針對未與 Microsoft Entra ID 同步的物件進行疑難排解
如果物件未如預期般與 Microsoft Entra ID 同步處理,可能是因為數個原因。 如果您收到來自 Microsoft Entra ID 的錯誤電子郵件,或在 Microsoft Entra Connect Health 中看到錯誤,請改閱讀 以取得同步處理期間發生錯誤的 疑難排解方法。 但是,如果您要針對物件不在 Microsoft Entra ID 中的問題進行疑難解答,則本文適用於您。 它描述了如何在內部部署元件中尋找 Microsoft Entra Connect 同步處理的錯誤。
重要
若要解決 Microsoft Entra Connect 版本 1.1.749.0 或更高版本的部署中物件同步問題,請在精靈裡使用 疑難排解工作。
同步過程
在調查同步處理問題之前,讓我們先瞭解Microsoft Entra Connect 同步處理程式:
術語
- CS: 連接器空間,資料庫中的資料表
- MV: Metaverse,這是資料庫中的數據表
同步處理步驟
同步處理程式牽涉到下列步驟:
從 AD 匯入: Active Directory 物件會帶入 Active Directory CS。
zh-TW: 從 Microsoft Entra ID 匯入: Microsoft Entra 物件會被帶入 Microsoft Entra CS。
同步處理: 輸入同步處理規則和輸出同步處理規則會依優先順序順序執行,從較低到更高。 若要檢視同步處理規則,請從傳統型應用程式移至同步處理規則編輯器。 輸入同步處理規則會將數據從 CS 帶入MV。 輸出同步處理規則會將資料從MV移至 CS。
導出至 AD: 同步處理之後,物件會從 Active Directory CS 導出至 Active Directory。
導出至Microsoft Entra 標識符: 同步處理之後,物件會從 Microsoft Entra CS 導出至 Microsoft Entra ID。
故障排除
若要尋找錯誤,請依下列順序查看幾個不同的位置:
在進行這些步驟之前,請先啟動 Synchronization Service Manager。
操作
同步服務管理器中的 [Operations] 索引標籤是您開始疑難排解的地方。 此索引標籤會顯示最新作業的結果。
Operations 標籤的上半部會以時間順序顯示所有運行記錄。 根據預設,作業記錄會保留過去七天的相關信息,但此設定可以使用 排程器變更。 尋找未顯示 成功 狀態的任何執行。 您可以選取標頭來變更排序。
狀態 欄包含最重要的資訊,並顯示一次運行中最嚴重的問題。 以下是調查優先順序最常見的狀態快速摘要(其中 * 表示數個可能的錯誤字串)。
| 地位 | 評論 |
|---|---|
| 停止-* | 執行無法完成。 例如,如果遠端系統已關閉且無法連絡,可能會發生這種情況。 |
| 停止錯誤限制 | 錯誤超過 5,000 個。 因為發生大量錯誤,所以會自動停止執行。 |
| completed-*-errors | 操作已完成,但有一些錯誤(少於5,000個)應該調查。 |
| 已完成-*-警告 | 執行已完成,但某些數據未處於預期狀態。 如果發生錯誤,則此訊息只是徵兆。 在您解決錯誤之前,請勿調查警告。 |
| 成功 | 沒有問題。 |
當您選取一列時,[Operations] 索引標籤的底部會更新,以顯示該次執行的詳細資訊。 在此區域最左邊,可能會有標題為 Step #的清單。 只有當樹系中有多個網域,且每個網域都以步驟表示時,才會顯示此清單。 網域名稱可在標題分割區
作業索引標籤上的錯誤
發生錯誤時,Synchronization Service Manager 會將錯誤中的 對象和錯誤本身顯示為提供詳細信息的連結。
從選取錯誤字串開始。 (在上圖中,錯誤字串 sync-rule-error-function-triggered。)您首先會看到物件的概觀。 若要檢視實際錯誤,請選擇 [堆疊追蹤]。 此追蹤會提供錯誤的偵錯層級資訊。
以滑鼠右鍵點擊[呼叫堆棧資訊]方塊,選取[全部選取],然後選取[複製]。 然後複製紀錄並在您最喜愛的編輯器(例如記事本)中查看錯誤。
如果錯誤來自 SyncRulesEngine,則呼叫堆棧資訊會先列出物件上的所有屬性。 向下卷動,直到您看到 InnerException =>標題為止。
標題底下的錯誤資訊
在標題之後的那一行顯示錯誤。 在上圖中,錯誤來自 Fabrikam 建立的自定義同步處理規則。
如果錯誤沒有提供足夠的資訊,是時候查看數據本身了。 選取具備物件識別碼的連結,並繼續對匯入至 連接器空間的物件進行疑難排解。
