft Entra

  • Статья

Если объект не синхронизируется должным образом с идентификатором Microsoft Entra ID, это может быть вызвано несколькими причинами. Если вы получили сообщение об ошибке от Microsoft Entra ID или видите ошибку в Microsoft Entra Connect Health, прочитайте Устранение ошибок во время синхронизации. Но если вы устраняете проблему, в которой объект не находится в идентификаторе Microsoft Entra, эта статья предназначена для вас. В нем описывается, как найти ошибки в локальной синхронизации Microsoft Entra Connect.

Важный

Для развертывания Microsoft Entra Connect с версией 1.1.749.0 или более поздней используйте задачу устранения неполадок в мастере, чтобы устранить проблемы с синхронизацией объектов.

Процесс синхронизации

Прежде чем исследовать проблемы синхронизации, давайте поймем процесс синхронизации Microsoft Entra Connect:

схема процесса синхронизации Microsoft Entra Connect

Терминология

  • CS: пространство подключений, таблица в базе данных
  • MV: Metaverse, таблица в базе данных

шаги синхронизации

Процесс синхронизации включает следующие действия:

  1. импорт из AD: объекты Active Directory переносятся в службу синхронизации Active Directory.

  2. импорт из Microsoft Entra ID: объекты Microsoft Entra импортируются в Microsoft Entra CS.

  3. Синхронизация: правила входящей синхронизации и правила исходящей синхронизации выполняются в порядке приоритета от низшего к высшему. Чтобы просмотреть правила синхронизации, перейдите в редактор правил синхронизации из настольных приложений. Правила входящей синхронизации переносят данные из CS в MV. Правила исходящей синхронизации перемещают данные из MV в CS.

  4. Экспорт в AD: после синхронизации объекты экспортируются из CS Active Directory в Active Directory.

  5. Экспорт в Microsoft Entra ID: После синхронизации объекты экспортируются из Microsoft Entra CS в Microsoft Entra ID.

Устранение неполадок

Чтобы найти ошибки, ознакомьтесь с несколькими различными местами в следующем порядке:

  1. Журналы операций для поиска ошибок, обнаруженных подсистемой синхронизации во время импорта и синхронизации.
  2. Пространство разъема для поиска отсутствующих объектов и ошибок синхронизации.
  3. Метавселенная для поиска проблем, связанных с данными.

Запустите Менеджер синхронизации перед тем, как начать эти действия.

Операции

Вкладка операций в Диспетчере синхронизации — это место, где следует начать устранение неполадок. На этой вкладке показаны результаты последних операций.

снимок экрана Диспетчера службы синхронизации, на котором выбрана вкладка

В верхней половине вкладки "Операции " отображаются все запуски в хронологическом порядке. По умолчанию журнал операций сохраняет сведения о последних семи днях, но этот параметр можно изменить с помощью планировщика. Найдите любой запуск, который не отображает состояние успешного. Вы можете изменить сортировку, выбрав заголовки.

Столбец состояния содержит наиболее важные сведения и показывает наиболее серьезную проблему для выполнения задачи. Ниже приведена краткая сводка наиболее распространенных состояний в порядке приоритета исследования (где * указывает несколько возможных строк ошибок).

Статус Комментарий
остановленный-* Выполнение не удалось завершить. Это может произойти, например, если удаленная система отключена и не может быть связана.
остановленное ограничение ошибок Существует более 5000 ошибок. Выполнение было автоматически остановлено из-за большого количества ошибок.
завершено-*-ошибки Выполнение завершено, но есть ошибки (менее 5000), которые следует исследовать.
завершено-*-предупреждения Процесс завершился, но некоторые данные не в ожидаемом виде. Если возникают ошибки, это сообщение является только симптомом. Не изучайте предупреждения, пока не удается устранить ошибки.
успех Нет проблем.

Когда вы выбираете строку, нижняя часть вкладки "Операции " обновляется, чтобы отобразить сведения об этом запуске. На крайней левой стороне этой области может быть список под названием Шаг #. Этот список отображается только в том случае, если в лесу есть несколько доменов, и каждый домен представлен на шаге. Доменное имя можно найти в заголовке секции. В заголовке статистики синхронизации можно найти дополнительные сведения о количестве обработанных изменений. Выберите ссылки, чтобы получить список измененных объектов. Если есть объекты с ошибками, эти ошибки отображаются под заголовком Ошибки синхронизации.

Ошибки на вкладке "Операции"

При возникновении ошибок Диспетчер синхронизации отображает как объект в ошибке, так и сам объект в качестве ссылок, которые предоставляют дополнительные сведения.

снимок экрана ошибок в Диспетчера синхронизации
Начните с выбора строки ошибки. (На предыдущем рисунке строка ошибки sync-rule-error-function-triggered.) Сначала представлен обзор объекта. Чтобы увидеть фактическую ошибку, выберите трассировки стека. Эта трассировка предоставляет отладочную информацию об ошибке.

