Solucionar problemas de um objeto que não está sincronizando com o Microsoft Entra ID

  • Artigo

Se um objeto não está sincronizando conforme o esperado com o Microsoft Entra ID, isso pode ser por vários motivos. Se você recebeu uma mensagem de erro do Microsoft Entra ID ou estiver vendo o erro no Microsoft Entra Connect Health, consulte o artigo Solucionando erros durante a sincronização. Mas se está solucionando um problema em que o objeto não está no Microsoft Entra ID, este é o artigo ideal para você. Ele descreve como encontrar erros na sincronização do Microsoft Entra Connect do componente local.

Importante

Para a implantação do Microsoft Entra Connect com a versão 1.1.749.0 ou posterior, use a tarefa de solução de problemas no assistente para solucionar problemas de sincronização de objetos.

Processo de sincronização

Antes de investigarmos problemas de sincronização de atributo, vamos entender o processo de sincronização do Microsoft Entra Connect:

Diagram of Microsoft Entra Connect Sync process

Terminologia

  • CS: espaço conector, uma tabela em um banco de dados
  • MV: metaverso, uma tabela em um banco de dados

Etapas de Sincronização

O processo de sincronização envolve as seguintes etapas:

  1. Importar do AD: objetos do Active Directory são trazidos para o CS do Active Directory.

  2. Importar do Microsoft Entra ID: objetos do Microsoft Entra são trazidos para o Microsoft Entra CS.

  3. Sincronização: regras de sincronização de entrada e de saída são executadas na ordem do número de precedência, do menor para o maior. Para exibir as regras de sincronização, vá ao Editor de Regras de Sincronização nos aplicativos da área de trabalho. As regras de sincronização de entrada trazem dados do CS para o MV. As regras de sincronização de saída movem os dados do MV para o CS.

  4. Exportar para o AD: após a sincronização, os objetos são exportados do CS do Active Directory para o Active Directory.

  5. Exportar para o Microsoft Entra ID: depois de executar a sincronização, os objetos são exportados do Microsoft Entra CS para o Microsoft Entra ID.

Solução de problemas

Para encontrar os erros, verifique diferentes lugares, na seguinte ordem:

  1. Os logs de operação, para encontrar erros identificados pelo mecanismo de sincronização durante a importação e a sincronização.
  2. O espaço conector, para encontrar objetos ausentes e erros de sincronização.
  3. O metaverso, para encontrar problemas relacionados aos dados.

Inicie o Synchronization Service Manager antes de começar estas etapas.

Operations

A guia Operações no Synchronization Service Manager é o local em que você deve iniciar a solução de problemas. Essa guia mostra os resultados das operações mais recentes.

Screenshot of Synchronization Service Manager, showing Operations tab selected

A metade superior da guia Operações mostra todas as execuções em ordem cronológica. Por padrão, as operações de log mantêm informações sobre os últimos sete dias, mas essa configuração pode ser alterada com o agendador. Procure qualquer execução que não mostre o status de bem-sucedida. É possível alterar a classificação clicando nos cabeçalhos.

A coluna Status traz as informações mais importantes e mostra o problema mais grave de uma execução. Aqui está um resumo dos status mais comuns em ordem de prioridade para investigação (em que * indica várias cadeias de caracteres de erro possíveis).

Status Comentário
stopped- * Não foi possível concluir a execução. Isso pode acontecer, por exemplo, se o sistema remoto está inoperante e não pode ser contatado.
stopped-error-limit Há mais de 5.000 erros. A execução foi interrompida automaticamente devido ao grande número de erros.
completed-*-errors A execução foi concluída, mas há erros (menos de 5.000) que devem ser investigados.
completed-*-warnings A execução foi concluída, mas alguns dados não estão no estado esperado. Se houver erros, geralmente, essa mensagem indicará apenas um sintoma. Não investigue os avisos até que tenha resolvido os erros.
sucesso Nenhum problema.

Quando você seleciona uma linha, a parte inferior da guia Operações é atualizada para mostrar os detalhes dessa execução. Na extremidade esquerda desta área, pode haver uma lista intitulada Etapa Nº. Essa lista só será exibida se você tiver vários domínios na floresta, e cada domínio for representado por uma etapa. O nome de domínio pode ser encontrado sob o título Partição. No cabeçalho Estatísticas de Sincronização, é possível encontrar mais informações sobre o número de alterações que foram processadas. Selecione os links para obter uma lista dos objetos alterados. Se houver objetos com erros, estes aparecerão no cabeçalho Erros de Sincronização.

Erros na guia Operações

Quando houver erros, o Synchronization Service Manager mostrará o objeto com erro e o próprio erro como links que fornecerão mais informações.

Screenshot of errors in Synchronization Service Manager
Comece selecionando a cadeia de caracteres de erro. (Na figura anterior, a cadeia de caracteres de erro é sync-rule-error-function-triggered.) Primeiro, você terá uma visão geral do objeto. Para ver o erro real, selecione Rastreamento de Pilha. Esse rastreamento fornece informações de nível de depuração sobre o erro.

