Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Если объект не синхронизируется должным образом с идентификатором Microsoft Entra ID, это может быть вызвано несколькими причинами. Если вы получили сообщение об ошибке от Microsoft Entra ID или видите ошибку в Microsoft Entra Connect Health, прочитайте Устранение ошибок во время синхронизации. Но если вы устраняете проблему, в которой объект не находится в идентификаторе Microsoft Entra, эта статья предназначена для вас. В нем описывается, как найти ошибки в локальной синхронизации Microsoft Entra Connect.
Важный
Для развертывания Microsoft Entra Connect с версией 1.1.749.0 или более поздней используйте задачу устранения неполадок в мастере, чтобы устранить проблемы с синхронизацией объектов.
Процесс синхронизации
Прежде чем исследовать проблемы синхронизации, давайте поймем процесс синхронизации Microsoft Entra Connect:
схема процесса синхронизации Microsoft Entra Connect 
Терминология
- CS: пространство подключений, таблица в базе данных
- MV: Metaverse, таблица в базе данных
шаги синхронизации
Процесс синхронизации включает следующие действия:
Импорт из AD: объекты Active Directory переносятся в службу каталогов Active Directory.
импорт из Microsoft Entra ID: объекты Microsoft Entra импортируются в Microsoft Entra CS.
Синхронизация: правила входящей синхронизации и правила исходящей синхронизации выполняются в порядке приоритета от низшего к высшему. Чтобы просмотреть правила синхронизации, перейдите в редактор правил синхронизации из настольных приложений. Правила входящей синхронизации переносят данные из CS в MV. Правила исходящей синхронизации перемещают данные из MV в CS.
Экспорт в AD: после синхронизации объекты экспортируются из CS Active Directory в Active Directory.
Экспорт в Microsoft Entra ID: После синхронизации объекты экспортируются из Microsoft Entra CS в Microsoft Entra ID.
Устранение неполадок
Чтобы найти ошибки, ознакомьтесь с несколькими различными местами в следующем порядке:
- Журналы операций для поиска ошибок, обнаруженных подсистемой синхронизации во время импорта и синхронизации.
- Пространство соединителя для поиска отсутствующих объектов и ошибок синхронизации.
- Метавселенная для поиска проблем, связанных с данными.
Запустите Менеджер синхронизации перед тем, как начать эти действия.
Операции
Вкладка операций в Диспетчере синхронизации — это место, где следует начать устранение неполадок. На этой вкладке показаны результаты последних операций.
В верхней половине вкладки "Операции " отображаются все запуски в хронологическом порядке. По умолчанию журнал операций сохраняет сведения о последних семи днях, но этот параметр можно изменить с помощью планировщика. Найдите любой запуск, состояние которого не успешное. Вы можете изменить сортировку, выбрав заголовки.
Столбец состояния содержит наиболее важные сведения и показывает наиболее серьезную проблему для выполнения задачи. Ниже приведена краткая сводка наиболее распространенных состояний в порядке приоритета исследования (где * указывает несколько возможных строк ошибок).
| Статус | Комментарий |
|---|---|
| остановлено-* | Запуск не удалось завершить. Это может произойти, например, если удаленная система отключена и не может быть связана. |
| лимит ошибок остановлен | Существует более 5000 ошибок. Выполнение было автоматически остановлено из-за большого количества ошибок. |
| завершено-*-ошибки | Выполнение завершено, но есть ошибки (менее 5000), которые нужно исследовать. |
| завершено*-*предупреждения | Процесс завершился, но некоторые данные не в ожидаемом состоянии. Если возникают ошибки, это сообщение является только симптомом. Не изучайте предупреждения, пока не удается устранить ошибки. |
| успех | Нет проблем. |
Когда вы выбираете строку, нижняя часть вкладки "Операции " обновляется, чтобы отобразить сведения об этом запуске. На крайней левой стороне этой области может быть список под названием Шаг #. Этот список отображается только в том случае, если в форесте есть несколько доменов, и каждый домен представлен в виде шага. Доменное имя можно найти в заголовке секции. В заголовке статистики синхронизации можно найти дополнительные сведения о количестве обработанных изменений. Выберите ссылки, чтобы получить список измененных объектов. Если есть объекты с ошибками, эти ошибки отображаются под заголовком Ошибки синхронизации.
Ошибки на вкладке "Операции"
При возникновении ошибок Диспетчер синхронизации отображает как объект в ошибке, так и сам объект в качестве ссылок, которые предоставляют дополнительные сведения.
