Устранение неполадок объекта, который не синхронизируется с идентификатором Microsoft Entra

  • Статья

Если объект не синхронизируется должным образом с идентификатором Microsoft Entra ID, это может быть вызвано несколькими причинами. Если вы получили сообщение об ошибке из идентификатора Microsoft Entra ИЛИ вы видите ошибку в Microsoft Entra Подключение Работоспособность, ознакомьтесь с ошибками устранения неполадок во время синхронизации. Но если вы устраняете проблему, в которой объект не находится в идентификаторе Microsoft Entra, эта статья предназначена для вас. В нем описывается, как найти ошибки в локальном компоненте Microsoft Entra Подключение синхронизации.

Важно!

Для развертывания Microsoft Entra Подключение с версией 1.1.749.0 или более поздней, используйте задачу устранения неполадок в мастере для устранения неполадок с синхронизацией объектов.

Процесс синхронизации

Прежде чем исследовать проблемы синхронизации, давайте поймем процесс синхронизации Microsoft Entra Подключение:

Diagram of Microsoft Entra Connect Sync process

Терминология

  • CS — пространство соединителя, таблица в базе данных.
  • MV — метавселенная, таблица в базе данных.

Шаги синхронизации

Процесс синхронизации включает следующие шаги.

  1. Импорт из AD: объекты Active Directory переносятся в CS Active Directory.

  2. Импорт из идентификатора Microsoft Entra: объекты Microsoft Entra переносятся в CS Microsoft Entra.

  3. Синхронизация: правила входящей и исходящей синхронизации выполняются в порядке номера приоритета от меньшего к большему. Чтобы просмотреть правила синхронизации, перейдите в редактор правил синхронизации из приложений рабочего стола. Правила входящей синхронизации перемещают данные из CS в MV. Правила исходящей синхронизации перемещают данные из MV в CS.

  4. Экспорт в AD: после синхронизации объекты экспортируются из CS Active Directory в Active Directory.

  5. Экспорт в идентификатор Microsoft Entra: после синхронизации объекты экспортируются из CS Microsoft Entra CS в идентификатор Microsoft Entra.

Устранение неполадок

Чтобы найти ошибки, просмотрите несколько различных расположений в следующем порядке:

  1. Журналы операций, чтобы найти зафиксированные ошибки, определяемые модулем синхронизации во время импорта и синхронизации.
  2. Пространство соединителя, чтобы найти отсутствующие объекты и ошибки синхронизации.
  3. Метавселенная, чтобы найти проблемы, связанные с данными.

Прежде чем выполнять эти действия, запустите Synchronization Service Manager.

Operations

Начните устранение неполадок с вкладки Operations (Операции) в Synchronization Service Manager. На этой вкладке отображаются результаты последних операций.

Screenshot of Synchronization Service Manager, showing Operations tab selected

В верхней части вкладки Operations (Операции) отображены все операции выполнения в хронологическом порядке. По умолчанию журнал операций содержит сведения за последние семь дней, но эту цифру можно изменить с помощью планировщика. Ищите любые операции выполнения, которые не были завершены успешно. Вы также можете изменить порядок сортировки, щелкая заголовки.

Столбец Status (Состояние) содержит самую важную информацию, он показывает наиболее серьезные проблемы при выполнении. Ниже приводится краткая сводка наиболее распространенных состояний в порядке приоритета исследования (где * означает, что возможно несколько строк ошибки).

Состояние Комментарий
stopped-* Не удалось завершить выполнение. Это могло случиться, например, по причине того, что удаленная система не работает и с ней не удается связаться.
stopped-error-limit Обнаружено более 5000 ошибок. Выполнение было автоматически остановлено из-за большого количества ошибок.
completed-*-errors Выполнение завершено, но есть ошибки (меньше 5000), которые необходимо изучить.
completed-*-warnings Запуск завершен, но некоторые данные не находятся в ожидаемом состоянии. Если обнаружены ошибки, такое сообщение обычно является указателем. Не изучайте предупреждения, если вы еще не исправили ошибки.
успешно Проблемы отсутствуют.

