Delen via

End-to-end-probleemoplossing van Microsoft Entra Connect-objecten en -kenmerken

  • Artikel

Dit artikel is bedoeld om een algemene procedure vast te stellen voor het oplossen van synchronisatieproblemen in Microsoft Entra ID. Deze methode is van toepassing op situaties waarin een object of kenmerk niet wordt gesynchroniseerd met Azure Active AD en geen fouten worden weergegeven in de synchronisatie-engine, in de logboeken van de toepassingsviewer of in de Microsoft Entra logboeken. Het is gemakkelijk om de details te verliezen als er geen duidelijke fout is. Met behulp van best practices kunt u het probleem echter isoleren en inzichten bieden aan Microsoft Ondersteuning engineers.

Wanneer u deze probleemoplossingsmethode toepast op uw omgeving, kunt u na verloop van tijd de volgende stappen uitvoeren:

  • Problemen met de logica van de synchronisatie-engine van end-to-end oplossen.
  • Synchronisatieproblemen efficiënter oplossen.
  • Identificeer problemen sneller door de stap te voorspellen waarin ze zullen optreden.
  • Bepaal het beginpunt voor het controleren van gegevens.
  • Bepaal de optimale resolutie.

Schermopname van het stroomdiagram Microsoft Entra Connect.

De stappen die hier worden gegeven, beginnen op het lokale Active Directory-niveau en gaan verder met Microsoft Entra ID. Deze stappen zijn de meest voorkomende synchronisatierichting. Dezelfde principes zijn echter van toepassing op de omgekeerde richting (bijvoorbeeld voor kenmerk terugschrijven).

Vereisten

Lees eerst de volgende vereiste artikelen voor een beter begrip van het zoeken naar een object in verschillende bronnen (AD, AD CS, MV, enzovoort) en om te begrijpen hoe u de connectors en herkomst van een object kunt controleren.

Slechte procedures voor probleemoplossing

De vlag DirSyncEnabled in Microsoft Entra ID bepaalt of de tenant is voorbereid om synchronisatie van objecten van on-premises AD te accepteren. We hebben gezien dat veel klanten de gewoonte hebben om DirSync op de tenant uit te schakelen tijdens het oplossen van problemen met object- of kenmerksynchronisatie. U kunt adreslijstsynchronisatie eenvoudig uitschakelen door de volgende PowerShell-cmdlet uit te voeren:

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

Opmerking

Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

Dit kan echter catastrofaal zijn omdat het een complexe en langdurige back-endbewerking activeert om SoA over te dragen van lokale Active Directory naar Microsoft Entra ID/Exchange Online voor alle gesynchroniseerde objecten in de tenant. Deze bewerking is nodig om elk object van DirSyncEnabled te converteren naar alleen de cloud en alle schaduweigenschappen op te schonen die vanuit on-premises AD worden gesynchroniseerd (bijvoorbeeld ShadowUserPrincipalName en ShadowProxyAddresses). Afhankelijk van de grootte van de tenant kan deze bewerking meer dan 72 uur duren. Het is ook niet mogelijk om te voorspellen wanneer de bewerking wordt voltooid. Gebruik deze methode nooit om een synchronisatieprobleem op te lossen, omdat dit extra schade veroorzaakt en het probleem niet oplost. U wordt geblokkeerd om DirSync opnieuw in te schakelen totdat deze bewerking is voltooid. Nadat u DirSync opnieuw hebt ingeschakeld, moet AADC ook weer overeenkomen met alle on-premises objecten met bestaande Microsoft Entra objecten. Dit proces kan verstorend zijn.

De enige scenario's waarin deze opdracht wordt ondersteund om DirSync uit te schakelen, zijn als volgt:

  • U gaat uw on-premises synchronisatieserver buiten gebruik stellen en u wilt uw identiteiten volledig blijven beheren vanuit de cloud in plaats van vanuit hybride identiteiten.
  • U hebt een aantal gesynchroniseerde objecten in de tenant die u wilt behouden als alleen cloud in Microsoft Entra ID en permanent wilt verwijderen uit on-premises AD.
  • U gebruikt momenteel een aangepast kenmerk als het SourceAnchor in AADC (bijvoorbeeld employeeId) en u installeert AADC opnieuw om ms-Ds-Consistency-Guid/ObjectGuid te gaan gebruiken als het nieuwe SourceAnchor-kenmerk (of omgekeerd).
  • U hebt enkele scenario's met riskante strategieën voor postvak- en tenantmigratie.

In sommige situaties moet u mogelijk de synchronisatie tijdelijk stoppen of handmatig AADC-synchronisatiecycli beheren. U moet bijvoorbeeld de synchronisatie stoppen om stap voor stap synchronisatie uit te voeren. In plaats van DirSync uit te schakelen, kunt u echter alleen de synchronisatieplanner stoppen door de volgende cmdlet uit te voeren:

Set-ADSyncScheduler -SyncCycleEnabled $false

En als u klaar bent, start u handmatig een synchronisatiecyclus door de volgende cmdlet uit te voeren:

Start-ADSyncSyncCycle

Woordenlijst

Acroniem/afkorting Naam/beschrijving
AADC Microsoft Entra Connect
AADCA Microsoft Entra Connector-account
AADCS Microsoft Entra connectorruimte
AADCS:KenmerkA Kenmerk 'A' in Microsoft Entra connectorruimte
Acls Access Control Lijsten (ook wel bekend als ADDS-machtigingen)
ADCA AD Connector-account
ADCS Active Directory-connectorruimte
ADCS:KenmerkA Kenmerk 'A' in active directory-connectorruimte
ADDS of AD Active Directory Domain Services
CS Connectorruimte
MV Metaverse
MSOL-account Automatisch gegenereerd AD Connector-account (MSOL_########)
MV:KenmerkA Kenmerk 'A' in het Metaverse-object
Soa Bron van autoriteit

Stap 1: Synchronisatie tussen ADDS en ADCS

Doelstelling voor stap 1

Bepaal of het object of kenmerk aanwezig en consistent is in ADCS. Als u het object in ADCS kunt vinden en alle kenmerken de verwachte waarden hebben, gaat u naar Stap 2.

