Diagnostisera och åtgärda synkroniseringsfel med duplicerade attribut
Översikt
Microsoft Entra Anslut Health tar ett steg längre för att markera synkroniseringsfel och introducerar självbetjäningsreparation. Den felsöker duplicerade attributsynkroniseringsfel och åtgärdar objekt som är överblivna från Microsoft Entra-ID. Diagnosfunktionen har följande fördelar:
- Det ger en diagnostisk procedur som begränsar duplicerade attributsynkroniseringsfel. Och det ger specifika korrigeringar.
- Den tillämpar en korrigering för dedikerade scenarier från Microsoft Entra-ID för att lösa felet i ett enda steg.
- Ingen uppgradering eller konfiguration krävs för att aktivera den här funktionen. Mer information om Microsoft Entra-ID finns i Identitetssynkronisering och dubblettattributåterhämtning.
Problem
Ett vanligt scenario
När synkroniseringsfelen QuarantinedAttributeValueMustBeUnique och AttributeValueMustBeUnique inträffar är det vanligt att se en konflikt mellan UserPrincipalName - eller Proxyadresser i Microsoft Entra-ID. Du kan lösa synkroniseringsfelen genom att uppdatera det motstridiga källobjektet från den lokala sidan. Synkroniseringsfelet löses efter nästa synkronisering. Den här bilden anger till exempel att två användare har en konflikt med userPrincipalName. Båda är Joe.J@contoso.com. De motstridiga objekten placeras i karantän i Microsoft Entra-ID.
Scenario för överblivna objekt
Ibland kan det hända att en befintlig användare förlorar källankarpunkten. Borttagningen av källobjektet skedde i lokal Active Directory. Men ändringen av borttagningssignalen synkroniserades aldrig med Microsoft Entra-ID. Den här förlusten inträffar av orsaker som problem med synkroniseringsmotorn eller domänmigrering. När samma objekt återställs eller återskapas, logiskt sett, bör en befintlig användare vara den användare som ska synkroniseras från källankarpunkten.
När en befintlig användare är ett molnbaserat objekt kan du också se den motstridiga användaren synkroniserad med Microsoft Entra-ID. Användaren kan inte matchas i synkronisering med det befintliga objektet. Det finns inget direkt sätt att mappa om källankarpunkten. Läs mer om de befintliga kunskapsbas.
Till exempel bevarar det befintliga objektet i Microsoft Entra ID licensen för Joe. Ett nyligen synkroniserat objekt med en annan källankare inträffar i ett duplicerat attributtillstånd i Microsoft Entra-ID. Ändringar för Joe i lokal Active Directory tillämpas inte på Joes ursprungliga användare (befintligt objekt) i Microsoft Entra-ID.
Diagnostik- och felsökningssteg i Anslut Health
Diagnosfunktionen stöder användarobjekt med följande duplicerade attribut:
| Attribute name | Feltyper för synkronisering |
|---|---|
| UserPrincipalName | QuarantinedAttributeValueMustBeUnique eller AttributeValueMustBeUnique |
| ProxyAddresses | QuarantinedAttributeValueMustBeUnique eller AttributeValueMustBeUnique |
| SipProxyAddress | AttributeValueMustBeUnique |
| OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
Viktigt!
För att få åtkomst till den här funktionen krävs behörighet som global administratör eller deltagare från Azure RBAC.
Följ stegen från administrationscentret för Microsoft Entra för att begränsa synkroniseringsfelinformationen och tillhandahålla mer specifika lösningar:
Från administrationscentret för Microsoft Entra vidtar du några steg för att identifiera specifika scenarier som kan åtgärdas:
- Kontrollera kolumnen Diagnostisera status. Statusen visar om det finns ett möjligt sätt att åtgärda ett synkroniseringsfel direkt från Microsoft Entra-ID. Det finns med andra ord ett felsökningsflöde som kan begränsa felfallet och eventuellt åtgärda det.
| Status | Vad betyder det? |
|---|---|
| Ej startat | Du har inte besökt den här diagnosprocessen. Beroende på diagnostikresultatet finns det ett potentiellt sätt att åtgärda synkroniseringsfelet direkt från portalen. |
| Manuell korrigering krävs | Felet passar inte in i kriterierna för tillgängliga korrigeringar från portalen. Antingen är objekttyper som är i konflikt inte användare eller så har du redan gått igenom diagnostikstegen och ingen korrigeringsmatchning var tillgänglig från portalen. I det senare fallet är en korrigering från den lokala sidan fortfarande en av lösningarna. Läs mer om lokala korrigeringar. |
| Väntar på synkronisering | En korrigering tillämpades. Portalen väntar på att nästa synkroniseringscykel ska rensa felet. |
Viktigt!
Kolumnen diagnostikstatus återställs efter varje synkroniseringscykel.
Välj knappen Diagnostisera under felinformationen. Du svarar på några frågor och identifierar synkroniseringsfelinformationen. Svar på frågorna hjälper dig att identifiera ett överblivet objektfall.
Om knappen Stäng visas i slutet av diagnostiken finns det ingen snabbkorrigering tillgänglig från portalen baserat på dina svar. Se lösningen som visades i det sista steget. Korrigeringar lokalt är fortfarande lösningarna. Välj knappen Stäng. Statusen för det aktuella synkroniseringsfelet växlar till Manuell korrigering krävs. Statusen förblir under den aktuella synkroniseringscykeln.
