Risoluzione dei problemi relativi a un oggetto che non esegue la sincronizzazione in Azure AD

Se un oggetto non esegue la sincronizzazione come previsto in Azure AD, le cause possono essere diverse. Se si riceve un'email di errore da Azure AD o viene visualizzato l'errore in Azure AD Connect Health, leggere l'articolo sulla risoluzione degli errori di esportazione. Tuttavia se si vuole risolvere un problema per cui l'oggetto non è in Azure AD, questo è l'argomento adatto. Viene descritto come individuare gli errori di sincronizzazione nella componente locale di Azure AD Connect.

Per individuare gli errori è necessario esaminare vari punti nell'ordine seguente:

  1. I registri delle operazioni per cercare gli errori rilevati dal motore di sincronizzazione durante l'importazione e la sincronizzazione.
  2. Lo spazio connettore per cercare gli oggetti mancanti e gli errori di sincronizzazione.
  3. Metaverse per individuare i problemi relativi ai dati.

Avviare Synchronization Service Manager prima di iniziare questa procedura.

Operazioni

La risoluzione dei problemi deve essere avviata dalla scheda Operazioni in Synchronization Service Manager. La scheda Operazioni mostra i risultati delle ultime operazioni.
Sync Service Manager

Nella metà superiore sono mostrate tutte le esecuzioni in ordine cronologico. Per impostazione predefinita, il log delle operazioni mantiene le informazioni relative agli ultimi sette giorni, ma è possibile modificare questa impostazione tramite l' utilità di pianificazione. Si vogliono cercare le esecuzioni che non hanno lo stato di operazione riuscita. È possibile modificare l'ordinamento facendo clic sulle intestazioni.

La colonna Status (Stato) visualizza le informazioni più importanti e segnala il problema più grave di un'esecuzione. Ecco un breve riepilogo degli stati disponibili, ordinati in base alla priorità con cui vanno analizzati (dove * indica diverse stringhe di errore possibili).

Status Commento
stopped-* Impossibile completare l'esecuzione. Ad esempio se il sistema remoto è inattivo e non può essere contattato.
stopped-error-limit Sono presenti più di 5.000 errori. L'esecuzione è stata arrestata automaticamente a causa dell'elevato numero di errori.
completato-*-errori L'esecuzione è stata completata, ma sono presenti errori (meno di 5.000) che devono essere analizzati.
completato-*-avvisi L'esecuzione è stata completata, ma alcuni dati non si trovano nello stato previsto. Se sono presenti errori, questo messaggio è in genere solo un sintomo. Evitare di analizzare gli avvisi fino a quando gli errori non sono stati risolti.
esito positivo Non sono presenti problemi.

Quando si seleziona una riga, la parte inferiore viene aggiornata per visualizzare i dettagli di quella esecuzione. All'estrema sinistra della parte inferiore è possibile avere un elenco con voci del tipo Step #(Passaggio [n.]). L'elenco è mostrato solo quando nella foresta sono presenti più domini e ogni dominio è rappresentato da un passaggio. Il nome di dominio è visibile sotto l'intestazione Partition(Partizione). In Synchronization Statistics(Statistiche di sincronizzazione) sono presenti altre informazioni sul numero delle modifiche elaborate. È possibile fare clic sui collegamenti per ottenere un elenco degli oggetti modificati. Se alcuni oggetti presentano errori, questi verranno visualizzati in Synchronization Errors(Errori di sincronizzazione).

Risolvere gli errori nella scheda Operazioni

Sync Service Manager
In caso di errori, sia l'oggetto con l'errore che l'errore stesso appaiono sotto forma di collegamenti per la visualizzazione di altre informazioni.

Per iniziare, fare clic su una stringa di errore. Nella figura si tratta di sync-rule-error-function-triggered. Verrà prima presentata una panoramica dell'oggetto. Per visualizzare l'errore effettivo, fare clic sul pulsante Stack Trace (Analisi dello stack). Questa analisi indica informazioni di debug relative all'errore.

