Diagnozowanie i naprawianie błędów synchronizacji zduplikowanego atrybutu

  • Artykuł

Omówienie

Wykonanie jednego kroku w celu wyróżnienia błędów synchronizacji, firma Microsoft Entra Połączenie Health wprowadza samoobsługowe korygowanie. Rozwiązuje ona problemy z błędami synchronizacji zduplikowanych atrybutów i naprawia obiekty oddzielone od identyfikatora Entra firmy Microsoft. Funkcja diagnostyki ma następujące korzyści:

  • Zawiera on procedurę diagnostyczną, która zawęża zduplikowane błędy synchronizacji atrybutów. I daje konkretne poprawki.
  • Stosuje poprawkę dla dedykowanych scenariuszy z witryny Microsoft Entra ID w celu rozwiązania błędu w jednym kroku.
  • Do włączenia tej funkcji nie jest wymagana żadna aktualizacja ani konfiguracja. Aby uzyskać więcej informacji na temat identyfikatora Entra firmy Microsoft, zobacz Synchronizacja tożsamości i odporność zduplikowanych atrybutów.

Problemy

Typowy scenariusz

W przypadku wystąpienia błędów synchronizacji QuarantinedAttributeValueMustBeUnique i AttributeValueMustBeUnique często występuje konflikt userPrincipalName lub proxy Addresses w identyfikatorze Entra firmy Microsoft. Błędy synchronizacji można rozwiązać, aktualizując obiekt źródłowy powodujący konflikt ze strony lokalnej. Błąd synchronizacji zostanie rozwiązany po następnej synchronizacji. Na przykład ten obraz wskazuje, że dwóch użytkowników ma konflikt z nazwą UserPrincipalName. Oba są Joe.J@contoso.com. Obiekty powodujące konflikt są poddane kwarantannie w identyfikatorze Entra firmy Microsoft.

Diagnose sync error common scenario

Scenariusz oddzielonego obiektu

Czasami może się okazać, że istniejący użytkownik utraci kotwicę źródłową. Usunięcie obiektu źródłowego miało miejsce w lokalna usługa Active Directory. Jednak zmiana sygnału usuwania nigdy nie została zsynchronizowana z identyfikatorem Entra firmy Microsoft. Ta utrata występuje z powodów, takich jak problemy z aparatem synchronizacji lub migracja domeny. Gdy ten sam obiekt zostanie przywrócony lub utworzony ponownie, logicznie istniejący użytkownik powinien być użytkownikiem do synchronizacji z zakotwiczenia źródła.

Gdy istniejący użytkownik jest obiektem tylko w chmurze, możesz również zobaczyć powodujące konflikty użytkownika zsynchronizowanego z identyfikatorem Entra firmy Microsoft. Nie można dopasować użytkownika do istniejącego obiektu. Nie ma bezpośredniego sposobu ponownego mapowania kotwicy źródłowej. Zobacz więcej o istniejących baza wiedzy.

Na przykład istniejący obiekt w identyfikatorze Entra firmy Microsoft zachowuje licencję Joe. Nowo zsynchronizowany obiekt z inną kotwicą źródłową występuje w stanie zduplikowanego atrybutu w identyfikatorze Entra firmy Microsoft. Zmiany dla Joe w lokalna usługa Active Directory nie zostaną zastosowane do oryginalnego użytkownika Joe (istniejącego obiektu) w identyfikatorze Entra firmy Microsoft.

Diagnose sync error orphaned object scenario

Kroki diagnostyki i rozwiązywania problemów w usłudze Połączenie Health

Funkcja diagnozowania obsługuje obiekty użytkownika z następującymi zduplikowanymi atrybutami:

Attribute name Typy błędów synchronizacji
UserPrincipalName QuarantinedAttributeValueMustBeUnique lub AttributeValueMustBeUnique
ProxyAddresses QuarantinedAttributeValueMustBeUnique lub AttributeValueMustBeUnique
SipProxyAddress AttributeValueMustBeUnique
OnPremiseSecurityIdentifier AttributeValueMustBeUnique

Ważne

Aby uzyskać dostęp do tej funkcji, wymagane jest uprawnienie Globalne Administracja istrator lub Współautor z kontroli dostępu opartej na rolach platformy Azure.

