Felsöka ett objekt som inte synkroniseras med Azure Active Directory

Om ett objekt inte synkroniseras som förväntat med Microsoft Azure Active Directory (Azure AD) kan det bero på flera olika orsaker. Om du har fått ett fel meddelande från Azure AD eller om du ser felet i Azure AD Connect Health kan du läsa fel söknings fel under synkroniseringen i stället. Men om du felsöker ett problem där objektet inte finns i Azure AD är den här artikeln för dig. Den beskriver hur du hittar fel i den lokala komponenten Azure AD Connect-synkronisering.

Viktigt

För Azure AD Connect-distribution med version 1.1.749.0 eller högre, använder du fel söknings aktiviteten i guiden för att felsöka problem med att synkronisera objekt.

Synkroniseringsprocess

Innan vi undersöker synkroniseringsproblem kan vi förstå Azure AD Connect syncing-processen:

Diagram över Azure AD Connect Sync-processen

Terminologi

  • CS: Kopplings utrymme, en tabell i en databas
  • MV: Metaversum, en tabell i en databas

Synkroniserings steg

Synkroniseringsprocessen omfattar följande steg:

  1. Importera från AD: Active Directory objekt hämtas till Active Directory CS.

  2. Importera från Azure AD: Azure AD-objekt hämtas till Azure AD CS.

  3. Synkronisering: Regler för inkommande synkronisering och regler för utgående synkronisering körs i prioritetsordning med nummer, från lägre till högre. Om du vill visa reglerna för synkronisering går du till redigeraren för Synkroniseringsregel från Skriv bords programmen. Reglerna för inkommande synkronisering hämtar data från CS till MV. Reglerna för utgående synkronisering flyttar data från MV till CS.

  4. Exportera till AD: Efter synkroniseringen exporteras objekt från Active Directory CS till Active Directory.

  5. Exportera till Azure AD: Efter synkroniseringen exporteras objekt från Azure AD CS till Azure AD.

Felsökning

Du hittar felen genom att titta på några olika platser i följande ordning:

  1. Åtgärden loggar för att hitta fel som identifieras av Synkroniseringsmotorn under import och synkronisering.
  2. Kopplings utrymmet för att hitta saknade objekt och synkroniseringsfel.
  3. Metaversum för att hitta data relaterade problem.

Starta Synchronization Service Manager innan du börjar med de här stegen.

Operations

På fliken åtgärder i Synchronization Service Manager kan du starta fel sökningen. Den här fliken visar resultatet från de senaste åtgärderna.

Skärm bild av fliken Synchronization Service Manager, som visar fliken åtgärder valt

Den övre halvan av fliken åtgärder visar alla körningar i kronologisk ordning. Som standard behålls information om de senaste sju dagarna i drifts loggen, men den här inställningen kan ändras med Scheduler. Sök efter alla körningar som inte visar statusen lyckades . Du kan ändra sorteringen genom att klicka på rubrikerna.

Kolumnen status innehåller den viktigaste informationen och visar det allvarligaste problemet för en körning. Här är en snabb sammanfattning av de vanligaste statuserna i prioritetsordning för undersökningen (där * anger flera möjliga fel strängar).

Status Kommentar
stoppad-* Det gick inte att slutföra körningen. Detta kan inträffa, till exempel om fjärrdatorn inte är tillgänglig och inte kan kontaktas.
stoppat-fel-gräns Det finns fler än 5 000 fel. Körningen stoppades automatiskt på grund av det stora antalet fel.
slutförd- * -fel Körningen är färdig, men det finns fel (mindre än 5 000) som bör undersökas.
slutförd- * -varningar Körningen är färdig, men vissa data är inte i förväntat tillstånd. Om du har fel är det här meddelandet vanligt vis bara ett problem. Undersök inte varningar förrän du har åtgärdat fel.
lyckades Inga problem.

När du väljer en rad uppdateras slutet av fliken åtgärder för att visa information om den här körningen. Längst till vänster i det här fältet kan du ha en lista med namnet steg #. Den här listan visas bara om du har flera domäner i din skog och varje domän representeras av ett steg. Du kan hitta domän namnet under Heading- partitionen. Under rubriken synkroniserings statistik hittar du mer information om antalet ändringar som har bearbetats. Välj Länkar för att hämta en lista över de ändrade objekten. Om du har objekt med fel visas dessa fel under rubriken synkroniseringsfel .

Fel på fliken åtgärder

När du har fel visas Synchronization Service Manager både objektet i fel och felet som länkar som innehåller mer information.

Skärm bild av fel i Synchronization Service Manager
Börja med att välja fel strängen. (I föregående bild är fel strängen Synkronisera-regel-fel-Function-triggerd.) Du visas först en översikt över objektet. Om du vill se det faktiska felet väljer du stack spårning. Den här spårningen innehåller information om felsöknings nivå för felet.