Schermopname van de AD-connectorruimte AD-replicatie.

Beschrijving voor stap 1

Synchronisatie tussen ADDS en ADCS vindt plaats tijdens de importstap en is het moment waarop AADC leest uit de bronmap en gegevens opslaat in de database. Dat wil gezegd, wanneer gegevens worden gefaseerd in de connectorruimte. Tijdens een deltaimport vanuit AD vraagt AADC alle nieuwe wijzigingen op die zijn opgetreden na een bepaald mapwatermerk. Deze aanroep wordt gestart door AADC met behulp van het Directory Services DirSync-besturingselement voor de Active Directory Replication-service. Deze stap biedt het laatste watermerk als de laatste geslaagde AD-import en geeft AD de verwijzing naar het tijdstip waarop alle (delta)wijzigingen moeten worden opgehaald. Een volledige import is anders omdat AADC alle gegevens (in synchronisatiebereik) uit AD importeert en vervolgens als verouderd markeert (en verwijdert) alle objecten die zich nog in ADCS bevinden, maar niet uit AD zijn geïmporteerd. Alle gegevens tussen AD en AADC worden overgedragen via LDAP en worden standaard versleuteld.

Schermopname van het dialoogvenster A D C-verbindingsopties.

Als de verbinding met AD tot stand is gebracht, maar het object of kenmerk niet aanwezig is in ADCS (ervan uitgaande dat het domein of object binnen het synchronisatiebereik is), heeft het probleem waarschijnlijk te maken met ADDS-machtigingen. De ADCA vereist een minimale leesmachtiging voor het object in AD om gegevens te importeren in ADCS. Het MSOL-account heeft standaard expliciete lees-/schrijfmachtigingen voor alle eigenschappen van gebruikers, groepen en computers. Deze situatie kan echter nog steeds problematisch zijn als aan de volgende voorwaarden wordt voldaan:

  • AADC maakt gebruik van een aangepaste ADCA, maar er zijn niet voldoende machtigingen opgegeven in AD.
  • Een bovenliggende organisatie-eenheid heeft overname geblokkeerd, waardoor de doorgifte van machtigingen vanuit de hoofdmap van het domein wordt voorkomen.
  • Het object of kenmerk zelf heeft overname geblokkeerd, waardoor doorgifte van machtigingen wordt voorkomen.
  • Het object of kenmerk heeft een expliciete machtiging Voor weigeren, waardoor ADCA het niet kan lezen.

Problemen met Active Directory oplossen

Connectiviteit met AD

In de synchronisatie-Service Manager de stap 'Importeren uit AD' laat zien met welke domeincontroller contact wordt opgenomen onder Verbindingsstatus. U ziet hier waarschijnlijk een fout wanneer er een connectiviteitsprobleem is dat van invloed is op AD.

Schermopname van het gebied Verbindingsstatus in de stap Importeren uit AD.

Als u verdere problemen met de connectiviteit voor AD moet oplossen, met name als er geen fouten zijn opgetreden in Microsoft Entra Connect-server of als u nog bezig bent met het installeren van het product, begint u met het gebruik van de ADConnectivityTool.

Verbindingsproblemen met ADDS hebben de volgende oorzaken:

  • Ongeldige AD-referenties. De ADCA is bijvoorbeeld verlopen of het wachtwoord is gewijzigd.
  • Een fout 'mislukt zoeken', die optreedt wanneer DirSync Control niet communiceert met de AD Replication-service, meestal vanwege pakketfragmentatie met een hoog netwerk.
  • Een 'no-start-ma'-fout, die optreedt wanneer er problemen zijn met naamomzetting (DNS) in AD.
  • Andere problemen die kunnen worden veroorzaakt door problemen met naamomzetting, netwerkrouteringsproblemen, geblokkeerde netwerkpoorten, hoge fragmentatie van netwerkpakketten, geen beschrijfbare DC's beschikbaar, enzovoort. In dergelijke gevallen moet u waarschijnlijk de Directory Services- of netwerkondersteuningsteams betrekken om te helpen bij het oplossen van problemen.

Overzicht van probleemoplossing

  • Bepaal welke domeincontroller wordt gebruikt.
  • Gebruik voorkeursdomeincontrollers voor dezelfde domeincontroller.
  • Identificeer de ADCA correct.
  • Gebruik de ADConnectivityTool om het probleem te identificeren.
  • Gebruik het hulpprogramma LDP om te proberen verbinding te maken met de domeincontroller met de ADCA.
  • Neem contact op met Directory Services of een netwerkondersteuningsteam om u te helpen bij het oplossen van problemen.

De probleemoplosser voor synchronisatie uitvoeren

Nadat u problemen met AD-connectiviteit hebt opgelost, voert u het hulpprogramma Problemen met objectsynchronisatie oplossen uit, omdat alleen hiermee de meest voor de hand liggende redenen kunnen worden gedetecteerd voor het niet synchroniseren van een object of kenmerk.

Schermopname van het scherm Microsoft Entra Verbinding maken met probleemoplossing.

AD-machtigingen

Een gebrek aan AD-machtigingen kan van invloed zijn op beide richtingen van de synchronisatie:

  • Wanneer u vanuit ADDS naar ADCS importeert, kan een gebrek aan machtigingen ertoe leiden dat AADC objecten of kenmerken overslaat, zodat AADC geen ADDS-updates kan ophalen in de importstream. Deze fout treedt op omdat de ADCA onvoldoende machtigingen heeft om het object te lezen.
  • Wanneer u exporteert van ADCS naar ADDS, genereert een gebrek aan machtigingen een exportfout met een machtigingsprobleem.