Wykonaj kroki z centrum administracyjnego firmy Microsoft Entra, aby zawęzić szczegóły błędu synchronizacji i udostępnić bardziej szczegółowe rozwiązania:

Sync error diagnosis steps

W centrum administracyjnym firmy Microsoft Entra wykonaj kilka kroków, aby zidentyfikować konkretne scenariusze możliwe do naprawienia:

  1. Sprawdź kolumnę Diagnozowanie stanu . Stan pokazuje, czy istnieje możliwy sposób naprawienia błędu synchronizacji bezpośrednio z identyfikatora Entra firmy Microsoft. Innymi słowy, istnieje przepływ rozwiązywania problemów, który może zawęzić przypadek błędu i potencjalnie go naprawić.
Stan Co to oznacza?
Nie rozpoczęto Nie odwiedziłeś tego procesu diagnostyki. W zależności od wyniku diagnostyki istnieje potencjalny sposób usunięcia błędu synchronizacji bezpośrednio z portalu.
Wymagana poprawka ręczna Błąd nie pasuje do kryteriów dostępnych poprawek z portalu. Typy obiektów powodujące konflikt nie są użytkownikami lub zostały już wykonane kroki diagnostyczne, a rozwiązanie poprawki nie było dostępne w portalu. W tym ostatnim przypadku poprawka ze strony lokalnej jest nadal jednym z rozwiązań. Przeczytaj więcej na temat poprawek lokalnych.
Oczekiwanie na synchronizację Zastosowano poprawkę. Portal czeka na następny cykl synchronizacji, aby wyczyścić błąd.

Ważne

Kolumna stanu diagnostyki zostanie zresetowana po każdym cyklu synchronizacji.

  1. Wybierz przycisk Diagnozuj w obszarze szczegółów błędu. Odpowiesz na kilka pytań i zidentyfikujesz szczegóły błędu synchronizacji. Odpowiedzi na pytania pomagają zidentyfikować oddzielony przypadek obiektu.

  2. Jeśli na końcu diagnostyki pojawi się przycisk Zamknij, nie ma dostępnej szybkiej poprawki w portalu na podstawie odpowiedzi. Zapoznaj się z rozwiązaniem pokazanym w ostatnim kroku. Poprawki ze środowiska lokalnego są nadal rozwiązaniami. Wybierz przycisk Zamknij. Stan bieżącego błędu synchronizacji powoduje przełączenie na wymaganą ręczną poprawkę. Stan pozostaje w trakcie bieżącego cyklu synchronizacji.

  3. Po zidentyfikowaniu oddzielonego przypadku obiektu można naprawić zduplikowane błędy synchronizacji atrybutów bezpośrednio z portalu. Aby wyzwolić proces, wybierz przycisk Zastosuj poprawkę. Stan bieżącego błędu synchronizacji zostanie zaktualizowany do oczekujących synchronizacji.

  4. Po następnym cyklu synchronizacji błąd powinien zostać usunięty z listy.

Jak odpowiedzieć na pytania diagnostyczne

Czy użytkownik istnieje w lokalna usługa Active Directory?

To pytanie próbuje zidentyfikować obiekt źródłowy istniejącego użytkownika z lokalna usługa Active Directory.

  1. Sprawdź, czy identyfikator Entra firmy Microsoft ma obiekt z podanym atrybutem UserPrincipalName. Jeśli nie, odpowiedz nie.
  2. Jeśli tak, sprawdź, czy obiekt jest nadal w zakresie synchronizacji.
    • Wyszukaj w obszarze łącznika Microsoft Entra przy użyciu nazwy DN.
    • Jeśli obiekt zostanie znaleziony w stanie Oczekiwanie na dodanie , odpowiedz Nie. Firma Microsoft Entra Połączenie nie może połączyć obiektu z odpowiednim obiektem Microsoft Entra.
    • Jeśli obiekt nie zostanie znaleziony, odpowiedz Tak.

W tych przykładach pytanie próbuje określić, czy Joe Jackson nadal istnieje w lokalna usługa Active Directory. W typowym scenariuszu zarówno użytkownicy Joe Johnson, jak i Joe Jackson są obecni w lokalna usługa Active Directory. Obiekty poddane kwarantannie są dwoma różnymi użytkownikami.

Diagnose sync error common scenario

W scenariuszu obiektu oddzielonego tylko jeden użytkownik Joe Johnson jest obecny w lokalna usługa Active Directory:

Diagnose sync error orphaned object does user exist scenario

Czy oba te konta należą do tego samego użytkownika?

To pytanie sprawdza przychodzącego użytkownika powodującego konflikt i istniejący obiekt użytkownika w identyfikatorze Entra firmy Microsoft, aby sprawdzić, czy należą do tego samego użytkownika.

  1. Obiekt powodujący konflikt jest nowo synchronizowany z identyfikatorem Entra firmy Microsoft. Porównaj atrybuty obiektów:
    • Wyświetlana nazwa
    • UserPrincipalName lub SignInName
    • ObjectID
  2. Jeśli nie można porównać identyfikatora entra firmy Microsoft, sprawdź, czy usługa Active Directory ma obiekty z podanymi parametrami UserPrincipalNames. Odpowiedź Nie , jeśli znajdziesz oba te elementy.