Clique com o botão direito do mouse na caixa Informações da Pilha de Chamadas, clique em Selecionar tudo e em Copiar. Copie a pilha e examine o erro em seu editor favorito, como o Bloco de Notas.

Se o erro for proveniente de SyncRulesEngine, as informações da pilha de chamadas irão primeiro listar todos os atributos no objeto. Role para baixo até ver o cabeçalho InnerException =>.

Screenshot of the Synchronization Service Manager, showing error information under the heading InnerException =>

A linha depois do cabeçalho mostra o erro. Na figura anterior, o erro é de uma regra de sincronização personalizada que a Fabrikam criou.

Se o erro não fornecer informações suficientes, será o momento de examinar os próprios dados. Selecione o link com o identificador de objeto e continue solucionando os problemas do objeto importado do espaço conector.

Propriedades do objeto do espaço conector

Se a guia Operações não mostrar erros, siga o objeto do espaço conector do Active Directory para o metaverso para o Microsoft Entra ID. Nesse caminho, você deverá encontrar onde está o problema.

Pesquisar um objeto no CS

No Synchronization Service Manager, clique em Conectores, selecione o Active Directory Connector e, depois, Pesquisar Espaço Conector.

Na caixa Escopo, selecione RDN quando desejar pesquisar o atributo CN ou DN ou âncora quando desejar pesquisar o atributo distinguishedName. Insira um valor e selecione Pesquisar.

Screenshot of a connector space search

Se você não encontrar o objeto que está procurando, talvez ele tenha sido filtrado com a filtragem baseada em domínio ou a filtragem baseada em UO. Para verificar se a filtragem está configurada como esperado, leia Sincronização do Microsoft Entra Connect: configurar a filtragem.

Você pode executar outra pesquisa útil selecionando o Microsoft Entra Connector. Na caixa Escopo, selecione Importação Pendente e, em seguida, marque a caixa de seleção Adicionar. Essa pesquisa fornece todos os objetos sincronizados no Microsoft Entra ID que não podem ser associados a um objeto local.

Screenshot of orphans in a connector space search

Esses objetos foram criados por outro mecanismo de sincronização ou por um mecanismo de sincronização com uma configuração de filtragem diferente. Esses objetos órfãos não são mais gerenciados. Examine esta lista e considere remover esses objetos usando os cmdlets do Microsoft Graph PowerShell.

Importação do CS

Quando você abre um objeto CS, há várias guias na parte superior. A guia Importação exibe os dados preparados após uma importação.

Screenshot of the Connector Space Object Properties window, with the Import tab selected

A coluna Valor Antigo mostra o que está atualmente armazenado no Connect, e a coluna Novo Valor, o que foi recebido do sistema de origem e ainda não foi aplicado. Se houver um erro no objeto, as alterações não serão processadas.

A guia Erro de Sincronização só estará visível na janela Propriedades de Objeto do Espaço Conector se houver um problema com o objeto. Para saber mais, veja como solucionar problemas de sincronização na guia Operações.

Screenshot of the Synchronization Error tab in the Connector Space Object Properties window

Linhagem do CS

A guia Linhagem na janela Propriedades de Objeto do Espaço Conector mostra como o objeto do espaço conector está relacionado ao objeto do metaverso. Você pode ver quando o conector realizou a última importação de uma alteração do sistema conectado e quais regras foram aplicadas para popular dados no metaverso.

Screenshot showing the Lineage tab in the Connector Space Object Properties window

Na figura anterior, a coluna Ação mostra uma regra de sincronização de entrada com a ação Provisionar. Isso indica que, desde que esse objeto do espaço do conector esteja presente, o objeto do metaverso permanece. Se, em vez disso, a lista de regras de sincronização mostrar uma regra de sincronização de saída com uma ação Provisionar, esse objeto será excluído quando o objeto do metaverso for excluído.

Screenshot of a lineage window on the Lineage tab in the Connector Space Object Properties window

Na imagem anterior, é possível ver que na coluna PasswordSync o espaço conector de entrada pode contribuir com alterações na senha, uma vez que uma regra de sincronização tem o valor True. Essa senha é enviada ao Microsoft Entra ID por meio da regra de saída.

Na guia Linhagem, é possível acessar o metaverso clicando em Propriedades de Objeto do Metaverso.

Visualização

No canto inferior esquerdo da janela Propriedades de Objeto do Espaço Conector, veja o botão Visualização. Selecione esse botão para abrir a página Visualização, onde será possível sincronizar um único objeto. Essa página será útil se você estiver solucionando problemas de algumas regras de sincronização personalizadas e desejar ver o efeito de uma alteração em um único objeto. Você pode selecionar uma Sincronização completa ou uma Sincronização delta. Você também pode selecionar Gerar Visualização, que mantém apenas a alteração na memória. Ou selecionar Visualização de Confirmação, o que atualiza o metaverso e prepara todas as alterações para os espaços conectores de destino.

