Risolvere i problemi relativi a un oggetto che non esegue la sincronizzazione con Microsoft Entra ID

  • Articolo

Se un oggetto non viene sincronizzato come previsto con Microsoft Entra ID, può essere dovuto a diversi motivi. Se è stato ricevuto un messaggio di posta elettronica di errore da Microsoft Entra ID o viene visualizzato l'errore in Microsoft Entra Connessione Health, vedere Risoluzione degli errori durante la sincronizzazione. Tuttavia, se si sta risolvendo un problema a causa del quale l'oggetto non si trova nell'ID Entra di Microsoft, questo articolo è adatto alle informazioni. Descrive come trovare gli errori nel componente locale Microsoft Entra Connessione sincronizzazione.

Importante

Per la distribuzione di Microsoft Entra Connessione con la versione 1.1.749.0 o successiva, usare l'attività di risoluzione dei problemi nella procedura guidata per risolvere i problemi di sincronizzazione degli oggetti.

Processo sincronizzazione

Prima di analizzare i problemi di sincronizzazione, è possibile comprendere il processo di sincronizzazione di Microsoft Entra Connessione:

Diagram of Microsoft Entra Connect Sync process

Terminologia

  • CS: spazio Connessione or, una tabella in un database
  • MV: Metaverse, una tabella in un database

Passaggi di sincronizzazione

Il processo di sincronizzazione prevede i passaggi seguenti:

  1. Importazione da ACTIVE Directory: gli oggetti di Active Directory vengono inseriti in Active Directory CS.

  2. Importazione da Microsoft Entra ID: gli oggetti Microsoft Entra vengono inseriti in Microsoft Entra CS.

  3. Sincronizzazione: le regole di sincronizzazione in ingresso e le regole di sincronizzazione in uscita vengono eseguite nell'ordine di precedenza, da inferiore a superiore. Per visualizzare le regole di sincronizzazione, è possibile passare all'editor delle regole di sincronizzazione da un'applicazione desktop. Le regole di sincronizzazione in ingresso importano i dati dallo spazio connettore al metaverse, mentre le regole di sincronizzazione in uscita spostano i dati dal metaverse allo spazio connettore.

  4. Esportazione in ACTIVE Directory: dopo la sincronizzazione, gli oggetti vengono esportati da Active Directory CS ad Active Directory.

  5. Esporta in Microsoft Entra ID: dopo la sincronizzazione, gli oggetti vengono esportati da Microsoft Entra CS all'ID Microsoft Entra.

Risoluzione dei problemi

Per trovare gli errori, controllare in diverse aree, nell'ordine seguente:

  1. I log delle operazioni per cercare gli errori rilevati dal motore di sincronizzazione durante l'importazione e la sincronizzazione.
  2. Lo spazio connettore per cercare gli oggetti mancanti e gli errori di sincronizzazione.
  3. Il metaverse per trovare i problemi relativi ai dati.

Avviare Synchronization Service Manager prima di iniziare questa procedura.

Gestione operativa

La risoluzione dei problemi deve essere avviata dalla scheda Operations (Operazioni) di Synchronization Service Manager, in cui vengono visualizzati i risultati delle ultime operazioni.

Screenshot of Synchronization Service Manager, showing Operations tab selected

Nella metà superiore della scheda Operations (Operazioni) sono elencate tutte le esecuzioni in ordine cronologico. Per impostazione predefinita, il log delle operazioni mantiene le informazioni relative agli ultimi sette giorni, ma è possibile modificare questa impostazione tramite l' utilità di pianificazione. Cercare eventuali esecuzioni il cui stato è diverso da success (esito positivo). È possibile modificare l'ordinamento facendo clic sulle intestazioni.

La colonna Status (Stato) contiene le informazioni più importanti e segnala il problema più grave di un'esecuzione. Di seguito è riportato un breve riepilogo degli stati più comuni, ordinati in base alla priorità con cui devono essere analizzati (dove * indica varie possibili stringhe di errore).

Stato Comment
stopped-* Impossibile completare l'esecuzione. Questa condizione si verifica, ad esempio, se il sistema remoto è inattivo e non può essere contattato.
stopped-error-limit Sono presenti più di 5.000 errori. L'esecuzione è stata arrestata automaticamente a causa dell'elevato numero di errori.
completed-*-errors L'esecuzione è stata completata, ma sono presenti errori (meno di 5.000) che devono essere analizzati.
completed-*-warnings L'esecuzione è stata completata, ma alcuni dati non si trovano nello stato previsto. Se sono presenti errori, questo messaggio è in genere solo un sintomo. Evitare di analizzare gli avvisi fino a quando non sono stati risolti tutti gli errori.
esito positivo Non sono presenti problemi.

