Felsökning av molnsynkronisering

Artikel
12/17/2024

Molnsynkronisering har många olika beroenden och interaktioner, vilket kan ge upphov till olika problem. Den här artikeln hjälper dig att felsöka de här problemen. Där introduceras några vanliga områden att fokusera på, hur du samlar in ytterligare information och de olika tekniker du kan använda till att spåra problem.

Agentproblem

När du felsöker agentproblem kontrollerar du att agenten har installerats korrekt och att den kommunicerar med Microsoft Entra-ID. I synnerhet är några av de första sakerna som du vill verifiera med agenten:

Är den installerad?
Körs agenten lokalt?
Finns agenten i portalen?
Är agenten markerad som felfri?

Du kan kontrollera dessa objekt i portalen och på den lokala server som kör agenten.

Agentverifiering för Microsoft Entra-administrationscenter

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Följ dessa steg för att kontrollera att Azure identifierar agenten och att agenten är felfri:

Logga in på administrationscentret för Microsoft Entra som minst en hybridadministratör.
Bläddra till Identity>Hybrid Management>Microsoft Entra Anslut> Cloud-synkronisering.

Välj molnsynkronisering.
Du bör se de agenter som du har installerat. Kontrollera att agenten i fråga finns där. Om allt är bra visas den aktiva (gröna) statusen för agenten.

Verifiera de nödvändiga öppna portarna

Kontrollera att Microsoft Entra-etableringsagenten kan kommunicera med Azure-datacenter. Om det finns en brandvägg i sökvägen kontrollerar du att följande portar för utgående trafik är öppna:

Portnummer	Hur den används
80	Ladda ned listor över återkallade certifikat (CRL) samtidigt som TLS/SSL-certifikatet verifieras.
443	Hantera all utgående kommunikation med Programproxy-tjänsten.

Om brandväggen framtvingar trafik enligt ursprungliga användare öppnar du även portarna 80 och 443 för trafik från Windows-tjänster som körs som en nätverkstjänst.

Tillåt åtkomst till webbadresser

Tillåt åtkomst till följande webbadresser:

webbadress	Port	Hur den används
`.msappproxy.net` `.servicebus.windows.net`	443/HTTPS	Kommunikation mellan anslutningsappen och Programproxy molntjänsten.
`crl3.digicert.com` `crl4.digicert.com` `ocsp.digicert.com` `crl.microsoft.com` `oneocsp.microsoft.com` `ocsp.msocsp.com`	80/HTTP	Anslutningsappen använder dessa URL:er för att verifiera certifikat.
`login.windows.net` `secure.aadcdn.microsoftonline-p.com` `.microsoftonline.com` `.microsoftonline-p.com` `.msauth.net` `.msauthimages.net` `.msecnd.net` `.msftauth.net` `.msftauthimages.net` `.phonefactor.net` `enterpriseregistration.windows.net` `management.azure.com` `policykeyservice.dc.ad.msft.net` `ctldl.windowsupdate.com` `www.microsoft.com/pkiops`	443/HTTPS	Anslutningsprogrammet använder dessa webbadresser under registreringen.
`ctldl.windowsupdate.com`	80/HTTP	Anslutningsappen använder den här URL:en under registreringsprocessen.

Du kan tillåta anslutningar till *.msappproxy.net, *.servicebus.windows.netoch andra av ovanstående URL:er om brandväggen eller proxyn låter dig konfigurera åtkomstregler baserat på domänsuffix. Annars måste du tillåta åtkomst till Azures IP-intervall och tjänsttaggar – offentligt moln. IP-adressintervallen uppdateras varje vecka.

Viktigt!

Undvik alla former av intern inspektion och avslutning av utgående TLS-kommunikation mellan privata Microsoft Entra-nätverksanslutningar och Molntjänster för Microsoft Entra-programproxy.