Диспетчере синхронизации
Начните с выбора строки ошибки. (На предыдущем рисунке строка ошибки sync-rule-error-function-triggered.) Сначала предоставляется общий вид объекта. Чтобы увидеть фактическую ошибку, выберите Трассировка стека. Эта трассировка предоставляет информацию уровня отладки об ошибке.
Щелкните правой кнопкой на поле Сведения о стеке вызовов, выберите Выбрать все, а затем выберите Копировать. Затем скопируйте стек и просмотрите ошибку в избранном редакторе, например Блокнот.
Если ошибка возникает из SyncRulesEngine, сведения о стеке вызовов сначала перечисляют все атрибуты объекта. Прокрутите вниз, пока не увидите заголовок InnerException =>.
Строка после заголовка отображает ошибку. На предыдущем рисунке ошибка возникает из настраиваемого правила синхронизации, созданного Fabrikam.
Если ошибка не дает достаточно информации, пришло время посмотреть на сами данные. Выберите ссылку с идентификатором объекта и продолжайте устранение неполадок импортированного объектав пространстве соединителя
Свойства объекта пространства соединителя
Если вкладка Operations не отображает ошибок, проследуйте за объектом пространства соединителя из Active Directory в мета-систему до Microsoft Entra ID. В этом пути необходимо найти, где находится проблема.
Поиск объекта в CS
В диспетчере служб синхронизации выберите соединители, выберите соединитель Active Directory и пространство соединителя поиска.
В поле Scope выберите RDN, если хотите выполнить поиск по атрибуту CN, или выберите DN или anchor, если хотите выполнить поиск по атрибуту distinguishedName. Введите значение и выберите Поиск.
Если вы не нашли нужный объект, возможно, он был отфильтрован с помощью фильтрации на основе домена или фильтрации на основе организационной единицы . Чтобы убедиться, что фильтрация настроена должным образом, прочтите: Microsoft Entra Connect Sync: Настройка фильтрации.
Вы можете выполнить другой полезный поиск, выбрав соединитель Microsoft Entra. В поле Область выберите Ожидающий импорт, а затем установите флажок Добавить. Этот поиск предоставляет все синхронизированные объекты в идентификаторе Microsoft Entra, которые не могут быть связаны с локальным объектом.
Эти объекты были созданы другим механизмом синхронизации или подсистемой синхронизации с другой конфигурацией фильтрации. Эти осиротевшие объекты больше не управляются. Просмотрите этот список и рассмотрите возможность удаления этих объектов с помощью командлетов Microsoft Graph PowerShell.
Импорт CS
При открытии объекта CS вверху есть несколько вкладок. На вкладке Импорт показаны данные, которые подготавливаются после импорта.
В столбце "Старое значение" указано, что сейчас хранится в Connect. В столбце New Value показано, что получено из исходной системы и пока не применяется. Если в объекте возникает ошибка, изменения не обрабатываются.
Вкладка об ошибке синхронизации отображается в окне свойств объекта в пространстве соединителя только при возникновении проблемы с объектом. Для получения дополнительной информации ознакомьтесь с тем, как устранять ошибки синхронизации на вкладке операций.
Происхождение CS
Вкладка Родословная в окне Свойства объекта пространства соединителя показывает, как объект пространства соединителя связан с объектом метавселенной. Вы можете увидеть, когда соединитель последний импортировал изменение из подключенной системы и какие правила применяются для заполнения данных в метавселенной.
На предыдущем рисунке столбец действие показывает правило входящей синхронизации с действием обеспече́ние. Это означает, что до тех пор, пока этот объект пространства подключения присутствует, объект метавселенной будет существовать. Если вместо этого в списке правил синхронизации отображается правило исходящей синхронизации с действием Provision, этот объект будет удалён при удалении объекта метавселенной.
На предыдущем рисунке также можно увидеть в столбце PasswordSync, что пространство входящего соединителя может внести изменения в пароль, так как одно правило синхронизации имеет значение True. Этот пароль отправляется в Microsoft Entra ID через исходящее правило.
На вкладке lineage вы можете добраться до метавселенной, выбрав свойства объекта метавселенной.