Högerklicka på informations rutan anrops stack , klicka på Markera alla och välj sedan Kopiera. Kopiera sedan stacken och titta på felet i din favorit redigerare, till exempel Anteckningar.

Om felet är från SyncRulesEngine, visar anrops stacken information först alla attribut på objektet. Rulla nedåt tills du ser rubriken InnerException =>.

Skärm bild av Synchronization Service Manager som visar fel information under rubriken InnerException =>

Raden efter rubriken visar felet. I föregående bild är felet från en anpassad Synkroniseringsregel som skapats av Fabrikam.

Om felet inte ger tillräckligt med information, är det dags att titta på själva informationen. Välj länken med objekt identifieraren och fortsätt felsöka det importerade objektet för anslutnings utrymmet.

Objektegenskaper för anslutarplats

Om fliken åtgärder visar inga fel följer du kopplings rummets objekt från Active Directory till metaversum till Azure AD. I den här sökvägen bör du ta reda på var problemet finns.

Söker efter ett objekt i CS

I Synchronization Service Manager väljer du kopplingar, väljer Active Directorys anslutningen och väljer Sök kopplings utrymme.

I rutan omfattning väljer du RDN när du vill söka efter attributet CN eller väljer DN eller ankare när du vill söka efter distinguishedName -attributet. Ange ett värde och välj Sök.

Skärm bild av en kopplings utrymmes sökning

Om du inte hittar det objekt som du söker efter, kan det ha filtrerats med domänbaserade filtrering eller OU-baserad filtrering. Verifiera att filtreringen är konfigurerad som förväntat genom att läsa Azure AD Connect synkronisering: Konfigurera filtrering.

Du kan utföra en annan användbar sökning genom att välja Azure AD-anslutaren. I rutan omfattning väljer du väntande import och markerar sedan kryss rutan Lägg till . Den här sökningen ger dig alla synkroniserade objekt i Azure AD som inte kan associeras med ett lokalt objekt.

Skärm bild av överblivna i en kopplings utrymmes sökning

De objekten har skapats av en annan synkroniserings motor eller en synkroniseringstjänst med en annan filtrerings konfiguration. Dessa överblivna objekt hanteras inte längre. Granska den här listan och ta bort dessa objekt med hjälp av Azure AD PowerShell -cmdlets.

CS-import

När du öppnar ett CS-objekt finns det flera flikar överst. Fliken Importera visar de data som mellanlagras efter en import.

Skärm bild av objektet kopplings utrymme Fönstret Egenskaper med fliken Importera markerad

Kolumnen gammalt värde visar vad som för närvarande lagras i Connect, och kolumnen nytt värde visar vad som har tagits emot från käll systemet och ännu inte har använts. Om det finns ett fel på objektet bearbetas inte ändringarna.

Fliken synkroniseringsfel visas i fönstret objekt egenskaper för anslutnings utrymme endast om det är problem med objektet. Mer information finns i så här felsöker du synkroniseringsfel på fliken åtgärder.

Skärm bild av fliken synkroniseringsfel i objektet kopplings utrymme Fönstret Egenskaper

CS-härkomst

Fliken härkomst i fönstret objekt egenskaper för anslutnings utrymme visar hur kopplings områdets objekt är relaterat till metaversum-objektet. Du kan se när Connector senast importerade en ändring från det anslutna systemet och vilka regler som tillämpades för att fylla i data i metaversum.

Skärm bild som visar härkomst-fliken i objektet kopplings utrymme Fönstret Egenskaper

I föregående bild visar kolumnen åtgärd en regel för inkommande synkronisering med åtgärden etablera. Det innebär att så länge det här kopplings utrymmes objektet finns kvar, är metaversum-objektet kvar. Om listan över regler för synkronisering i stället visar en regel för utgående synkronisering med en etablerings åtgärd, tas objektet bort när metaversum-objektet tas bort.

Skärm bild av ett härkomst-fönster på fliken härkomst i objektet kopplings utrymme Fönstret Egenskaper

I föregående bild kan du också se i kolumnen PasswordSync att det inkommande anslutnings utrymmet kan bidra till att ändra lösen ordet eftersom en Synkroniseringsregel har värdet Sant. Det här lösen ordet skickas till Azure AD via regeln för utgående trafik.

På fliken härkomst kan du gå till metaversum genom att välja metaversum objekt egenskaper.

Förhandsgranskning

I det nedre vänstra hörnet av objekt fönstret Egenskaper för kopplings utrymme är knappen Förhandsgranska . Välj den här knappen för att öppna förhands gransknings sidan där du kan synkronisera ett enskilt objekt. Den här sidan är användbar om du felsöker vissa anpassade regler för synkronisering och vill se resultatet av en ändring på ett enskilt objekt. Du kan välja en fullständig synkronisering eller en delta-synkronisering. Du kan också välja generera förhands granskning, som endast behåller ändringen i minnet. Eller Välj Förhandsgranskning av incheckning, som uppdaterar metaversum och steg alla ändringar i mål kopplings utrymmen.