W poniższym przykładzie dwa obiekty należą do tego samego użytkownika Joe Johnsona.

Diagnose sync error orphaned object same user scenario

Co się stanie po zastosowaniu poprawki w scenariuszu oddzielonego obiektu

Na podstawie odpowiedzi na powyższe pytania zobaczysz przycisk Zastosuj poprawkę , gdy istnieje poprawka dostępna z identyfikatora Entra firmy Microsoft. W takim przypadku obiekt lokalny synchronizuje się z nieoczekiwanym obiektem Firmy Microsoft Entra. Dwa obiekty są mapowane przy użyciu kotwicy źródłowej. Zmiana Zastosuj poprawkę wykonuje następujące lub podobne kroki:

  1. AktualizacjeZakotwiczenie źródła do poprawnego obiektu w identyfikatorze Entra firmy Microsoft.
  2. Usuwa obiekt powodujący konflikt w identyfikatorze Entra firmy Microsoft, jeśli jest obecny.

Diagnose sync error after the fix

Ważne

Zmiana Zastosuj poprawkę ma zastosowanie tylko do oddzielonych przypadków obiektów.

Po poprzednich krokach użytkownik może uzyskać dostęp do oryginalnego zasobu, który jest linkiem do istniejącego obiektu. Wartość Diagnozowanie stanu na liście jest aktualizowana do oczekujących synchronizacji. Błąd synchronizacji zostanie rozwiązany po następnej synchronizacji. Połączenie Kondycja nie będzie już wyświetlać usuniętego błędu synchronizacji w widoku listy.

Błędy i komunikaty o błędach

Użytkownik z atrybutem powodującym konflikt jest usuwany nietrwale w identyfikatorze Entra firmy Microsoft. Przed ponowieniu próby upewnij się, że użytkownik jest trwale usunięty.
Użytkownik z atrybutem powodującym konflikt w identyfikatorze Entra firmy Microsoft powinien zostać oczyszczony przed zastosowaniem poprawki. Sprawdź , jak trwale usunąć użytkownika w identyfikatorze Entra firmy Microsoft przed ponowieniu próby naprawienia. Użytkownik zostanie również automatycznie usunięty trwale po upływie 30 dni w stanie usunięcia nietrwałego.

Aktualizowanie kotwicy źródłowej do użytkownika opartego na chmurze w dzierżawie nie jest obsługiwane.
Użytkownik oparty na chmurze w identyfikatorze Entra firmy Microsoft nie powinien mieć kotwicy źródłowej. Aktualizowanie kotwicy źródłowej nie jest obsługiwane w tym przypadku. Naprawa ręczna jest wymagana ze środowiska lokalnego.

Proces naprawy nie może zaktualizować wartości. Określone ustawienia, takie jak UserWriteback w usłudze Microsoft Entra Połączenie, nie są obsługiwane. Wyłącz w ustawieniach.

Często zadawane pytania

Pyt. Co się stanie, jeśli wykonanie poprawki Zastosuj nie powiedzie się?
Odp. Jeśli wykonanie nie powiedzie się, możliwe, że firma Microsoft Entra Połączenie uruchamia błąd eksportu. Odśwież stronę portalu i spróbuj ponownie po następnej synchronizacji. Domyślny cykl synchronizacji to 30 minut.

Pyt. Co zrobić, jeśli istniejący obiekt powinien być obiektem do usunięcia?
Odp. Jeśli istniejący obiekt powinien zostać usunięty, proces nie obejmuje zmiany zakotwiczenia źródła. Zazwyczaj można rozwiązać ten problem z lokalna usługa Active Directory.

Pyt. Jakie uprawnienia użytkownik musi zastosować poprawkę?
A.Globalny Administracja istrator lub współautor z kontroli dostępu opartej na rolach platformy Azure ma uprawnienia dostępu do procesu diagnostyki i rozwiązywania problemów.

Pyt. Czy muszę skonfigurować usługę Microsoft Entra Połączenie lub zaktualizować agenta Microsoft Entra Połączenie Health dla tej funkcji?
Odp. Nie, proces diagnozowania jest kompletną funkcją opartą na chmurze.

Pyt. Jeśli istniejący obiekt zostanie usunięty nietrwale, czy proces diagnostyki ponownie uaktywni obiekt?
Odp. Nie, poprawka nie zaktualizuje atrybutów obiektu innych niż kotwica źródłowa.