Als u de machtigingen wilt controleren, opent u het venster Eigenschappen van een AD-object, selecteert u Beveiliging>geavanceerd en controleert u vervolgens de ACL's van het object toestaan/weigeren door de knop Overname uitschakelen te selecteren (als overname is ingeschakeld). U kunt de kolominhoud sorteren op Type om alle machtigingen voor weigeren te vinden. AD-machtigingen kunnen sterk variëren. Standaard ziet u mogelijk slechts één 'ACL weigeren' voor 'Vertrouwd Exchange-subsysteem'. De meeste machtigingen worden gemarkeerd als Toestaan.

De volgende standaardmachtigingen zijn het meest relevant:

  • Geverifieerde gebruikers

    Schermopname van geverifieerde gebruikers.

  • Iedereen

    Schermopname van de optie Toestaan is ingesteld op Iedereen.

  • Aangepast ADCA- of MSOL-account

    Schermopname van het aangepaste ADCA- of MSOL-account.

  • Pre-Windows 2000 Compatibele toegang

    Schermopname van de pre-Windows 2000-compatibele toegang.

  • Zelf

    Schermopname van de SELF-machtiging is toegestaan.

De beste manier om problemen met machtigingen op te lossen, is door de functie 'Effectieve toegang' te gebruiken in de AD-console gebruikers en computers . Deze functie controleert de effectieve machtigingen voor een bepaald account (de ADCA) voor het doelobject of kenmerk dat u wilt oplossen.

Schermopname van informatie onder het tabblad Effectieve toegang in het venster Geavanceerde beveiligingsinstellingen.

Belangrijk

Het oplossen van problemen met AD-machtigingen kan lastig zijn omdat een wijziging in ACL's niet onmiddellijk van kracht wordt. Houd er altijd rekening mee dat dergelijke wijzigingen onderhevig zijn aan AD-replicatie.

Bijvoorbeeld:

  • Zorg ervoor dat u de benodigde wijzigingen rechtstreeks aanbrengt op de dichtstbijzijnde domeincontroller (zie de sectie 'Connectiviteit met AD'):
  • Wacht tot ADDS-replicaties plaatsvinden.
  • Start indien mogelijk de ADSync-service opnieuw om de cache te wissen.

Overzicht van probleemoplossing

  • Bepaal welke domeincontroller wordt gebruikt.
  • Gebruik voorkeursdomeincontrollers voor dezelfde domeincontroller.
  • Identificeer de ADCA correct.
  • Gebruik het hulpprogramma Ad DS Connector-accountmachtigingen configureren .
  • Gebruik de functie 'Effectieve toegang' in AD-gebruikers en -computers.
  • Gebruik het hulpprogramma LDP om verbinding te maken met de domeincontroller met de ADCA en probeer het mislukte object of kenmerk te lezen.
  • Voeg de ADCA tijdelijk toe aan de ondernemingsbeheerders of domeinbeheerders en start de ADSync-service opnieuw.

Belangrijk: Gebruik dit niet als oplossing.

  • Nadat u het machtigingsprobleem hebt gecontroleerd, verwijdert u de ADCA uit groepen met hoge bevoegdheden en verstrekt u de vereiste AD-machtigingen rechtstreeks aan de ADCA.
  • Engage Directory Services of een netwerkondersteuningsteam om u te helpen de situatie op te lossen.

AD-replicaties

Dit probleem is minder waarschijnlijk van invloed op Microsoft Entra Connect, omdat het grotere problemen veroorzaakt. Wanneer Microsoft Entra Connect echter gegevens importeert van een domeincontroller met behulp van vertraagde replicatie, worden de meest recente gegevens uit AD niet geïmporteerd, wat synchronisatieproblemen veroorzaakt waarbij een object of kenmerk dat onlangs is gemaakt of gewijzigd in AD niet wordt gesynchroniseerd met Microsoft Entra ID omdat deze niet is gerepliceerd naar de domeincontroller die Microsoft Entra Connect neemt contact op. Als u wilt controleren of dit het probleem is, controleert u de domeincontroller die AADC gebruikt voor het importeren (zie Connectiviteit met AD) en gebruikt u de AD-console gebruikers en computers om rechtstreeks verbinding te maken met deze server (zie Domeincontroller wijzigen in de volgende afbeelding). Controleer vervolgens of de gegevens op deze server overeenkomen met de meest recente gegevens en of deze consistent zijn met de respectieve ADCS-gegevens. In deze fase genereert AADC een grotere belasting van de domeincontroller en netwerklaag.

Schermopname van de optie Domeincontroller wijzigen van Active Directory.

Een andere benadering is om het hulpprogramma RepAdmin te gebruiken om de replicatiemetagegevens van het object op alle domeincontrollers te controleren, de waarde van alle domeincontrollers op te halen en de replicatiestatus tussen domeincontrollers te controleren:

  • Kenmerkwaarde van alle domeincontrollers:

    repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

    Schermopname van het hulpprogramma RepAdmin met showattr.

  • Objectmetagegevens van alle DC's:

    repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

    Schermopname van het hulpprogramma RepAdmin met de opdracht showobjmeta.

  • AD-replicatieoverzicht

    repadmin /replsummary

    Schermopname van het hulpprogramma RepAdmin met behulp van de opdracht replsummary.

Overzicht van probleemoplossing

  • Bepaal welke domeincontroller wordt gebruikt.
  • Gegevens tussen domeincontrollers vergelijken.
  • Analyseer de Resultaten van RepAdmin.
  • Neem contact op met Directory Services of het netwerkondersteuningsteam om het probleem op te lossen.

Domein- en OE-wijzigingen en objecttypen of kenmerken gefilterd of uitgesloten in ADDS Connector

  • Voor het wijzigen van domein- of OE-filtering is een volledige import vereist

    Houd er rekening mee dat zelfs als het filteren van het domein of de organisatie-eenheid wordt bevestigd, eventuele wijzigingen in domein- of OE-filtering pas van kracht worden na het uitvoeren van een volledige importstap.