Skärm bild av sidan för förhands granskning med starta förhands granskning valt

I förhands granskningen kan du kontrol lera objektet och se vilken regel som tillämpas för ett visst attribut flöde.

Skärm bild av sidan för förhands granskning som visar flödet importera attribut

Loggas

Klicka på knappen Logga bredvid knappen Förhandsgranska för att öppna logg sidan. Här kan du se status och historik för Lösenordssynkronisering. Mer information finns i Felsöka hash-synkronisering av lösen ord med Azure AD Connect Sync.

Egenskaper för metaversum-objekt

Det är vanligt vis bättre att börja söka från käll Active Directory kopplings utrymme. Men du kan också börja söka från metaversum.

Söker efter ett objekt i MV

I Synchronization Service Manager väljer du metaversum search, som i följande bild. Skapa en fråga som du vet hittar användaren. Sök efter vanliga attribut, till exempel accountName (sAMAccountName) och userPrincipalName. Mer information finns i avsnittet om synkronisering Service Manager metaversum search.

Skärm bild av Synchronization Service Manager med fliken Sök metaversum vald

I fönstret Sök Resultat klickar du på objektet.

Om du inte har hittat objektet har det inte nått metaversum ännu. Fortsätt att söka efter objektet i Active Directory kopplings utrymme. Om du hittar objektet i Active Directory anslutnings utrymmet kan det finnas ett synkroniseringsfel som blockerar objektet från att komma till metaversum, eller så kan ett omfångs filter för synkroniseringsregeln tillämpas.

Objektet hittades inte i MV

Om objektet finns i Active Directory CS men inte finns i MV används ett omfångs filter. Om du vill titta på omfångs filtret går du till menyn Skriv bords program och väljer Redigeraren för regler för synkronisering. Filtrera reglerna som är tillämpliga för objektet genom att justera filtret nedan.

Skärm bild av redigeraren för regler för synkronisering som visar en sökning efter regler för inkommande synkronisering

Visa varje regel i listan ovan och kontrol lera omfångs filtret. I följande omfångs filter, om isCriticalSystemObject -värdet är null eller falskt eller tomt, finns det i omfånget.

Skärm bild av ett omfångs filter i en regel sökning för inkommande synkronisering

Gå till listan CS importera attribut och kontrol lera vilket filter som hindrar objektet från att flyttas till MV. Attributlistan för kopplings utrymme visar endast icke-null-attribut och icke-tomma attribut. Om t. ex. isCriticalSystemObject inte visas i listan, är värdet för det här attributet null eller tomt.

Objektet hittades inte i Azure AD CS

Om objektet inte finns i anslutnings utrymmet för Azure AD, men finns i MV, tittar du på omfångs filtret för utgående regler för motsvarande kopplings utrymme och tar reda på om objektet är filtrerat eftersom MV-attributen inte uppfyller kriterierna.

Om du vill titta på filtret för utgående scope väljer du tillämpliga regler för objektet genom att justera filtret nedan. Visa varje regel och titta på motsvarande värdet MV-attributvärde .

Skärm bild av en sökning i regler för regler för utgående synkronisering

MV-attribut

På fliken attribut kan du se värdena och vilka kopplingar som bidragit till dem.

Skärm bild av metaversum-objektet Fönstret Egenskaper med fliken attribut valt

Om ett objekt inte synkroniseras ställer du följande frågor om attribut tillstånd i metaversum:

  • Är attributet cloudFiltered tillgängligt och inställt på Sant? Om så är fallet har den filtrerats enligt stegen i attributbaserade filtrering.
  • Finns attributet sourceAnchor ? Om inte, har du en topologi för konto resurs skogen? Om ett objekt identifieras som en länkad post låda (attributet msExchRecipientTypeDetails har värdet 2), bidrogs sourceAnchor av skogen med ett aktiverat Active Directory-konto. Kontrol lera att huvud kontot har importer ATS och synkroniserats korrekt. Huvud kontot måste anges bland anslutningarna för objektet.

MV-kopplingar

Fliken anslutningar visar alla kopplings utrymmen som har en representation av objektet.

Skärm bild av metaversum-objektet Fönstret Egenskaper med fliken anslutningar valt

Du bör ha en koppling för att:

  • Varje Active Directory skog som användaren representeras i. Den här representationen kan innehålla foreignSecurityPrincipals -och kontakt objekt.
  • En anslutning i Azure AD.

Om du saknar anslutningen till Azure AD läser du avsnittet om MV-attribut för att kontrol lera villkoren för etablering i Azure AD.

På fliken anslutningar kan du också gå till objektet kopplings utrymme. Markera en rad och klicka på Egenskaper.

Nästa steg