Предварительный просмотр
В левом нижнем углу окна свойства объекта пространства соединителя находится кнопка Предварительный просмотр. Нажмите эту кнопку, чтобы открыть страницу предпросмотра, где можно синхронизировать один объект. Эта страница полезна, если вы устраняете неполадки с некоторыми пользовательскими правилами синхронизации и хотите увидеть влияние изменения на один объект. Можно выбрать полную синхронизацию или дельта-синхронизацию. Вы также можете выбрать создать предварительный просмотр, который сохраняет изменения только в памяти. Или выберите предварительный просмотр фиксации, который обновляет метавселенную и подготавливает все изменения в целевых пространствах соединителей.
В предварительной версии можно проверить объект и увидеть, какое правило применяется для определенного потока атрибутов.
Журнал
Рядом с кнопкой предварительной версии выберите кнопку журнала , чтобы открыть страницу журнала . Здесь можно увидеть состояние и историю синхронизации паролей. Дополнительные сведения см. в разделе Устранение неполадок синхронизации хэша паролей с помощью Microsoft Entra Connect Sync.
Свойства объекта Metaverse
Лучше начать поиск из исходного пространства соединителя Active Directory. Но вы также можете начать поиск из метавселенной.
Поиск объекта в MV
В Диспетчере синхронизации выберите Поиск по метавселенной, как показано на следующем рисунке. Создайте запрос, который, как вы знаете, находит пользователя. Выполните поиск распространенных атрибутов, таких как accountName (sAMAccountName) и userPrincipalName. Для получения дополнительной информации см. поиск в диспетчере службы синхронизации Метавселенной.
В окне результатов поиска
Если вы не нашли объект, он не достиг метавселенной. Продолжайте искать объект в пространстве соединителя Active Directory connector space. Если объект находится в пространстве соединителя Active Directory, может возникнуть ошибка синхронизации, которая блокирует переход объекта к метавселенной. Или может применяться фильтр области правил синхронизации.
Объект не найден в MV
Если объект находится в CS Active Directory, но отсутствует в MV, применяется фильтр области. Чтобы просмотреть фильтр области, перейдите в меню настольного приложения и выберите редактор правил синхронизации . Отфильтруйте правила, применимые к объекту, изменив приведенный ниже фильтр.
Просмотрите каждое правило из списка выше и проверьте фильтр области охвата . В следующем фильтре области, если значение isCriticalSystemObject является NULL, FALSE или пустым, оно находится в области охвата.
Перейдите в список атрибутов CS Import и проверьте, какой фильтр блокирует перемещение объекта в MV. В списке атрибутов пространства соединителя
Объект не найден в CS Microsoft Entra
Если объект отсутствует в пространстве соединителя идентификатора Microsoft Entra ID, но присутствует в MV, просмотрите фильтр области правил исходящего трафика соответствующего пространства соединителя. Определите, отфильтрован ли объект, так как атрибуты MV не соответствуют критериям.
Чтобы просмотреть фильтр области применения для исходящего трафика, выберите применимые правила для объекта, изменив следующий фильтр. Просмотрите каждое правило и посмотрите на значение атрибута MV.
Атрибуты MV
На вкладке Атрибуты вы можете видеть значения и какие соединители способствовали их появлению.
Если объект не синхронизируется, задайте следующие вопросы о состояниях атрибутов в метавселенной:
- Присутствует ли атрибут cloudFiltered и имеет значение True? Если да, то фильтрация выполняется в соответствии с шагами, описанными в фильтрации на основе атрибутов.
- Присутствует ли атрибут sourceAnchor? Если нет, у вас есть топология леса учётных записей-ресурсов? Если объект определяется как связанный почтовый ящик (атрибут msExchRecipientTypeDetails имеет значение 2), sourceAnchor вносится лесом с включенной учетной записью Active Directory. Убедитесь, что главная учетная запись импортирована и синхронизирована правильно. Главная учетная запись должна быть указана среди соединителей для объекта.
Соединители MV
На вкладке соединителей отображаются все пространства для соединителей, имеющие представление объекта.
Вам нужен соединитель для:
- Каждый лес Active Directory, в котором представлен пользователь. Это представление может включать объекты foreignSecurityPrincipals и Contact.
- Коннектор в Microsoft Entra ID.
Если у вас отсутствует соединитель для Microsoft Entra ID, ознакомьтесь с разделом атрибуты MV, чтобы проверить критерии для предоставления в Microsoft Entra ID.
На вкладке Соединители можно ещё перейти к объекту пространства соединителей . Выберите строку и выберите Свойства.