  • Kenmerkfiltering met Microsoft Entra app en kenmerkfiltering

    Een eenvoudig te missen scenario voor het niet synchroniseren van kenmerken is wanneer Microsoft Entra Connect is geconfigureerd met de functie Microsoft Entra app en kenmerkfiltering. Als u wilt controleren of de functie is ingeschakeld en voor welke kenmerken, maakt u een algemeen diagnostisch rapport.

  • Objecttype uitgesloten in adds Connector-configuratie

    Deze situatie treedt niet zo vaak op voor gebruikers en groepen. Als echter alle objecten van een specifiek objecttype ontbreken in ADCS, kan het handig zijn om te onderzoeken welke objecttypen zijn ingeschakeld in de configuratie van ADDS Connector.

    U kunt de cmdlet Get-ADSyncConnector gebruiken om de objecttypen op te halen die zijn ingeschakeld op de connector, zoals wordt weergegeven in de volgende afbeelding. Hier volgen de objecttypen die standaard moeten worden ingeschakeld:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

    Hier volgen de objecttypen die standaard moeten worden ingeschakeld:

    Schermopname van de Get-ADSyncConnector objecttypen.

    Opmerking

    Het objecttype publicFolder is alleen aanwezig wanneer de functie Openbare map met e-mail is ingeschakeld is ingeschakeld.

  • Kenmerk uitgesloten in ADCS

    Als het kenmerk ontbreekt voor alle objecten, controleert u op dezelfde manier of het kenmerk is geselecteerd op de AD-connector.

    Als u wilt controleren op ingeschakelde kenmerken in ADDS Connector, gebruikt u Synchronisatiebeheer, zoals wordt weergegeven in de volgende afbeelding, of voert u de volgende PowerShell-cmdlet uit:

    (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

    Schermopname van AD Connector Synchronization Manager.

    Opmerking

    Het opnemen of uitsluiten van objecttypen of kenmerken in de synchronisatie-Service Manager wordt niet ondersteund.

Overzicht van probleemoplossing

Resources voor stap 1

Belangrijkste resources:

  • Get-ADSyncConnectorAccount: het juiste connectoraccount identificeren dat wordt gebruikt door AADC

  • ADConnectivityTool

  • Connectiviteitsproblemen met ADDS identificeren

  • Trace-ADSyncToolsADImport (ADSyncTools) - Traceringsgegevens die worden geïmporteerd uit ADDS

  • LDIFDE - Dumpobject van ADDS om gegevens tussen ADDS en ADCS te vergelijken

  • LDP - Test AD Bind-connectiviteit en machtigingen voor het lezen van objecten in de beveiligingscontext van ADCA

  • DSACLS - ADDS-machtigingen vergelijken en evalueren

  • Set-ADSync-functiemachtigingen<>- Standaard AADC-machtigingen toepassen in ADDS

  • RepAdmin - Metagegevens en AD-replicatiestatus van AD-objecten controleren

Stap 2: synchronisatie tussen ADCS en MV

Schermopname van het stroomdiagram AD C S naar MetaVerse.

Doelstelling voor stap 2

Met deze stap wordt gecontroleerd of het object of kenmerk van CS naar MV stroomt (met andere woorden of het object of kenmerk wordt geprojecteerd naar de MV). Zorg er in deze fase voor dat het object aanwezig is of dat het kenmerk juist is in ADCS (beschreven in stap 1), en kijk vervolgens naar de synchronisatieregels en herkomst van het object.

Beschrijving voor stap 2

De synchronisatie tussen ADCS en MV vindt plaats tijdens de stap delta/volledige synchronisatie. Op dit punt leest AADC de gefaseerde gegevens in ADCS, verwerkt alle synchronisatieregels en werkt het respectieve MV-object bij. Dit MV-object bevat CS-koppelingen (of connectors) die verwijzen naar de CS-objecten die bijdragen aan de eigenschappen en de herkomst van synchronisatieregels die zijn toegepast in de synchronisatiestap. Tijdens deze fase genereert AADC meer belasting op de SQL Server (of LocalDB) en netwerklagen.

Problemen met ADCS > MV voor objecten oplossen

  • Controleer de regels voor binnenkomende synchronisatie voor het inrichten

    Een object dat aanwezig is in ADCS, maar ontbreekt in MV, geeft aan dat er geen bereikfilters zijn op een van de synchronisatieregels voor inrichting die van toepassing zijn op dat object. Daarom is het object niet geprojecteerd naar MV. Dit probleem kan optreden als er uitgeschakelde of aangepaste synchronisatieregels zijn.

    Voer de volgende opdracht uit om een lijst met synchronisatieregels voor binnenkomende inrichting op te halen:

    Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Schermopname van de opdracht Get-ADSyncRule wordt gebruikt om binnenkomende inrichtingsregels te controleren.

  • De herkomst van het ADCS-object controleren

    U kunt het mislukte object ophalen uit de ADCS door te zoeken op 'DN of anker' in 'Search connectorruimte'. Op het tabblad Herkomst ziet u waarschijnlijk dat het object een disconnector is (geen koppelingen naar MV) en dat de herkomst leeg is. Controleer ook of het object fouten bevat, voor het geval er een tabblad synchronisatiefout is.

    Schermopname van de eigenschappen van het connectorruimteobject in A D C S.

  • Een voorbeeld van het ADCS-object uitvoeren

    Selecteer Voorbeeldvoorbeeld>voorbeeld>doorvoeren genereren om te zien of het object wordt geprojecteerd naar MV. Als dat het geval is, moet een volledige synchronisatiecyclus het probleem oplossen voor andere objecten in dezelfde situatie.

    Schermopname van het voorbeeldscherm van het AD C S-object.