Quando si seleziona una riga, la parte inferiore della scheda Operations (Operazioni) viene aggiornata in base ai dettagli dell'esecuzione corrispondente. All'estrema sinistra di questa area è possibile che sia presente un elenco con voci di tipo Step # (Passaggio n.). L'elenco viene visualizzato solo se nella foresta sono presenti più domini e ogni dominio è rappresentato da un passaggio. Il nome di dominio è visibile sotto l'intestazione Partition(Partizione). Sotto l'intestazione Synchronization Statistics (Statistiche di sincronizzazione) sono presenti altre informazioni sul numero delle modifiche elaborate. Selezionare i collegamenti per ottenere un elenco degli oggetti modificati. Se alcuni oggetti presentano errori, questi verranno visualizzati sotto l'intestazione Synchronization Errors (Errori di sincronizzazione).

Errori nella scheda Operations (Operazioni)

In caso di errori, Synchronization Service Manager mostra sia l'oggetto con l'errore sia l'errore stesso sotto forma di collegamenti per la visualizzazione di altre informazioni.

Screenshot of errors in Synchronization Service Manager
Per iniziare, selezionare la stringa di errore. Nella figura precedente la stringa di errore è sync-rule-error-function-triggered. Viene prima visualizzata una panoramica dell'oggetto. Per visualizzare l'errore effettivo, selezionare Stack Trace (Analisi dello stack). Questa analisi fornisce informazioni di debug relative all'errore.

Fare clic con il pulsante destro del mouse nella casella Call Stack Information (Informazioni sullo stack delle chiamate), fare clic su Select All (Seleziona tutto) e quindi selezionare Copy (Copia). Copiare quindi lo stack ed esaminare l'errore nell'editor preferito, ad esempio nel Blocco note.

Se l'errore proviene da SyncRulesEngine, le informazioni sullo stack delle chiamate includono come primo elemento un elenco di tutti gli attributi dell'oggetto. Scorrere verso il basso fino a visualizzare l'intestazione InnerException =>.

Screenshot of the Synchronization Service Manager, showing error information under the heading InnerException =>

L'errore viene visualizzato nella riga successiva. Nella figura precedente, l'errore proviene da una regola di sincronizzazione personalizzata creata da Fabrikam.

Se l'errore non fornisce informazioni sufficienti, è necessario esaminare i dati. Selezionare il collegamento con l'identificatore dell'oggetto e continuare la risoluzione del problema relativo all'oggetto importato nello spazio connettore.

Proprietà dell’oggetto spazio connettore

Se la scheda Operazioni non mostra errori, seguire l'oggetto spazio connettore da Active Directory al metaverse in Microsoft Entra ID. In questo percorso, è necessario trovare il problema.

Ricerca di un oggetto nello spazio connettore

In Synchronization Service Manager selezionare Connectors (Connettori), il connettore di Active Directory e Search Connector Space (Ricerca spazio connettore).

Nella casella Scope (Ambito) selezionare RDN se si vuole eseguire la ricerca in base all'attributo CN o DN or anchor (DN o ancoraggio) se si vuole eseguire la ricerca in base all'attributo distinguishedName. Immettere un valore e selezionare Search (Cerca).

Screenshot of a connector space search

Se non si trova l'oggetto che si sta cercando, è possibile che sia stato filtrato con il filtro basato sul dominio o con il filtro basato sull'unità organizzativa. Per verificare che il filtro sia configurato come previsto, leggere Microsoft Entra Connessione Sync: Configure filtering (Sincronizzazione di Microsoft Entra Connessione: Configurare il filtro).

È possibile eseguire un'altra ricerca utile selezionando Microsoft Entra Connessione or. Nella casella Scope (Ambito) selezionare Pending Import (Importazione in sospeso) e quindi la casella di controllo Add (Aggiungi). Questa ricerca fornisce tutti gli oggetti sincronizzati in Microsoft Entra ID che non possono essere associati a un oggetto locale.