連接器空間物件屬性
如果 [Operations] 索引標籤沒有顯示任何錯誤,請遵循從 Active Directory 通往 Metaverse,再通往 Microsoft Entra ID 的連接器空間物件。 在此路徑中,您應該會找出問題所在之處。
在 CS 中搜尋物件
在 [同步處理服務管理員] 中,選取 [連接器],選取 [Active Directory 連接器],然後選取 [搜尋連接器空間]。
在 [範圍] 方塊中,當您想要搜尋 CN 屬性時,請選取 [RDN];當您想要搜尋 distinguishedName 屬性時,請選取 [DN 或錨點]。 輸入值,然後選擇 搜尋。
的螢幕快照
如果您找不到您要尋找的物件,可能已使用 網域型篩選 或 OU 型篩選篩選。 若要確認篩選已如預期般設定,請閱讀 Microsoft Entra Connect Sync:設定篩選。
您可以選取 Microsoft Entra Connector 來執行另一個有用的搜尋。 在 [範圍] 方塊中,選取 [擱置匯入],然後選取 [新增] 複選框。 此搜尋可顯示您在 Microsoft Entra ID 中,所有無法與內部部署物件關聯的同步物件。
這些物件是由另一個同步處理引擎或具有不同篩選組態的同步處理引擎所建立。 這些孤兒物件不再受到管理。 檢閱此清單,並考慮使用 Microsoft Graph PowerShell Cmdlet 移除這些物件。
CS 匯入
當您開啟 CS 物件時,頂端有數個索引標籤。 [匯入] 標籤會顯示匯入後暫存的資料。
![[連接器空間物件屬性] 視窗的螢幕快照,顯示已選取 [匯入] 索引標籤](media/tshoot-connect-object-not-syncing/csobject.png)
舊值 欄位顯示目前儲存在 Connect 的內容。 New Value 欄位顯示從來源系統接收的值,但尚未套用。 如果對象發生錯誤,則不會處理變更。
只有在對象發生問題時,同步處理錯誤 索引標籤才會顯示在 [連接器空間物件屬性] 視窗中。 如需詳細資訊,請檢閱如何在
![在 [連接器空間物件屬性] 視窗中顯示的 [同步處理錯誤] 索引標籤的螢幕截圖](media/tshoot-connect-object-not-syncing/cssyncerror.png)
CS 譜系
[歷程] 索引卷標位於 Connector Space Object Properties 視窗中,顯示連接器空間物件與 Metaverse 物件之間的關係。 您可以看到連接器上次從連接的系統匯入變更,以及套用哪些規則以填入 Metaverse 中的數據。
![顯示 [連接器空間物件屬性] 視窗中 [譜系] 索引標籤的螢幕快照](media/tshoot-connect-object-not-syncing/cslineage.png)
在上圖中,[動作] 資料行顯示了一個具有動作 [布建]的輸入同步規則。 這表示只要此連接器空間物件存在,Metaverse 物件就會保留。 如果同步處理規則清單改為顯示具有 Provision 動作的輸出同步處理規則,則會在刪除 metaverse 物件時刪除此物件。
![在 [連接器空間物件屬性] 視窗中 [譜系] 索引標籤上的 lineage 視窗的螢幕快照](media/tshoot-connect-object-not-syncing/cslineageout.png)
在上圖中,您也可以在 PasswordSync 資料行中看到,因為一個同步處理規則的值是 True,輸入連接器空間會對密碼進行變更。 此密碼會透過輸出規則傳送至Microsoft Entra ID。
從 [
預覽
在 連接器空間物件屬性 視窗的左下角是 [預覽] 按鈕。 選取此按鈕以開啟 預覽 頁面,您可以在此同步單一物件。 如果您要針對某些自定義同步處理規則進行疑難解答,而且想要查看變更對單一物件的影響,此頁面會很有用。 您可以選取 完整同步處理 或 增量同步處理。您也可以選取 產生預覽,這只會保留記憶體中的變更。 或選取 [認可預覽],以更新 Metaverse 並階段性準備所有變更至目標連接器空間。
![[預覽] 頁面的螢幕快照,其中已選取 [開始預覽]](media/tshoot-connect-object-not-syncing/preview.png)
在預覽中,您可以檢查物件,並查看套用給特定屬性流程的規則。
日誌
在 [Preview] 按鈕旁,選取 [記錄] 按鈕,以開啟 [記錄] 頁面。 您可以在這裡看到密碼同步狀態和歷程記錄。 如需詳細資訊,請參閱 使用 Microsoft Entra Connect Sync 進行密碼哈希同步處理的疑難解答。