При выборе строки обновляется нижняя часть вкладки Operations (Операции) и отображаются сведения об этой операции выполнения. В крайней левой части этой области может отображаться список с названием Step # (Шаг №). Он отображается, только если у вас в лесу несколько доменов и каждый домен представлен шагом. Имя домена можно найти в разделе Partition(Секция). В разделе Synchronization Statistics (Статистика синхронизации) можно найти дополнительные сведения о числе обработанных изменений. Щелкните ссылки, чтобы получить список измененных объектов. Если у вас есть объекты с ошибками, эти ошибки отображаются в разделе Synchronization Errors (Ошибки синхронизации).

Ошибки на вкладке "Operations" (Операции)

Если есть ошибки, Synchronization Service Manager показывает отображаемый в них объект и саму ошибку, представленные ссылками, перейдя по которым можно получить дополнительные сведения.

Screenshot of errors in Synchronization Service Manager
Начните с выбора строки ошибки. (На предыдущем рисунке приведена строка ошибки: sync-rule-error-function-triggered.) Сначала вам отобразятся общие сведения об объекте. Чтобы просмотреть фактическую ошибку, щелкните Stack Trace (Трассировка стека). Эта трассировка отображает информацию об ошибке уровня отладки.

Щелкните правой кнопкой мыши поле Call Stack Information (Сведения о стеке вызовов), после этого щелкните Select All (Выбрать все), а затем Copy (Копировать). После этого скопируйте стек и просмотрите ошибку в любом редакторе на ваше усмотрение, например в Блокноте.

Если получена ошибка из SyncRulesEngine, сведения о стеке вызовов сначала показывают список всех атрибутов объекта. Прокрутите вниз до заголовка InnerException =>>.

Screenshot of the Synchronization Service Manager, showing error information under the heading InnerException =>

В строке после заголовка отображается ошибка. На предыдущем рисунке ошибка получена из-за создания пользовательского правила синхронизации в Fabrikam.

Если ошибка не содержит достаточно сведений, пора изучить данные. Щелкните ссылку с идентификатором объекта и продолжите устранение неполадок в импортированном объекте пространства соединителя.

Свойства объекта пространства соединителя

Если вкладка "Операции " не отображает ошибок, следуйте объекту пространства соединителя из Active Directory к метавселенной идентификатору Microsoft Entra. На этом пути проблема должна быть выявлена.

Поиск объекта в пространстве соединителя

В Synchronization Service Manager откройте раздел Connectors (Соединители), выберите соединитель Active Directory, а затем щелкните Search Connector Space (Поиск в пространстве соединителя).

В поле Scope (Область) выберите RDN, если требуется выполнить поиск по атрибуту CN, или DN or anchor (Различающееся имя или привязка), если требуется выполнить поиск по атрибуту distinguishedName. Введите значение и нажмите кнопку Search (Поиск).

Screenshot of a connector space search

Если не удается найти искомый объект, то он мог быть отфильтрован с помощью фильтрации по доменам или фильтрации по подразделениям. Чтобы убедиться, что фильтрация настроена должным образом, ознакомьтесь с microsoft Entra Подключение Sync: настройка фильтрации.

Вы можете выполнить другой полезный поиск, выбрав microsoft Entra Подключение or. В поле Scope выберите Pending Import (Ожидание импорта), а затем установите флажок Add (Добавить). Этот поиск предоставляет все синхронизированные объекты в идентификаторе Microsoft Entra, которые не могут быть связаны с локальным объектом.

Screenshot of orphans in a connector space search

Эти объекты созданы другим модулем синхронизации или модулем синхронизации с другими настройками фильтрации. Управление этими потерянными объектами больше не осуществляется. Просмотрите этот список и рассмотрите возможность удаления этих объектов с помощью командлетов Microsoft Graph PowerShell .