DNS-namnmatchning för Microsoft Entra-programproxyslutpunkter

Offentliga DNS-poster för Microsoft Entra-programproxyslutpunkter är länkade CNAME-poster som pekar på en A-post. Detta säkerställer feltolerans och flexibilitet. Det är garanterat att det privata Microsoft Entra-nätverksanslutningsprogrammet alltid kommer åt värdnamn med domänsuffixen *.msappproxy.net eller *.servicebus.windows.net.

Men under namnmatchningen kan CNAME-posterna innehålla DNS-poster med olika värdnamn och suffix. På grund av detta måste du se till att enheten kan matcha alla poster i kedjan och tillåta anslutning till de lösta IP-adresserna. Eftersom DNS-posterna i kedjan kan ändras då och då kan vi inte ge dig några DNS-poster i listan.

På den lokala servern

Följ dessa steg för att kontrollera att agenten körs:

Öppna Tjänster på servern med agenten installerad. Gör detta genom att gå till Start>Run>Services.msc.
Under Tjänster kontrollerar du att Microsoft Entra Anslut Agent Updater och Microsoft Entra Provisioning Agent finns där. Bekräfta också att deras status är Körs.

Vanliga problem med agentinstallation

I följande avsnitt beskrivs några vanliga problem med agentinstallation och vanliga lösningar på dessa problem.

Agenten kunde inte starta

Du kan få ett felmeddelande som anger:

Det gick inte att starta tjänsten Microsoft Entra Provisioning Agent. Kontrollera att du har tillräcklig behörighet för att starta systemtjänsterna.

Det här problemet orsakas vanligtvis av en grupprincip. Principen förhindrade behörigheter från att tillämpas på det lokala inloggningskontot för NT-tjänsten som skapades av installationsprogrammet (NT SERVICE\AADConnectProvisioningAgent). De här behörigheterna krävs för att starta tjänsten.

Följ det här stegen för att lösa problemet:

Logga in på servern med ett administratörskonto.
Öppna tjänster genom att gå till Start>Run>Services.msc.
Under Tjänster dubbelklickar du på Microsoft Entra Provisioning Agent.
På fliken Logga in ändrar du Det här kontot till en domänadministratör. Starta sedan om tjänsten.

Tidsgränsen för agenten eller certifikatet är inte giltigt

Du kan få följande felmeddelande när du försöker registrera agenten.

Skärmbild som visar ett felmeddelande om tidsgränsen.

Det här problemet orsakas vanligtvis av att agenten inte kan ansluta till hybrididentitetstjänsten. Du kan lösa problemet genom att konfigurera en utgående proxy.

Etableringsagenten stöder användning av en utgående proxy. Du kan konfigurera det genom att redigera följande agent.config-fil: C:\Program Files\Microsoft Azure AD Anslut Provisioning Agent\AAD Anslut ProvisioningAgent.exe.config.

Lägg till följande rader i den, mot slutet av filen, precis före den avslutande </configuration> taggen. Ersätt variablerna [proxy-server] och [proxy-port] med proxyserverns namn och portvärden.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

Agentregistreringen misslyckas med säkerhetsfel

Du kan få ett felmeddelande när du installerar molnetableringsagenten. Det här problemet beror vanligtvis på att agenten inte kan köra PowerShell-registreringsskripten på grund av lokala PowerShell-körningsprinciper.

Lös problemet genom att ändra PowerShell-körningsprinciperna på servern. Du måste ange dator- och användarprinciper som Undefined eller RemoteSigned. Om de anges som Unrestrictedvisas det här felet. Mer information finns i PowerShell-körningsprinciper.

Loggfiler

Som standard avger agenten minimala felmeddelanden och stackspårningsinformation. Du hittar dessa spårningsloggar i följande mapp: C:\ProgramData\Microsoft\Azure AD Anslut Provisioning Agent\Trace.

Följ dessa steg för att samla in ytterligare information om felsökning av agentrelaterade problem.

Installera PowerShell-modulen AADCloudSyncTools.
Använd PowerShell-cmdleten Export-AADCloudSyncToolsLogs för att samla in informationen. Du kan använda följande alternativ för att finjustera datainsamlingen.
- SkipVerboseTrace om du bara vill exportera aktuella loggar utan att samla in utförliga loggar (standard = false).
- TracingDurationMins för att ange en annan varaktighet för avbildning (standard = 3 minuter).
- OutputPath för att ange en annan utdatasökväg (standard = användarens dokumentmapp).