    Schermopname van het scherm Details bronobject in AD C S.

  • Het object exporteren naar XML

    Voor een gedetailleerdere analyse (of voor offlineanalyse) kunt u alle databasegegevens verzamelen die aan het object zijn gerelateerd met behulp van de cmdlet Export-ADSyncObject . Met deze geëxporteerde informatie kunt u bepalen welke regel het object uitfiltert. Met andere woorden, welk binnenkomende bereikfilter in de inrichtingssynchronisatieregels voorkomt dat het object wordt geprojecteerd naar de MV.

    Hier volgen enkele voorbeelden van de syntaxis van Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

Overzicht van probleemoplossing (objecten)

  • Controleer de bereikfilters op de inkomende inrichtingsregels 'In From AD'.
  • Creatie een voorbeeld van het object.
  • Voer een volledige synchronisatiecyclus uit.
  • Exporteer de objectgegevens met behulp van het script Export-ADSyncObject .

Problemen met ADCS > MV oplossen voor kenmerken

  1. De regels voor binnenkomende synchronisatie en transformatieregels van het kenmerk identificeren

    Elk kenmerk heeft een eigen set transformatieregels die verantwoordelijk zijn voor het omsturen van de waarde van ADCS naar MV. De eerste stap is om te bepalen welke synchronisatieregels de transformatieregel bevatten voor het kenmerk dat u wilt oplossen.

    De beste manier om te bepalen welke synchronisatieregels een transformatieregel voor een bepaald kenmerk hebben, is door de ingebouwde filtermogelijkheden van de synchronisatieregels Editor te gebruiken.

    Schermopname van synchronisatieregels Editor in AD C S.

  2. De herkomst van het ADCS-object controleren

    Elke connector (of koppeling) tussen de CS en MV heeft een herkomst die informatie bevat over de synchronisatieregels die op dat CS-object worden toegepast. In de vorige stap ziet u welke set regels voor binnenkomende synchronisatie (of het nu gaat om het inrichten of koppelen van synchronisatieregels) aanwezig moet zijn in de herkomst van het object om de juiste waarde van ADCS naar MV te laten stromen. Door de herkomst van het ADCS-object te onderzoeken, kunt u bepalen of die synchronisatieregel is toegepast op het object.

    Schermopname van het herkomstscherm Eigenschappen van connectorruimteobject.

    Als er meerdere connectors (meerdere AD-forests) zijn gekoppeld aan het MV-object, moet u mogelijk de Eigenschappen van metaverse-object onderzoeken om te bepalen welke connector de kenmerkwaarde bijdraagt aan het kenmerk dat u probeert op te lossen. Nadat u de connector hebt geïdentificeerd, controleert u de herkomst van dat ADCS-object.

    Schermopname van het scherm Metaverse-objecteigenschappen.

  3. Controleer de bereikfilters op de regel voor binnenkomende synchronisatie

    Als een synchronisatieregel is ingeschakeld, maar niet aanwezig is in de herkomst van het object, moet het object worden gefilterd door het bereikfilter van de synchronisatieregel. Als u de bereikfilters van de synchronisatieregel, de gegevens in het ADCS-object en of de synchronisatieregel is ingeschakeld of uitgeschakeld, controleert u waarom die synchronisatieregel niet is toegepast op het ADCS-object.

    Hier volgt een voorbeeld van een veelvoorkomend lastig bereikfilter van een synchronisatieregel die verantwoordelijk is voor het synchroniseren van Exchange-eigenschappen. Als het object een null-waarde voor mailNickName heeft, wordt geen van de Exchange-kenmerken in de transformatieregels naar Microsoft Entra ID.

    Schermopname van het scherm Regel voor binnenkomende synchronisatie weergeven.

  4. Een voorbeeld van een ADCS-object uitvoeren

    Als u niet kunt bepalen waarom de synchronisatieregel ontbreekt in de herkomst van het ADCS-object, voert u een preview uit met behulp van Preview genereren en Preview doorvoeren voor een volledige synchronisatie van het object. Als het kenmerk is bijgewerkt in de MV en een voorbeeld heeft, moet een volledige synchronisatiecyclus het probleem voor andere objecten in dezelfde situatie oplossen.

  5. Het object exporteren naar XML

    Voor een gedetailleerdere analyse of offlineanalyse kunt u alle databasegegevens verzamelen die aan het object zijn gerelateerd met behulp van het script Export-ADSyncObject . Aan de hand van deze geëxporteerde informatie kunt u bepalen welke synchronisatieregel of transformatieregel ontbreekt in het object waardoor het kenmerk niet kan worden geprojecteerd naar de MV (zie de voorbeelden van Export-ADSyncObject eerder in dit artikel).

Overzicht van probleemoplossing (voor kenmerken)

  • Identificeer de juiste synchronisatieregels en transformatieregels die verantwoordelijk zijn voor het doorsturen van het kenmerk naar de MV.
  • Controleer de herkomst van het object.
  • Controleer of synchronisatieregels zijn ingeschakeld.
  • Controleer de bereikfilters van de synchronisatieregels die ontbreken in de herkomst van het object.

Geavanceerde probleemoplossing voor de pijplijn van de synchronisatieregel

Als u verder fouten moet opsporen in de ADSync-engine (ook wel bekend als de MiiServer) in termen van synchronisatieregelverwerking, kunt u ETW-tracering inschakelen voor het .config-bestand (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Met deze methode wordt een uitgebreid tekstbestand gegenereerd waarin alle verwerking van synchronisatieregels wordt weergegeven. Het kan echter moeilijk zijn om alle informatie te interpreteren. Gebruik deze methode als laatste redmiddel of als deze wordt aangegeven door Microsoft Ondersteuning.