Импорт в пространстве соединителя

При открытии объекта CS в верхней части отображаются несколько вкладок. На вкладке импорта отображаются данные, добавленные после импорта.

Screenshot of the Connector Space Object Properties window, with the Import tab selected

В столбце Old Value (Старое значение) отображаются объекты, в настоящее время хранящиеся в Connect. В столбце New Value (Новое значение) отображаются объекты, полученные из исходной системы и еще не примененные. Если в объекте имеется ошибка,изменения не обрабатываются.

Вкладка Synchronization Error (Ошибка синхронизации) отображается в окне Connector Space Object Properties (Свойства объекта пространства соединителя) только в том случае, если с объектом есть проблемы. Для получение дополнительных сведений ознакомьтесь с устранением ошибок синхронизации на вкладке Operations (Операции).

Screenshot of the Synchronization Error tab in the Connector Space Object Properties window

Журнал преобразований CS

На вкладке Lineage (Журнал преобразований) в окне Connector Space Object Properties (Свойства объекта пространства соединителя) показано, как объект пространства соединителя связан с объектом метавселенной. Можно увидеть, когда соединитель в последний раз импортировал изменение из подключенной системы и какие правила были применены для внесения данных в метавселенную.

Screenshot showing the Lineage tab in the Connector Space Object Properties window

На предыдущем рисунке в столбце Action (Действие) отображается правило входящей синхронизации с действием подготовки. Это значит, что объект метавселенной хранится, пока существует этот объект пространства соединителя. Если в списке правил синхронизации отображается правило исходящей синхронизации с действием подготовки, это значит, что объект удаляется вместе с объектом метавселенной.

Screenshot of a lineage window on the Lineage tab in the Connector Space Object Properties window

На предыдущем рисунке в столбце PasswordSync (Синхронизация паролей) также видно, что входящее пространство соединителя может вносить изменения в пароль, так как одно правило синхронизации имеет значение True. Этот пароль отправляется в идентификатор Microsoft Entra через правило исходящего трафика.

Со вкладки Lineage (Журнал преобразований) можно перейти к метавселенной. Для этого нужно выбрать Metaverse Object Properties (Свойства объекта метавселенной).

Предварительная версия

В левом нижнем углу окна Connector Space Object Properties (Свойства объекта пространства соединителя) находится кнопка предварительного просмотра. Нажмите эту кнопку, чтобы открыть страницу предварительного просмотра, на которой вы можете синхронизировать один объект. Эта страница полезна, если необходимо устранить ошибки некоторых пользовательских правил синхронизации и увидеть результат изменения одного объекта. Можно выбрать полную или разностную синхронизацию. Можно также выбрать Создать предварительный просмотр, чтобы сохранить изменения в памяти. или Commit Preview (Просмотр перед фиксацией), чтобы обновить метавселенную и передать все изменения в целевые пространства соединителей.

Screenshot of the Preview page, with Start Preview selected

В предварительном просмотре можно проверить объект и увидеть, какое правило применено к конкретному потоку атрибутов.

Screenshot of the Preview page, showing Import Attribute Flow

Журнал

Нажмите кнопку Log (журнал), которая находится рядом с кнопкой предварительного просмотра, чтобы открыть страницу журнала. Здесь можно проверить состояние синхронизации пароля и просмотреть историю. Дополнительные сведения см. в статье "Устранение неполадок синхронизации хэша паролей с помощью службы "Синхронизация" Подключение Microsoft Entra.

Свойства объекта метавселенной

Как правило, лучше начинать поиск с исходного пространства соединителя Active Directory. Но также можно начать поиск с метавселенной.

Поиск объекта в метавселенной (MV)

В Synchronization Service Manager щелкните Metaverse Search (Поиск в метавселенной), как показано на следующем снимке экрана. Создайте запрос, который точно найдет пользователя. Проведите поиск по распространенным атрибутам, таким как accountName (sAMAccountName) или userPrincipalName. Дополнительные сведения см. в статье Поиск в метавселенной Synchronization Service Manager.