Problem med objektsynkronisering

I portalen kan du använda etableringsloggar för att spåra och felsöka problem med objektsynkronisering. Om du vill visa loggarna väljer du Loggar.

Skärmbild som visar knappen loggar.

Etableringsloggar innehåller en mängd information om tillståndet för de objekt som synkroniseras mellan din lokal Active Directory miljö och Azure.

Skärmbild som visar information om etableringsloggar.

Du kan filtrera vyn för att fokusera på specifika problem, till exempel datum. Du kan också söka i loggarna efter aktiviteter relaterade till ett Active Directory-objekt med hjälp av dess Active Directory ObjectGuid. Dubbelklicka på en enskild händelse för att se ytterligare information.

Skärmbild som visar listrutan etableringsloggar.

Den här informationen innehåller detaljerade steg och var synkroniseringsproblemet uppstår. På så sätt kan du hitta den exakta platsen för problemet.

Överhoppade objekt

Om du har synkroniserat användare och grupper från Active Directory kanske du inte kan hitta en eller flera grupper i Microsoft Entra-ID. Detta kan bero på att synkroniseringen ännu inte har slutförts eller inte har kommit ifatt när objektet har skapats i Active Directory, ett synkroniseringsfel som blockerar objektet som skapas i Microsoft Entra-ID eller en omfångsregel för synkroniseringsregeln kan tillämpas som utesluter objektet.

Om du startar om synkroniseringen och sedan när etableringscykeln är klar söker du i etableringsloggen efter aktiviteter relaterade till ett objekt med hjälp av objektets Active Directory ObjectGuid. Om en händelse med en identitet som endast innehåller ett käll-ID och statusen för Skipped finns i loggen, kan detta indikera att agenten filtrerade Active Directory-objektet eftersom det var utanför omfånget.

Som standard utesluter omfångsreglerna följande objekt från att synkroniseras till Microsoft Entra-ID:

användare, grupper och kontakter med IsCriticalSystemObject inställd på TRUE, inklusive många av de inbyggda användarna och grupperna i Active Directory
replikeringsofferobjekt

Ytterligare begränsningar kan finnas i synkroniseringsschemat.

Tröskelvärde för borttagning av Microsoft Entra-objekt

Om du har en implementeringstopologi med Microsoft Entra Anslut och Microsoft Entra Cloud Sync, båda exporterar till samma Microsoft Entra-klientorganisation, eller om du helt har flyttat från att använda Microsoft Entra Anslut till Microsoft Entra Cloud Sync, kan du få följande exportfel när du tar bort eller flyttar flera objekt från det definierade omfånget:

Skärmbild som visar exportfelet.

Det här felet är inte relaterat till funktionen för förebyggande av oavsiktliga borttagningar i Microsoft Entra Anslut molnsynkronisering. Den utlöses av den oavsiktliga funktionen för borttagningsskydd i Microsoft Entra-katalogen från Microsoft Entra Anslut. Om du inte har en Microsoft Entra-Anslut-server installerad från vilken du kan växla funktionen kan du använda PowerShell-modulen "AADCloudSyncTools" installerad med Microsoft Entra Anslut molnsynkroniseringsagent för att inaktivera inställningen på klientorganisationen och tillåta att blockerade borttagningar exporteras när de har bekräftat att de förväntas och bör tillåtas. Ange följande kommando:

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

Under nästa etableringscykel bör de objekt som har markerats för borttagning tas bort från Microsoft Entra-katalogen.

Etablera problem i karantän

Molnsynkronisering övervakar hälsotillståndet för konfigurationen och placerar objekt som inte är felfria i karantäntillstånd. Om de flesta eller alla anrop som görs mot målsystemet konsekvent misslyckas på grund av ett fel (till exempel ogiltiga administratörsautentiseringsuppgifter) markeras synkroniseringsjobbet som i karantän.