Щелкните правой кнопкой мыши по полю сведения о стеке вызовов, выберите Выбрать все, а затем выберите Копировать. Затем скопируйте стек и просмотрите ошибку в избранном редакторе, например Блокнот.

Если ошибка возникает из SyncRulesEngine, сведения о стеке вызовов сначала перечисляют все атрибуты объекта. Прокрутите вниз, пока не увидите заголовок InnerException =>.

снимок экрана диспетчера службы синхронизации, в котором отображаются сведения об ошибке в заголовке InnerException =>

Строка после заголовка отображает ошибку. На предыдущем рисунке ошибка возникает из настраиваемого правила синхронизации, созданного Fabrikam.

Если ошибка не дает достаточно информации, пришло время посмотреть на сами данные. Выберите ссылку с идентификатором объекта и продолжайте устранение неполадок импортированного объектав пространстве соединителя .

Свойства объекта пространства соединителя

Если вкладка Operations не отображает ошибок, следуйте объекту пространства соединителя из Active Directory в метавселенную в Microsoft Entra ID. В этом пути необходимо найти, где находится проблема.

Поиск объекта в CS

В диспетчере служб синхронизации выберите соединители, выберите соединитель Active Directory и пространство соединителя поиска.

В поле области выберите RDN, если требуется выполнить поиск по атрибуту CN, или выберите DN или привязку, если требуется выполнить поиск по атрибуту различающегося имени. Введите значение и выберите Поиск.

снимок экрана поиска пространства соединителя

Если вы не нашли нужный объект, возможно, он был отфильтрован по домену или по подразделению . Чтобы убедиться, что фильтрация настроена должным образом, прочтите: Microsoft Entra Connect Sync: Настройка фильтрации.

Вы можете выполнить другой полезный поиск, выбрав соединитель Microsoft Entra. В поле области выберите ожидающий импорт, а затем установите флажок Добавить. Этот поиск предоставляет все синхронизированные объекты в идентификаторе Microsoft Entra, которые не могут быть связаны с локальным объектом.

снимок экрана сирот в пространстве соединителя

Эти объекты были созданы другим механизмом синхронизации или подсистемой синхронизации с другой конфигурацией фильтрации. Эти объекты-сироты больше не управляются. Просмотрите этот список и рассмотрите возможность удаления этих объектов с помощью командлетов Microsoft Graph PowerShell.

Импорт CS

При открытии объекта CS вверху есть несколько вкладок. На вкладке Импорт показаны данные, которые подготавливаются после импорта.

снимок экрана окна

В столбце "Старое значение" указано, что сейчас хранится в Connect. В столбце New Value показано, что получено из исходной системы и пока не применяется. Если в объекте возникает ошибка, изменения не обрабатываются.

Вкладка об ошибке синхронизации отображается в окне свойств объекта в пространстве соединителя только при возникновении проблемы с объектом. Для получения дополнительной информации ознакомьтесь с тем, как устранять ошибки синхронизации на вкладке операций.

снимок экрана вкладки

Происхождение CS

Вкладка строки в окне "Свойства объекта пространства соединителя соединителя" показывает, как объект пространства соединителя связан с метавселенной. Вы можете увидеть, когда соединитель последний импортировал изменение из подключенной системы и какие правила применяются для заполнения данных в метавселенной.

снимок экрана, показывающий вкладку

На предыдущем рисунке столбец действие показывает правило входящей синхронизации с действием обеспече́ние. Это означает, что до тех пор, пока этот объект пространства подключения присутствует, объект метавселенной будет существовать. Если в списке правил синхронизации отображается правило исходящей синхронизации с действием Provision, то этот объект удаляется при удалении объекта метавселенной.

окно родословной на вкладке

На предыдущем рисунке также можно увидеть в столбце PasswordSync, что пространство входящего соединителя может внести изменения в пароль, так как одно правило синхронизации имеет значение True. Этот пароль отправляется в Microsoft Entra ID через исходящее правило.

На вкладке lineage вы можете добраться до метавселенной, выбрав свойства объекта метавселенной.

Предварительный просмотр

В левом нижнем углу окна свойств объекта пространства соединителя соединителя кнопка предварительного просмотра. Нажмите эту кнопку, чтобы открыть страницу предпросмотра, где можно синхронизировать один объект. Эта страница полезна, если вы устраняете неполадки с некоторыми пользовательскими правилами синхронизации и хотите увидеть влияние изменения на один объект. Можно выбрать полную синхронизацию или дельта-синхронизацию. Вы также можете выбрать создать предварительный просмотр, который сохраняет изменения только в памяти. Или выберите предварительной версии фиксации, которая обновляет метавселенную и этапы всех изменений в целевых пространствах соединителей.