Screenshot of orphans in a connector space search

Questi oggetti sono stati creati da un altro motore di sincronizzazione o da un motore di sincronizzazione con una diversa configurazione dei filtri. Questi oggetti orfani non vengono più gestiti. Esaminare questo elenco e prendere in considerazione la rimozione di questi oggetti usando i cmdlet di PowerShell di Microsoft Graph.

Importazione nello spazio connettore

Quando si apre un oggetto nello spazio connettore, nella parte superiore vengono visualizzate varie schede. La scheda Import (Importa) visualizza i dati di gestione temporanea dopo l'importazione.

Screenshot of the Connector Space Object Properties window, with the Import tab selected

La colonna Old Value (Valore precedente) elenca gli elementi attualmente memorizzati in Connect, mentre la colonna New Value (Nuovo valore) mostra gli elementi ricevuti dal sistema di origine e non ancora applicati. Se si verifica un errore nell'oggetto, le modifiche non vengono elaborate.

La scheda Synchronization Error (Errore di sincronizzazione) viene visualizzata nella finestra Connector Space Object Properties (Proprietà dell'oggetto spazio connettore) solo se si è verificato un problema con l'oggetto. Per altre informazioni, rivedere come risolvere errori di sincronizzazione nella scheda Operations (Operazioni).

Screenshot of the Synchronization Error tab in the Connector Space Object Properties window

Derivazione dello spazio connettore

La scheda Lineage (Derivazione) disponibile nella finestra Connector Space Object Properties (Proprietà dell'oggetto spazio connettore) visualizza la correlazione fra l'oggetto nello spazio connettore e l'oggetto nel metaverse. È possibile vedere l'ultima volta in cui il connettore ha importato una modifica dal sistema connesso e quali regole sono state applicate per popolare i dati nel metaverse.

Screenshot showing the Lineage tab in the Connector Space Object Properties window

Nella figura precedente, la colonna Action (Azione) mostra una regola di sincronizzazione in ingresso con l'azione Provision (Provisioning). Questo indica che l'oggetto metaverse rimarrà fino a quando sarà presente l'oggetto spazio connettore. Se invece nell'elenco delle regole di sincronizzazione è presente una regola di sincronizzazione in uscita con l'azione Provision (Provisioning), l'oggetto viene eliminato quando viene rimosso l'oggetto nel metaverse.

Screenshot of a lineage window on the Lineage tab in the Connector Space Object Properties window

Nella figura precedente, nella colonna PasswordSync (Sincronizzazione password) lo spazio connettore in ingresso può modificare la password, poiché una regola di sincronizzazione presenta il valore True. Questa password viene inviata all'ID Microsoft Entra tramite la regola in uscita.

Dalla scheda Lineage (Derivazione) è possibile accedere al metaverse selezionando Metaverse Object Properties (Proprietà dell'oggetto metaverse).

Anteprima

Nell'angolo inferiore sinistro della finestra Connector Space Object Properties (Proprietà dell'oggetto spazio connettore) è disponibile il pulsante Preview (Anteprima). Selezionare questo pulsante per aprire la pagina Preview (Anteprima), in cui è possibile sincronizzare un singolo oggetto. Questa pagina è utile mentre si risolvono problemi relativi alle regole di sincronizzazione personalizzate e si vuole vedere l'effetto di una modifica su un singolo oggetto. È possibile selezionare una sincronizzazione completa o una sincronizzazione Delta. È anche possibile selezionare Genera anteprima, che mantiene solo la modifica in memoria. o Commit Preview (Esegui commit anteprima), che aggiorna il metaverse e inserisce tutte le modifiche negli spazi connettore di destinazione.

Screenshot of the Preview page, with Start Preview selected

Nell'anteprima è possibile esaminare l'oggetto e individuare la regola applicata per un particolare flusso di attributi.

Screenshot of the Preview page, showing Import Attribute Flow

Log

Accanto al pulsante Preview (Anteprima) selezionare il pulsante Log per aprire la pagina Log, in cui sono riportati lo stato e la cronologia di sincronizzazione della password. Per altre informazioni, vedere Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync.

Proprietà dell'oggetto Metaverse

È in genere preferibile avviare la ricerca dallo spazio connettore di origine di Active Directory, Ma è anche possibile avviare la ricerca da metaverse.