Skärmbild som visar karantänstatusen.

Genom att välja status kan du se ytterligare information om karantänen. Du kan också hämta felkoden och meddelandet.

Skärmbild som visar ytterligare information om karantänen.

Om du högerklickar på statusen visas ytterligare alternativ för att:

Visa etableringsloggarna.
Visa agenterna.
Rensa karantänen.

Skärmbild som visar menyalternativen högerklicka.

Lösa en karantän

Det finns två olika sätt att lösa en karantän. Du kan rensa karantänen eller starta om etableringsjobbet.

Rensa karantänen

Om du vill rensa vattenstämpeln och köra en deltasynkronisering för etableringsjobbet när du har verifierat det högerklickar du bara på statusen och väljer Rensa karantän.

Du bör se ett meddelande om att karantänen rensas.

Skärmbild som visar meddelandet att karantänen rensas.

Då bör du se statusen på din agent som felfri.

Skärmbild som visar att agentstatusen är felfri.

Starta om etableringsjobbet

Använd portalen för att starta om etableringsjobbet. På agentkonfigurationssidan väljer du Starta om synkronisering.

Skärmbild som visar alternativ på agentkonfigurationssidan.

Du kan också använda Microsoft Graph för att starta om etableringsjobbet. Du har fullständig kontroll över vad du startar om. Du kan välja att rensa:

Escrows, för att starta om depositionsräknaren som ackumuleras mot karantänstatus.
Karantän för att ta bort programmet från karantänen.
Vattenstämplar.

Använd följande begäran:

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Reparera tjänstkontot för molnsynkronisering

Om du behöver reparera tjänstkontot för molnsynkronisering Repair-AADCloudSyncToolsAccount kan du använda kommandot .

Installera PowerShell-modulen AADCloudSyncTools.
Från en PowerShell-session med administratörsbehörigheter, skriver eller kopierar och klistrar du in följande:
```
Connect-AADCloudSyncTools
```
Ange dina autentiseringsuppgifter för Microsoft Entra Global Administrator.
Skriv eller kopiera och klistra in följande:
```
Repair-AADCloudSyncToolsAccount
```
När detta har slutförts bör det stå att kontot har reparerats.

Tillbakaskrivning av lösenord

Tänk på följande för att aktivera och använda tillbakaskrivning av lösenord med molnsynkronisering:

Om du behöver uppdatera gMSA-behörigheterna kan det ta en timme eller mer innan dessa behörigheter replikeras till alla objekt i katalogen. Om du inte tilldelar dessa behörigheter kan tillbakaskrivningen verka vara korrekt konfigurerad, men användarna kan stöta på fel när de uppdaterar sina lokala lösenord från molnet. Behörigheter måste tillämpas på det här objektet och alla underordnade objekt för att Unexpire Password ska visas.
Om lösenord för vissa användarkonton inte skrivs tillbaka till den lokala katalogen kontrollerar du att arv inte är inaktiverat för kontot i miljön lokal Active Directory Domain Services (AD DS). Skrivbehörigheter för lösenord måste tillämpas på underordnade objekt för att funktionen ska fungera korrekt.
Lösenordsprinciper i den lokala AD DS-miljön kan förhindra att lösenordsåterställning bearbetas korrekt. Om du testar den här funktionen och vill återställa lösenord för användare mer än en gång per dag måste grupprincipen för den lägsta lösenordsåldern anges till 0. Du hittar den här inställningen på följande plats: Datorkonfigurationsprinciper>>Windows Inställningar> Säkerhet Inställningar> Kontoprinciper i gpmc.msc.
- Om du uppdaterar grupprincipen väntar du tills den uppdaterade principen replikeras eller använder gpupdate /force kommandot .
- För att lösenord ska kunna ändras omedelbart måste den lägsta lösenordsåldern anges till 0. Men om användarna följer de lokala principerna och den lägsta lösenordsåldern är inställd på ett värde som är större än 0, fungerar inte tillbakaskrivning av lösenord när de lokala principerna har utvärderats.

Dela via