снимок экрана страницы предварительного просмотра с выбранным параметром

В предварительной версии можно проверить объект и увидеть, какое правило применяется для определенного потока атрибутов.

снимок экрана предварительного просмотра страницы, где показан импорт потока атрибутов

Журнал

Рядом с кнопкой предварительной версии выберите кнопку журнала , чтобы открыть страницу журнала . Здесь можно увидеть состояние и историю синхронизации паролей. Дополнительные сведения см. в разделе Устранение неполадок синхронизации хэша паролей с помощью Microsoft Entra Connect Sync.

Свойства объекта Metaverse

Лучше начать поиск из исходного пространства соединителя Active Directory. Но вы также можете начать поиск из метавселенной.

Поиск объекта в MV

В Диспетчере синхронизации выберите поиска метавселенной, как показано на следующем рисунке. Создайте запрос, который, как вы знаете, находит пользователя. Выполните поиск распространенных атрибутов, таких как accountName (sAMAccountName) и userPrincipalName. Для получения дополнительной информации см. поиск в диспетчере службы синхронизации Метавселенной.

Скриншот Менеджера службы синхронизации, на котором выбрана вкладка

В окне результатов поиска выберите объект.

Если вы не нашли объект, он не достиг метавселенной. Продолжайте искать объект в пространстве соединителя Active Directory. Если объект находится в пространстве соединителя Active Directory, может возникнуть ошибка синхронизации, которая блокирует переход объекта к метавселенной. Или может применяться фильтр области правил синхронизации.

Объект не найден в MV

Если объект находится в CS Active Directory, но не присутствует в MV, применяется фильтр области. Чтобы просмотреть фильтр области, перейдите в меню настольного приложения и выберите редактор правил синхронизации . Отфильтруйте правила, применимые к объекту, изменив приведенный ниже фильтр.

снимок экрана редактора правил синхронизации, показывающий поиск входящих правил синхронизации

Просмотрите каждое правило из списка выше и проверьте фильтр области охвата . В следующем фильтре области, если значение isCriticalSystemObject является NULL, FALSE или пустым, оно попадает в пределы области.

снимок экрана фильтра области применения в поиске правила входящей синхронизации

Перейдите в список атрибутов импорта CS и проверьте, какой фильтр блокирует перемещение объекта на MV. В списке атрибутов пространства соединителя отображаются только ненулевые и непустые атрибуты. Например, если isCriticalSystemObject не отображается в списке, значение этого атрибута равно null или пусто.

Объект не найден в CS Microsoft Entra

Если объект отсутствует в пространстве соединителя идентификатора Microsoft Entra ID, но присутствует в MV, просмотрите фильтр области правил исходящего трафика соответствующего пространства соединителя. Определите, отфильтрован ли объект, так как атрибуты MV не соответствуют критериям.

Чтобы просмотреть фильтр области исходящего трафика, выберите применимые правила для объекта, изменив следующий фильтр. Просмотрите каждое правило и посмотрите на значение атрибута MV.

снимок экрана: поиск правил исходящей синхронизации в редакторе правил синхронизации

Атрибуты MV

На вкладке Атрибуты вы можете видеть значения и какие соединители способствовали их появлению.

снимок экрана окна свойств объекта Метавселенной с выбранной вкладкой

Если объект не синхронизируется, задайте следующие вопросы о состояниях атрибутов в метавселенной:

  • Присутствует ли атрибут cloudFiltered и имеет значение True? Если да, то фильтрация выполняется в соответствии с шагами, описанными в фильтрации на основе атрибутов.
  • Присутствует ли атрибут sourceAnchor? Если нет, у вас есть топология леса ресурсов учетных записей? Если объект определяется как связанный почтовый ящик (атрибут msExchRecipientTypeDetails имеет значение 2), sourceAnchor вносится лесом с включенной учетной записью Active Directory. Убедитесь, что главная учетная запись импортирована и синхронизирована правильно. Главная учетная запись должна быть указана среди соединителей для объекта.

Соединители MV

На вкладке соединителей отображаются все пространства для соединителей, имеющие представление объекта.

снимок экрана окна свойств объекта Метавселенной с вкладкой

Вам нужен соединитель для:

  • Каждый лес Active Directory, в котором представлен пользователь. Это представление может включать объекты foreignSecurityPrincipals и Contact.
  • Соединитель в идентификаторе Microsoft Entra.

Если соединитель отсутствует в идентификаторе Microsoft Entra, ознакомьтесь с разделом атрибуты MV, чтобы проверить критерии подготовки к идентификатору Microsoft Entra.

На вкладке Соединители можно ещё перейти к объекту пространства соединителей . Выберите строку и выберите Свойства.

Дальнейшие действия

  • Дополнительные сведения о синхронизации Microsoft Entra Connect .
  • Узнайте больше о гибридной идентичности .