Ricerca di un oggetto nel metaverse

In Synchronization Service Manager selezionare Metaverse Search (Ricerca metaverse), come illustrato nella figura seguente. Creare una query che rilevi l'utente. È possibile cercare gli attributi comuni, ad esempio accountName (sAMAccountName) e userPrincipalName. Per altre informazioni, vedere Ricerca metaverse di Synchronization Service Managerr.

Screenshot of Synchronization Service Manager, with the Metaverse Search tab selected

Nella finestra Risultati della ricerca, fare clic sull'oggetto.

Se l'oggetto non è stato trovato, significa che non ha ancora raggiunto il metaverse. Continuare la ricerca dell'oggetto nello spazio connettore di Active Directory. Se l'oggetto viene trovato nello spazio connettore di Active Directory, potrebbe essersi verificato un errore di sincronizzazione che sta bloccando il passaggio dell'oggetto nel metaverse oppure potrebbe essere applicato un filtro di ambito per la regola di sincronizzazione.

Oggetto non trovato nel metaverse

Se l'oggetto è presente nello spazio connettore di Active Directory ma non è presente nel metaverse, è stato applicato un filtro di ambito. Per esaminare il filtro di ambito, passare al menu delle applicazioni desktop e selezionare Synchronization Rules Editor (Editor delle regole di sincronizzazione). Filtrare le regole applicabili all'oggetto modificando il filtro seguente.

Screenshot of Synchronization Rules Editor, showing an inbound synchronization rules search

Visualizzare ogni regola nell'elenco precedente e verificare Scoping filter (Filtro di ambito). Nel filtro di ambito seguente, se il valore isCriticalSystemObject è null o FALSE oppure è vuoto, significa che si trova nell'ambito.

Screenshot of a scoping filter in an inbound synchronization rule search

Andare all'elenco di attributi di CS Import (Importazione CS) e controllare quale filtro sta bloccando il passaggio dell'oggetto nel metaverse. L'elenco di attributi di Connector Space (Spazio connettore) mostrerà solo gli attributi non null e non vuoti. Se ad esempio isCriticalSystemObject non è visibile nell'elenco, significa che il valore di questo attributo è null o vuoto.

Oggetto non trovato in Microsoft Entra CS

Se l'oggetto non è presente nello spazio connettore di Microsoft Entra ID ma è presente nella MV, esaminare il filtro di ambito delle regole in uscita dello spazio connettore corrispondente e verificare se l'oggetto viene filtrato perché gli attributi MV non soddisfano i criteri.

Per esaminare il filtro di ambito in uscita, selezionare le regole applicabili per l'oggetto modificando il filtro riportato di seguito. Visualizzare ogni regola ed esaminare il valore dell'attributo del metaverse corrispondente.

Screenshot of an outbound synchronization rules search in Synchronization Rules Editor

Attributi MV

Nella scheda Attributes (Attributi) è possibile visualizzare i valori e il connettore che li ha indicati.

Screenshot of the Metaverse Object Properties window, with the Attributes tab selected

Se un oggetto non viene sincronizzato, formulare le domande seguenti in merito agli stati degli attributi nel metaverse:

  • L'attributo cloudFiltered è presente e impostato su True? In questo caso, è stato filtrato in base ai passaggi descritti in Filtro basato su attributo.
  • L'attributo sourceAnchor è presente? Se non lo è, si dispone di una topologia di foresta account-risorse? Se un oggetto viene identificato come cassetta postale collegata (l'attributo msExchRecipientTypeDetails ha il valore 2), l'attributo sourceAnchor viene fornito dalla foresta con un account di Active Directory abilitato. Assicurarsi che l'account principale sia stato importato e sincronizzato correttamente. L'account principale deve essere elencato tra i connettori dell'oggetto.

Connettori del metaverse

La scheda Connectors (Connettori) visualizza tutti gli spazi connettore che hanno una rappresentazione dell'oggetto.

Screenshot of the Metaverse Object Properties window, with the Connectors tab selected

È necessario disporre di un connettore per:

  • Ogni foresta di Active Directory in cui l'utente viene rappresentato. Questa rappresentazione può includere oggetti foreignSecurityPrincipals e Contact.
  • Connettore in Microsoft Entra ID.

Se manca il connettore per Microsoft Entra ID, esaminare la sezione relativa agli attributi MV per verificare i criteri per il provisioning in Microsoft Entra ID.

Dalla scheda Connectors (Connettori) è possibile anche passare all'oggetto nello spazio connettore. Selezionare una riga e fare clic su Proprietà.

Passaggi successivi