Metaverse 對象屬性
最好從來源 Active Directory 連接器空間開始搜尋。 但您也可以從 Metaverse 開始搜尋。
在MV中搜尋物件
在 [同步處理服務管理員] 中,選取 Metaverse 搜尋,如下圖所示。 請建立一個您確定能找到用戶的查詢。 搜尋常見的屬性,例如 accountName (sAMAccountName) 和 userPrincipalName。 如需詳細資訊,請參閱 Sync Service Manager Metaverse 搜尋。
![同步處理服務管理員 (Synchronization Service Manager) 的螢幕快照,其中已選取 [Metaverse 搜尋] 索引標籤](media/tshoot-connect-object-not-syncing/mvsearch.png)
在 [搜尋結果] 視窗中,選取 物件。
如果您找不到物件,則尚未到達元宇宙。 繼續搜尋 Active Directory 連接器空間中的 物件,。 如果您在 Active Directory 連接器空間中找到物件,可能會發生同步錯誤,導致對象無法進入 Metaverse。 或者,可能會套用同步處理規則範圍篩選條件。
MV 中找不到物件
如果對象位於 Active Directory CS 中,但不存在於MV中,則會套用範圍篩選條件。 若要檢視範圍篩選器,請移至桌面應用程式選單,然後選取 [同步處理規則編輯器] 。 藉由調整下列篩選條件來篩選適用於對象的規則。
![[同步處理規則編輯器] 的螢幕快照,其中顯示輸入同步處理規則搜尋](media/tshoot-connect-object-not-syncing/syncrulessearch.png)
檢視上述清單中的每個規則,並檢查 範圍篩選。 在下列範圍篩選條件中,如果 isCriticalSystemObject 值為 null 或 FALSE 或空白,則會位於範圍內。
到 CS 匯入 屬性清單,並檢查哪個篩選器會封鎖物件移動到MV。 連接器空間 屬性清單只會顯示非 Null 和非空白屬性。 例如,如果 isCriticalSystemObject 未顯示在清單中,則此屬性的值為 null 或空白。
在 Microsoft Entra CS 中找不到物件
如果物件不存在於 Microsoft Entra ID 的連接器空間中,但存在於MV中,請查看對應連接器空間輸出規則的範圍篩選條件。 判斷物件是否已篩選掉,因為 MV 屬性 不符合準則。
若要查看輸出範圍定義篩選條件,請調整以下篩選條件以選取對物件適用的規則。 檢視每個規則,並查看對應的 MV 屬性 值。
MV 屬性
在 [屬性] 索引標籤上,您可以看到這些值及哪些連接器提供了它們。
![Metaverse 物件屬性視窗的螢幕快照,其中已選取 [屬性] 索引標籤](media/tshoot-connect-object-not-syncing/mvobject.png)
如果物件未同步,請詢問以下有關元宇宙中屬性狀態的問題:
- cloudFiltered 屬性
是否存在,且設定為 true ? 如果是,則會根據 屬性型篩選中的步驟來篩選。 - sourceAnchor 屬性 存在嗎? 如果沒有,您是否有帳戶資源樹系拓撲? 如果對象識別為連結信箱(屬性 msExchRecipientTypeDetails 具有值 2),sourceAnchor 是由具有已啟用 Active Directory 帳戶的樹系所貢獻。 請確定主帳戶已匯入並正確同步。 主帳戶必須列在 物件的 連接器 中。
MV 連接器
[連接器] 標籤會顯示包含物件表示的所有連接器空間。
![Metaverse 物件屬性視窗的螢幕快照,其中已選取 [連接器] 索引標籤](media/tshoot-connect-object-not-syncing/mvconnectors.png)
您應該要有連接器:
- 使用者所代表的每個 Active Directory 樹系。 此表示法可以包含 foreignSecurityPrincipals 和 Contact 物件。
- Microsoft Entra ID 中的連接器。
如果您遺漏連接器到Microsoft Entra ID,請檢閱 MV 屬性 這一節,以確認布建至Microsoft Entra ID 的準則。
從 [連接器] 索引標籤,您也可以移至 連接器空間物件。 選取資料列,然後選擇 [屬性]。
後續步驟
- 深入瞭解 Microsoft Entra Connect Sync。
- 深入了解 混合身份識別。