Screenshot of the Preview page, with Start Preview selected

Na visualização, é possível inspecionar o objeto e verificar qual regra é aplicada a um fluxo de atributos específico.

Screenshot of the Preview page, showing Import Attribute Flow

Registro

Ao lado do botão Visualização, selecione o botão Log para abrir a página Log. Veja aqui o status e o histórico de sincronização de senha. Para obter mais informações, consulte Solucionar problemas de sincronização de senha com a sincronização do Microsoft Entra Connect.

Propriedades do objeto do metaverso

Em geral, é melhor começar a pesquisa no espaço conector de origem do Active Directory. Mas também é possível começar a pesquisa no metaverso.

Pesquisar um objeto no MV

No Synchronization Service Manager, selecione Pesquisa de Metaverso, como na imagem a seguir. Crie uma consulta que você sabe que encontrará o usuário. Pesquise os atributos comuns, como accountName (sAMAccountName) e userPrincipalName. Para saber mais, confira a Pesquisa de Metaverso no Synchronization Service Manager.

Screenshot of Synchronization Service Manager, with the Metaverse Search tab selected

Na janela Resultados da Pesquisa, clique no objeto.

Se você não encontrou o objeto, ele ainda não chegou ao metaverso. Continue pesquisando o objeto no espaço conector do Active Directory. Se você encontrar o objeto no espaço do conector do Active Directory, poderá haver um erro de sincronização impedindo o objeto de ir para o metaverso ou pode haver um filtro de escopo de regra de sincronização aplicado.

Objeto não encontrado no MV

Se o objeto estiver no Active Directory CS, porém não estiver presente no MV, um filtro de escopo será aplicado. Para examinar o filtro de escopo vá ao menu de aplicativo da área de trabalho e selecione Editor de Regras de Sincronização. Filtre as regras aplicáveis ao objeto ajustando o filtro abaixo.

Screenshot of Synchronization Rules Editor, showing an inbound synchronization rules search

Exiba cada regra na lista acima e verifique o Filtro de escopo. No filtro de escopo a seguir, se o valor isCriticalSystemObject for nulo ou FALSE ou estiver vazio, ele estará no escopo.

Screenshot of a scoping filter in an inbound synchronization rule search

Vá à lista de atributos de Importação do CS e verifique qual filtro está impedindo o objeto de ir para o MV. A lista de atributos do Espaço do Conector mostrará somente atributos não nulos e não vazios. Por exemplo, se isCriticalSystemObject não estiver aparecendo na lista, o valor desse atributo será nulo ou vazio.

Objeto não encontrado no Microsoft Entra CS

Se o objeto não estiver no espaço conector do Microsoft Entra ID, mas estiver presente no MV, verifique o filtro de escopo das regras de saída do espaço conector correspondente e veja se o objeto foi filtrado porque os atributos do MV não atendem aos critérios.

Para ver o filtro de escopo de saída, selecione as regras aplicáveis ao objeto ajustando o filtro abaixo. Exiba cada regra e veja o valor do atributo do MV correspondente.

Screenshot of an outbound synchronization rules search in Synchronization Rules Editor

Atributos do MV

Na guia Atributos, é possível ver os valores e qual Conector os forneceu.

Screenshot of the Metaverse Object Properties window, with the Attributes tab selected

Se um objeto não estiver sincronizando, verifique as seguintes perguntas sobre o estado do atributo no metaverso:

  • O atributo cloudFiltered está presente e está definido como True? Se estiver, ele foi filtrado de acordo com as etapas descritas em filtragem baseada em atributo.
  • O atributo sourceAnchor está presente? Caso contrário, você tem uma topologia de floresta de conta-recurso? Se um objeto for identificado como uma caixa de correio vinculada (o atributo msExchRecipientTypeDetails tem o valor 2), o sourceAnchor será uma contribuição da floresta com uma conta do Active Directory habilitada. Verifique se a conta principal foi importada e sincronizada corretamente. A conta principal deve estar listada nos conectores do objeto.

Conectores do MV

A guia Conectores mostra todos os espaços conectores que contêm uma representação do objeto.

Screenshot of the Metaverse Object Properties window, with the Connectors tab selected

É necessário ter um conector para:

  • Cada floresta do Active Directory em que o usuário está representado. Essa representação pode incluir os objetos foreignSecurityPrincipals e Contact.
  • Um conector no Microsoft Entra ID.

Se você não tiver o conector do Microsoft Entra ID, confira a seção Atributos do MV para verificar os critérios de provisionamento no Microsoft Entra ID.

Na guia Conectores, também é possível acessar o objeto do espaço conector. Selecione uma linha e clique em Propriedades.

Próximas etapas