Resources voor stap 2

  • Gebruikersinterface voor synchronisatie Service Manager
  • Synchronisatieregels Editor
  • Export-ADsyncObject script
  • Start-ADSyncSyncCycle -PolicyType Initial
  • ETW-tracering SyncRulesPipeline (miiserver.exe.config)

Stap 3: Synchronisatie tussen MV en AADCS

Schermopname van het stroomdiagram M V en AD C S.

Doelstelling voor stap 3

Met deze stap wordt gecontroleerd of het object of kenmerk van MV naar AADCS stroomt. Zorg er nu voor dat het object aanwezig is of dat het kenmerk juist is in ADCS en MV (beschreven in stap 1 en 2). Bekijk vervolgens de synchronisatieregels en herkomst van het object. Deze stap is vergelijkbaar met stap 2, waarin de inkomende richting van ADCS naar MV is onderzocht. In deze fase concentreren we ons echter op de uitgaande synchronisatieregels en -kenmerken die van MV naar AADCS stromen.

Beschrijving voor stap 3

De synchronisatie tussen MV en AADCS vindt plaats in de stap delta/volledige synchronisatie, wanneer AADC de gegevens in MV leest, alle synchronisatieregels verwerkt en het respectieve AADCS-object bijwerken. Dit MV-object bevat CS-koppelingen (ook wel connectors genoemd) die verwijzen naar de CS-objecten die bijdragen aan de eigenschappen en de herkomst van de synchronisatieregels die zijn toegepast in de synchronisatiestap. Op dit moment genereert AADC meer belasting voor SQL Server (of localDB) en de netwerklaag.

Problemen met MV naar AADCS oplossen voor objecten

  1. Controleer de regels voor uitgaande synchronisatie voor inrichting

    Een object dat aanwezig is in MV, maar ontbreekt in AADCS, geeft aan dat er geen bereikfilters zijn op een van de synchronisatieregels voor inrichting die van toepassing zijn op dat object. Zie bijvoorbeeld de synchronisatieregels 'Out to Microsoft Entra ID' in de volgende afbeelding. Daarom is het object niet ingericht in AADCS. Deze fout kan optreden als er uitgeschakelde of aangepaste synchronisatieregels zijn.

    Voer de volgende opdracht uit om een lijst met synchronisatieregels voor binnenkomende inrichting op te halen:

    Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

    Schermopname van Get-ADSyncRule gebruikt om regels voor uitgaande synchronisatie te controleren.

  2. De herkomst van het ADCS-object controleren

    Als u het mislukte object wilt ophalen uit de MV, gebruikt u een Metaverse-Search en bekijkt u vervolgens het tabblad Connectors. Op dit tabblad kunt u bepalen of het MV-object is gekoppeld aan een AADCS-object. Controleer ook of het object fouten bevat, voor het geval er een tabblad synchronisatiefout aanwezig is.

    Schermopname van het scherm metaverse Search.

    Als er geen AADCS-connector aanwezig is, is het object waarschijnlijk ingesteld op cloudFiltered=True. U kunt controleren of het object in de cloud is gefilterd door de MV-kenmerken te bekijken waarvoor de synchronisatieregel bijdraagt met de waarde cloudFiltered .

  3. Een voorbeeld van een AADCS-object uitvoeren

    Selecteer Voorbeeldvoorbeeld>genereren>Een voorbeeld doorvoeren om te bepalen of het object verbinding maakt met AADCS. Als dit het geval is, moet een volledige synchronisatiecyclus het probleem voor andere objecten in dezelfde situatie oplossen.

  4. Het object exporteren naar XML

    Voor een gedetailleerdere analyse of offlineanalyse kunt u alle databasegegevens verzamelen die aan het object zijn gerelateerd met behulp van het script Export-ADSyncObject . Deze geëxporteerde informatie kan, samen met de configuratie van de (uitgaande) synchronisatieregels, helpen bepalen welke regel het object uitfiltert en kan bepalen welk uitgaand bereikfilter in de synchronisatieregels voor inrichting verhindert dat het object verbinding maakt met de AADCS).

    Hier volgen enkele voorbeelden van de syntaxis van Export-ADsyncObject :

    • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
    • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
    • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

Overzicht van probleemoplossing voor objecten

  • Controleer de bereikfilters op de uitgaande inrichtingsregels 'Out to Microsoft Entra ID'.
  • Creatie een voorbeeld van het object.
  • Voer een volledige synchronisatiecyclus uit.
  • Exporteer de objectgegevens met behulp van het script Export-ADSyncObject .

Problemen met MV naar AADCS oplossen voor kenmerken

  1. De regels voor uitgaande synchronisatie en transformatieregels van het kenmerk identificeren

    Elk kenmerk heeft een eigen set transformatieregels die verantwoordelijk zijn voor het vloeien van de waarde van MV naar AADCS. Begin met het identificeren van welke synchronisatieregels de transformatieregel bevatten voor het kenmerk dat u wilt oplossen.

    De beste manier om te bepalen welke synchronisatieregels een transformatieregel voor een bepaald kenmerk hebben, is door de ingebouwde filtermogelijkheden van de synchronisatieregels Editor te gebruiken.

    Schermopname van de Editor Synchronisatieregels.

  2. De herkomst van het ADCS-object controleren

    Elke connector (of koppeling) tussen de CS en MV heeft een herkomst die informatie bevat over de synchronisatieregels die op dat CS-object worden toegepast. In de vorige stap ziet u welke set regels voor uitgaande synchronisatie (of het nu gaat om het inrichten of koppelen van synchronisatieregels) aanwezig moet zijn in de herkomst van het object om de juiste waarde van MV naar AADCS te laten stromen. Door de herkomst van het AADCS-object te onderzoeken, kunt u bepalen of die synchronisatieregel is toegepast op het object.

    Schermopname van de details van het tabblad Herkomst van het AD C S-object.