È possibile fare clic con il pulsante destro del mouse nella casella delle call stack information (Informazioni sullo stack delle chiamate), scegliere Seleziona tutto e quindi Copia. Si può quindi copiare lo stack ed esaminare l'errore nell'editor preferito, ad esempio il Blocco note.

  • Se l'errore proviene da SyncRulesEngine, le informazioni sullo stack delle chiamate visualizzano prima di tutto un elenco di tutti gli attributi dell'oggetto. Scorrere verso il basso fino all'intestazione InnerException =>.
    Sync Service Manager
    L'errore è visualizzato nella riga successiva. Nell'immagine precedente l'errore proviene da una regola di sincronizzazione personalizzata creata da Fabrikam.

Se l'errore non fornisce informazioni sufficienti, è necessario esaminare i dati. È possibile fare clic sul collegamento con l'identificatore dell'oggetto e continuare la risoluzione dei problemi dell'oggetto importato spazio connettore.

Proprietà dell’oggetto spazio connettore

Se nella scheda Operazioni non sono stati rilevati errori, il passaggio successivo consiste nel seguire l'oggetto spazio connettore da Active Directory, in Metaverse e in Azure AD. In questo percorso, è necessario trovare il problema.

Ricerca di un oggetto in CS

In Synchronization Service Manager, fare clic su Connettori, selezionare il connettore di Active Directory e scegliere Search Connector Space (Ricerca spazio connettore).

In Ambito selezionare RDN (quando si desidera eseguire la ricerca dell'attributo CN) o DN o ancoraggio (quando si desidera eseguire la ricerca nell'attributo distinguishedName). Immettere un valore e fare clic su Cerca.
Ricerca spazio connettore

Se non si trova l'oggetto che si sta cercando, questo potrebbe essere stato filtrato con il filtro basato su dominio o con il filtro basato sull'unità organizzativa. Leggere l'argomento su come configurare il filtro per verificare che il filtro sia configurato come previsto.

Un'altra ricerca utile consiste nel selezionare il connettore Azure AD: nell'Ambito selezionare Importazione in sospeso e quindi la casella di controllo Aggiungi. Questa ricerca restituisce tutti gli oggetti sincronizzati in Azure AD che non possono essere associati a un oggetto locale.
Orfano ricerca spazio connettore
Tali oggetti sono stati creati da un altro motore di sincronizzazione o da un motore di sincronizzazione con una diversa configurazione filtro. Questa vista contiene un elenco di oggetti orfani non più gestiti. È opportuno esaminare questo elenco e considerare la possibilità di rimuovere questi oggetti tramite il cmdlet Azure AD PowerShell.

Importazione CS

Quando si apre un oggetto cs, nella parte superiore sono presenti diverse schede. La scheda Import (Importa) visualizza i dati di gestione temporanea dopo l'importazione.
Oggetto CS
La colonna Valore precedente mostra ciò che è attualmente memorizzato in Connect, mentre Nuovo valore ciò che è stato ricevuto dal sistema di origine e che non è stato ancora applicato. Se si verifica un errore sull'oggetto, le modifiche non vengono elaborate.

Errore
Oggetto CS
La scheda Errore di sincronizzazione è visibile solo se si è verificato un problema con l'oggetto. Per altre informazioni, vedere l'articolo su come risolvere gli errori di sincronizzazione.

Derivazione CS

La scheda Lineage (Derivazione) visualizza la correlazione fra l'oggetto spazio connettore e l'oggetto metaverse. È possibile vedere l'ultima volta in cui il connettore ha importato una modifica dal sistema connesso e quali regole sono state applicate per popolare i dati nel metaverse.
Derivazione CS
Nella colonna Action (Azione) è presente una regola di sincronizzazione Inbound (In ingresso) con l'azione Provision (Provisioning). Questo indica che l'oggetto metaverse rimarrà fino a quando sarà presente l'oggetto spazio connettore. Se nell'elenco delle regole di sincronizzazione è invece visualizzata una regola di sincronizzazione con direzione Outbound (In uscita) e l'azione Provision (Provisioning), questo oggetto viene eliminato alla rimozione dell'oggetto metaverse.
Sync Service Manager
Si noti anche che nella colonna PasswordSync (Sincronizzazione password) lo spazio connettore in ingresso può apportare modifiche alla password poiché una regola di sincronizzazione ha il valore True. Questa password viene poi inviata ad Azure AD attraverso la regola in uscita.