När ett överblivet objektärende har identifierats kan du åtgärda synkroniseringsfelen för duplicerade attribut direkt från portalen. Om du vill utlösa processen väljer du knappen Tillämpa korrigering . Status för det aktuella synkroniseringsfelet uppdateras till Väntande synkronisering.
Efter nästa synkroniseringscykel bör felet tas bort från listan.
Så här besvarar du diagnosfrågorna
Finns användaren i din lokal Active Directory?
Den här frågan försöker identifiera källobjektet för den befintliga användaren från lokal Active Directory.
- Kontrollera om Microsoft Entra ID har ett objekt med angivet UserPrincipalName. Annars svarar du nej.
- Om det gör det kontrollerar du om objektet fortfarande är i omfånget för synkronisering.
- Sök i Microsoft Entra-anslutningsutrymmet med hjälp av DN.
- Om objektet hittas i läget Väntande lägg till svarar du Nej. Microsoft Entra Anslut kan inte ansluta objektet till rätt Microsoft Entra-objekt.
- Om objektet inte hittas svarar du Ja.
I de här exemplen försöker frågan identifiera om Joe Jackson fortfarande finns i lokal Active Directory. För det vanliga scenariot finns både användarna Joe Johnson och Joe Jackson i lokal Active Directory. Objekten i karantän är två olika användare.
För scenariot med överblivna objekt finns endast den enskilde användaren Joe Johnson i lokal Active Directory:
Tillhör båda dessa konton samma användare?
Den här frågan kontrollerar en inkommande användare i konflikt och det befintliga användarobjektet i Microsoft Entra-ID:t för att se om de tillhör samma användare.
- Det motstridiga objektet har nyligen synkroniserats med Microsoft Entra-ID. Jämför objektens attribut:
- Visningsnamn
- UserPrincipalName eller SignInName
- ObjectID
- Om Microsoft Entra-ID:t inte kan jämföra dem kontrollerar du om Active Directory har objekt med angivna UserPrincipalNames. Svara Nej om du hittar båda.
I följande exempel tillhör de två objekten samma användare Joe Johnson.
Vad händer efter att korrigeringen har tillämpats i scenariot med överblivna objekt
Baserat på svaren på föregående frågor visas knappen Tillämpa korrigering när det finns en korrigering tillgänglig från Microsoft Entra-ID. I det här fallet synkroniseras det lokala objektet med ett oväntat Microsoft Entra-objekt. De två objekten mappas med hjälp av Källankare. Ändringen Tillämpa korrigering utför följande eller liknande steg:
- UppdateringarKällankare till rätt objekt i Microsoft Entra-ID.
- Tar bort det motstridiga objektet i Microsoft Entra-ID om det finns.
Viktigt!
Ändringen Tillämpa korrigering gäller endast för överblivna objektfall.
Efter föregående steg kan användaren komma åt den ursprungliga resursen, som är en länk till ett befintligt objekt. Värdet Diagnostisera status i listvyn uppdateras till Väntande synkronisering. Synkroniseringsfelet löses efter nästa synkronisering. Anslut Health visar inte längre det lösta synkroniseringsfelet i listvyn.
Fel och felmeddelanden
Användare med attribut som står i konflikt tas bort mjukt i Microsoft Entra-ID:t. Se till att användaren tas bort hårt innan du försöker igen.
Användaren med ett attribut i konflikt i Microsoft Entra-ID bör rensas innan du kan tillämpa korrigeringen. Ta en titt på hur du tar bort användaren permanent i Microsoft Entra-ID innan du försöker åtgärda problemet igen. Användaren tas också bort permanent efter 30 dagar i mjukt borttaget tillstånd.
Det går inte att uppdatera källankare till molnbaserad användare i klientorganisationen.
Molnbaserad användare i Microsoft Entra-ID bör inte ha källankare. Uppdatering av källankare stöds inte i det här fallet. Manuell korrigering krävs lokalt.
Korrigeringsprocessen kunde inte uppdatera värdena. De specifika inställningarna, till exempel UserWriteback i Microsoft Entra Anslut, stöds inte. Inaktivera i inställningarna.
Vanliga frågor
F. Vad händer om körningen av apply fix misslyckas?
A. Om körningen misslyckas är det möjligt att Microsoft Entra Anslut kör ett exportfel. Uppdatera portalsidan och försök igen efter nästa synkronisering. Standardsynkroniseringscykeln är 30 minuter.
F. Vad händer om det befintliga objektet ska vara det objekt som ska tas bort?
A. Om det befintliga objektet ska tas bort innebär processen inte någon ändring av Källankare. Vanligtvis kan du åtgärda det från lokal Active Directory.
F. Vilken behörighet behöver en användare för att tillämpa korrigeringen?
A.Global administratör, eller deltagare från Azure RBAC, har behörighet att komma åt diagnostik- och felsökningsprocessen.
F. Måste jag konfigurera Microsoft Entra Anslut eller uppdatera Microsoft Entra Anslut Health-agenten för den här funktionen?
A. Nej, diagnosprocessen är en komplett molnbaserad funktion.
F. Kommer diagnosprocessen att göra objektet aktivt igen om det befintliga objektet tas bort mjukt?
A. Nej, korrigeringen uppdaterar inte andra objektattribut än Källankare.