  3. Controleer de bereikfilters op de regel voor uitgaande synchronisatie

    Als een synchronisatieregel is ingeschakeld, maar niet aanwezig is in de herkomst van het object, moet deze worden gefilterd door het bereikfilter van de synchronisatieregel. Als u de aanwezigheid van de bereikfilters van de synchronisatieregel en de gegevens op het MV-object controleert en of de synchronisatieregel is ingeschakeld of uitgeschakeld, kunt u bepalen waarom die synchronisatieregel niet is toegepast op het AADCS-object.

  4. Een voorbeeld van een AADCS-object uitvoeren

    Als u bepaalt waarom de synchronisatieregel ontbreekt in de herkomst van het ADCS-object, voert u een voorbeeld uit waarin Preview genereren en Preview doorvoeren wordt gebruikt voor een volledige synchronisatie van het object. Als het kenmerk in de MV wordt bijgewerkt door een voorbeeld te hebben, moet een volledige synchronisatiecyclus het probleem voor andere objecten in dezelfde situatie oplossen.

  5. Het object exporteren naar XML

    Voor een gedetailleerdere analyse of offlineanalyse kunt u alle databasegegevens verzamelen die aan het object zijn gerelateerd met behulp van het script 'Export-ADSyncObject'. Deze geëxporteerde informatie, samen met de configuratie van de (uitgaande) synchronisatieregels, kan u helpen bepalen welke synchronisatieregel of transformatieregel ontbreekt in het object waardoor het kenmerk niet naar AADCS kan stromen (zie de voorbeelden 'Export-ADSyncObject' eerder).

Overzicht van probleemoplossing voor kenmerken

  • Identificeer de juiste synchronisatieregels en transformatieregels die verantwoordelijk zijn voor het doorsturen van het kenmerk naar AADCS.
  • Controleer de herkomst van het object.
  • Controleer of de synchronisatieregels zijn ingeschakeld.
  • Controleer de bereikfilters van de synchronisatieregels die ontbreken in de herkomst van het object.

Problemen met de pijplijn van de synchronisatieregel oplossen

Als u verder fouten moet opsporen in de ADSync-engine (ook wel bekend als de MiiServer) in termen van synchronisatieregelverwerking, kunt u ETW-tracering inschakelen voor het .config-bestand (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Met deze methode wordt een uitgebreid tekstbestand gegenereerd waarin alle verwerking van synchronisatieregels wordt weergegeven. Het kan echter moeilijk zijn om alle informatie te interpreteren. Gebruik deze methode alleen als laatste redmiddel of als deze wordt aangegeven door Microsoft Ondersteuning.

Middelen

  • Gebruikersinterface voor synchronisatie Service Manager
  • Synchronisatieregels Editor
  • Export-ADsyncObject script
  • Start-ADSyncSyncCycle -PolicyType Initial
  • ETW-tracering SyncRulesPipeline (miiserver.exe.config)

Stap 4: synchronisatie tussen AADCS en AzureAD

Schermopname van het stroomdiagram Synchroniseren tussen ADB en Microsoft Entra ID.

Doelstelling voor stap 4

In deze fase wordt het AADCS-object vergeleken met het betreffende object dat is ingericht in Microsoft Entra ID.

Beschrijving voor stap 4

Meerdere onderdelen en processen die betrokken zijn bij het importeren en exporteren van gegevens naar en van Microsoft Entra ID kunnen de volgende problemen veroorzaken:

  • Verbinding met internet
  • Interne firewalls en ISP-connectiviteit (bijvoorbeeld geblokkeerd netwerkverkeer)
  • De Microsoft Entra Gateway vóór DirSync-webservice (ook wel bekend als het AdminWebService-eindpunt)
  • De DirSync-webservice-API
  • De Microsoft Entra Core-adreslijstservice

Gelukkig genereren de problemen die van invloed zijn op deze onderdelen meestal een fout in gebeurtenislogboeken die kunnen worden getraceerd door Microsoft Ondersteuning. Daarom vallen deze problemen buiten het bereik van dit artikel. Toch zijn er nog enkele "stille" kwesties die kunnen worden onderzocht.

Problemen met AADCS oplossen

  • Meerdere actieve AADC-servers exporteren naar Microsoft Entra ID

    In een veelvoorkomend scenario waarin objecten in Microsoft Entra ID kenmerkwaarden heen en weer spiegelen, zijn er meer dan één actieve Microsoft Entra Connect-servers. Een van deze servers verliest het contact met de lokale AD, maar is nog steeds verbonden met internet en kan gegevens exporteren naar Microsoft Entra ID. Daarom keert de synchronisatie-engine elke keer dat deze 'verouderde' server een wijziging van Microsoft Entra ID importeert op een gesynchroniseerd object dat is gemaakt door de andere actieve server, deze wijziging terug op basis van de verouderde AD-gegevens die zich in de ADCS bevinden. Een typisch symptoom in dit scenario is dat u een wijziging aanbrengt in AD die wordt gesynchroniseerd met Microsoft Entra ID, maar dat de wijziging enkele minuten later (maximaal 30 minuten) wordt teruggezet naar de oorspronkelijke waarde. Als u dit probleem snel wilt oplossen, gaat u terug naar oude servers of virtuele machines die buiten gebruik zijn gesteld en controleert u of de ADSync-service nog steeds actief is.

  • Mobiel kenmerk met DirSyncOverrides

    Wanneer de Beheer gebruikmaakt van MSOnline of AzureAD PowerShell-module, of als de gebruiker naar de Office-portal gaat en het kenmerk Mobile bijwerkt, wordt het bijgewerkte telefoonnummer overschreven in AzureAD, ondanks dat het object wordt gesynchroniseerd vanuit on-premises AD (ook wel bekend als DirSyncEnabled).

    Samen met deze update stelt Microsoft Entra ID ook een DirSyncOverrides in op het object om te markeren dat deze gebruiker het mobiele telefoonnummer 'overschreven' heeft in Microsoft Entra ID. Vanaf dit moment wordt elke update van het mobiele kenmerk die afkomstig is van on-premises, genegeerd omdat dit kenmerk niet meer wordt beheerd door on-premises AD.