Dalla scheda Lineage (Derivazione) è possibile accedere al metaverse facendo clic su Metaverse Object Properties(Proprietà oggetto metaverse).

In fondo a tutte le schede sono disponibili due pulsanti: Preview (Anteprima) e Log (Log).

Preview

La pagina Preview (Anteprima) viene usata per sincronizzare un solo oggetto. È utile mentre si risolvono problemi relativi alle regole di sincronizzazione personalizzate e si vuole vedere l'effetto di una modifica su un singolo oggetto. È possibile scegliere tra Sincronizzazione completa e Sincronizzazione delta. È anche possibile scegliere tra Genera anteprima, per mantenere semplicemente la modifica in memoria, ed Esegui commit anteprima, per inserire tutte le modifiche negli spazi connettore di destinazione.
Sync Service Manager
Si può esaminare l'oggetto e individuare la regola applicata per un particolare flusso di attributi.
Sync Service Manager

Log

La pagina Log consente di visualizzare lo stato e la cronologia di sincronizzazione della password. Per altre informazioni, vedere Risolvere i problemi di sincronizzazione delle password.

Proprietà dell'oggetto Metaverse

In genere è preferibile iniziare la ricerca dallo spazio connettore di origine di Active Directory. Ma è anche possibile avviare la ricerca da metaverse.

Ricerca di un oggetto in MV

In Synchronization Service Manager, fare clic su Metaverse Search (Cerca Metaverse). Creare una query che rileva l'utente. È possibile cercare gli attributi comuni, ad esempio accountName (sAMAccountName) e userPrincipalName. Per altre informazioni, vedere Cerca Metaverse. Sync Service Manager

Nella finestra Risultati della ricerca, fare clic sull'oggetto.

Se l'oggetto non è stato trovato, non ha ancora raggiunto metaverse. Continuare la ricerca dell'oggetto nello spazio connettore di Active Directory. Potrebbe essersi verificato un errore di sincronizzazione che non consente all'oggetto di raggiungere metaverse oppure potrebbe essere stato applicato un filtro.

Attributi MV

Nella scheda Attributes (Attributi) è possibile visualizzare i valori e il connettore che li ha indicati.
Sync Service Manager

Se un oggetto non viene sincronizzato, esaminare i seguenti attributi in metaverse:

  • L'attributo cloudFiltered è presente e impostato su vero? In questo caso, è stato filtrato in base ai passaggi in attribute based filtering (Filtri basati sugli attributi).
  • L'attributo sourceAnchor è presente? Se non lo è, si dispone di una topologia di foresta account-risorse? Se un oggetto viene identificato come cassetta postale collegata (l'attributo msExchRecipientTypeDetails ha il valore 2), l'attributo sourceAnchor viene fornito dalla foresta con un account di Active Directory abilitato. Assicurarsi che l'account principale sia stato importato e sincronizzato correttamente. L'account principale deve essere elencato tra i connettori dell'oggetto.

Connettori MV

La scheda Connectors (Connettori) visualizza tutti gli spazi connettore che hanno una rappresentazione dell'oggetto.
Sync Service Manager
È necessario disporre di un connettore per:

  • Ogni foresta di Active Directory in cui l'utente viene rappresentato. Questa rappresentazione può includere foreignSecurityPrincipals e gli oggetti Contatto.
  • Un connettore in Azure AD.

Se manca il connettore in Azure AD, leggere Attributi MV per verificare i criteri per il provisioning in Azure AD.

Questa scheda consente anche di passare all'oggetto spazio connettore. Selezionare una riga e fare clic su Proprietà.

Passaggi successivi

Ulteriori informazioni sulla configurazione della sincronizzazione di Azure AD Connect.

Ulteriori informazioni su Integrazione delle identità locali con Azure Active Directory.