Screenshot of Synchronization Service Manager, with the Metaverse Search tab selected

В окне Search Results (Результаты поиска) выберите объект.

Если объект не найден, то он еще не достиг метавселенной. Продолжайте поиск объекта в пространстве соединителя Active Directory. Если вы найдете объект в пространстве соединителя Active Directory, может произойти ошибка синхронизации, которая блокирует попадание объекта в метавселенную, или может быть применен фильтр области правила синхронизации.

Объект не найден в MV

Если объект находится в CS Active Directory, но отсутствует в MV, применяется фильтр области действия. Чтобы посмотреть фильтр области действия, перейдите в меню классического приложения и выберите Редактор правил синхронизации. Отфильтруйте правила, применимые к объекту, настроив фильтр, указанный ниже.

Screenshot of Synchronization Rules Editor, showing an inbound synchronization rules search

Просмотрите каждое правило в списке выше и проверьте Фильтр области действия. Если значение isCriticalSystemObject в приведенном далее фильтре области действия пустое или равно NULL или FALSE, оно находится в области действия.

Screenshot of a scoping filter in an inbound synchronization rule search

Перейдите к списку атрибутов Импорт CS и проверьте, какой фильтр блокирует перемещение объекта в MV. Список атрибутов пространства соединителя будет отображать только непустые атрибуты и атрибуты, которые не равны NULL. Например, если isCriticalSystemObject не отображается в списке, значение этого атрибута пустое или равно NULL.

Объект не найден в CS Microsoft Entra

Если объект отсутствует в пространстве соединителя идентификатора Microsoft Entra ID, но присутствует в MV, просмотрите фильтр области правил исходящего трафика соответствующего пространства соединителя и узнайте, отфильтрован ли объект, так как атрибуты MV не соответствуют критериям.

Чтобы посмотреть исходящий фильтр области действия, выберите соответствующие правила для объекта, настроив фильтр, указанный ниже. Просмотрите каждое правило и соответствующее значение атрибута MV.

Screenshot of an outbound synchronization rules search in Synchronization Rules Editor

Атрибуты метавселенной

На вкладке Attributes (Атрибуты) можно просмотреть значения и узнать, какой соединитель их передал.

Screenshot of the Metaverse Object Properties window, with the Attributes tab selected

Если объект не синхронизируется, задайте следующие вопросы о состояниях атрибутов в метавселенной.

  • Присутствует ли атрибут cloudFiltered и задано ли ему значение True? Если да, то это значит, что он был отфильтрован, как указано в разделе Фильтрация по атрибутам.
  • Присутствует ли атрибут sourceAnchor? Если нет, то есть у вас топология леса ресурсов учетной записи? Если объект определяется как связанный почтовый ящик (атрибут msExchRecipientTypeDetails имеет значение 2), атрибут sourceAnchor заполняется из леса с действующей учетной записью Active Directory. Убедитесь, что главная учетная запись правильно импортирована и синхронизирована. Главная учетная запись должна быть указана в списке соединителей для объекта.

Соединители метавселенной

На вкладке соединителей отображаются все пространства соединителя, которые включают представление объекта.

Screenshot of the Metaverse Object Properties window, with the Connectors tab selected

Необходимо иметь соединитель для:

  • каждого леса Active Directory, в котором представлен пользователь (это представление может содержать объекты foreignSecurityPrincipals и Contact).
  • Соединитель в идентификаторе Microsoft Entra.

Если соединитель отсутствует в идентификаторе Microsoft Entra, просмотрите раздел атрибутов MV, чтобы проверить критерии подготовки к идентификатору Microsoft Entra ID.

Из вкладки соединителей также можно перейти к объекту пространства соединителя. Выберите строку и щелкните Свойства.

Следующие шаги