    Zie De functie BypassDirSyncOverrides van een Microsoft Entra-tenant gebruiken voor meer informatie over de functie BypassDirSyncOverrides en het herstellen van synchronisatie van mobiele en andere Mobiele kenmerken van Microsoft Entra ID naar on-premises Active Directory.

  • UserPrincipalName-wijzigingen worden niet bijgewerkt in Microsoft Entra ID

    Als het kenmerk UserPrincipalName niet wordt bijgewerkt in Microsoft Entra ID, terwijl andere kenmerken worden gesynchroniseerd zoals verwacht, is het mogelijk dat een functie met de naam SynchronizeUpnForManagedUsers niet is ingeschakeld voor de tenant. Dit scenario komt regelmatig voor.

    Voordat deze functie werd toegevoegd, werden updates van de UPN die afkomstig waren van on-premises nadat de gebruiker in Microsoft Entra ID was ingericht en een licentie was toegewezen, 'op de achtergrond' genegeerd. Een beheerder moet MSOnline of Azure AD PowerShell gebruiken om de UPN rechtstreeks in Microsoft Entra ID bij te werken. Nadat deze functie is bijgewerkt, worden alle updates voor UPN naar Microsoft Entra stromen, ongeacht of de gebruiker een licentie heeft (beheerd).

    Opmerking

    Nadat deze functie is ingeschakeld, kan deze functie niet worden uitgeschakeld.

    UserPrincipalName-updates werken als de gebruiker GEEN licentie heeft. Zonder de functie SynchronizeUpnForManagedUsers wordt UserPrincipalName echter gewijzigd nadat de gebruiker is ingericht en een licentie is toegewezen die NIET wordt bijgewerkt in Microsoft Entra ID. U ziet dat Microsoft deze functie niet uitschakelt namens de klant.

  • Ongeldige tekens en ProxyCalc-internals

    Problemen die betrekking hebben op ongeldige tekens die geen synchronisatiefout veroorzaken, zijn lastiger in de kenmerken UserPrincipalName en ProxyAddresses vanwege het trapsgewijze effect in ProxyCalc-verwerking waardoor de waarde die is gesynchroniseerd vanuit on-premises AD op de achtergrond wordt verwijderd. Deze situatie doet zich als volgt voor:

    1. De resulterende UserPrincipalName in Microsoft Entra ID is het eerste domein MailNickName of CommonName @ (at). In plaats van John.Smith@Contoso.comkan de UserPrincipalName in Microsoft Entra ID bijvoorbeeld worden smithj@Contoso.onmicrosoft.com omdat de UPN-waarde van on-premises AD een onzichtbaar teken bevat.

    2. Als een ProxyAddress een spatieteken bevat, wordt dit door ProxyCalc verwijderd en wordt er automatisch een e-mailadres gegenereerd op basis van MailNickName in initial domain. 'SMTP:John.Smith@Contoso.com' wordt bijvoorbeeld niet weergegeven in Microsoft Entra ID omdat het een spatieteken na de dubbele punt bevat.

    3. Een UserPrincipalName met een spatieteken of een ProxyAddress dat een onzichtbaar teken bevat, veroorzaakt hetzelfde probleem.

      Als u problemen wilt oplossen met een ongeldig teken in de UserPrincipalName of ProxyAddress, controleert u de waarde die is opgeslagen in de lokale AD van een LDIFDE of PowerShell die naar een bestand is geëxporteerd. Een eenvoudige truc om een onzichtbaar teken te detecteren, is door de inhoud van het geëxporteerde bestand te kopiëren en deze vervolgens in een PowerShell-venster te plakken. Het onzichtbare teken wordt vervangen door een vraagteken (?), zoals wordt weergegeven in het volgende voorbeeld.

      Schermopname van een voorbeeld voor het oplossen van problemen met UserPrincipalName of ProxyAddress.

  • Kenmerk ThumbnailPhoto (KB4518417)

    Er is een algemene misvatting dat nadat u ThumbnailPhoto vanuit AD voor het eerst hebt gesynchroniseerd, u deze niet meer kunt bijwerken, wat slechts gedeeltelijk waar is.

    Normaal gesproken wordt de ThumbnailPhoto in Microsoft Entra ID voortdurend bijgewerkt. Er treedt echter een probleem op als de bijgewerkte afbeelding niet meer wordt opgehaald uit Microsoft Entra ID door de respectieve workload of partner (bijvoorbeeld EXO of SfBO). Dit probleem veroorzaakt de onjuiste indruk dat de afbeelding niet is gesynchroniseerd vanuit on-premises AD met Microsoft Entra ID.

    Basisstappen voor het oplossen van problemen met ThumbnailPhoto

    1. Zorg ervoor dat de afbeelding correct is opgeslagen in AD en de groottelimiet van 100 kB niet overschrijdt.

    2. Controleer de afbeelding in de accountsportal of gebruik Get-AzureADUserThumbnailPhoto omdat deze methoden de ThumbnailPhoto rechtstreeks uit Microsoft Entra ID lezen.

    3. Als de AD-miniatuur (of AzureAD) thumbnailPhoto de juiste afbeelding heeft, maar niet juist is op andere onlineservices, kunnen de volgende voorwaarden van toepassing zijn:

    • Het postvak van de gebruiker bevat een HD-afbeelding en accepteert geen afbeeldingen met een lage resolutie van Microsoft Entra thumbnailPhoto. De oplossing is om de postvakafbeelding van de gebruiker rechtstreeks bij te werken.
    • De postvakafbeelding van de gebruiker is correct bijgewerkt, maar u ziet nog steeds de oorspronkelijke afbeelding. De oplossing is om ten minste zes uur te wachten om de bijgewerkte afbeelding te zien in de Office 365 Gebruikersportal of de Azure Portal.

Aanvullende bronnen

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.