Сквозное устранение неполадок объектов и атрибутов Microsoft Entra Connect

Эта статья предназначена для создания общей практики устранения неполадок синхронизации в идентификаторе Microsoft Entra.

Этот метод используется, если объект или атрибут не синхронизирован с каталогом идентификатора Microsoft Entra ID, а ошибки не отображаются в обработчике синхронизации, журналах средства просмотра событий приложений или журналах Microsoft Entra. Легко потеряться в деталях, если нет очевидной ошибки. Однако, используя рекомендации, вы можете изолировать проблему и предоставить аналитические сведения для служба поддержки Майкрософт инженеров.

При применении этого метода устранения неполадок к вашей среде с течением времени вы сможете выполнить следующие действия:

• Устранение неполадок логики подсистемы синхронизации с конца до конца.
• Более эффективно устранять проблемы синхронизации.
• Более быстро определите проблемы, прогнозируя шаг, в котором они происходят.
• Определите отправную точку для просмотра данных.
• Определите оптимальное разрешение.

Описанные здесь действия начинаются с локального уровня Active Directory и прогресса по отношению к идентификатору Microsoft Entra. Эти шаги являются наиболее распространенным направлением синхронизации. Однако те же принципы применяются к обратному направлению (например, для обратной записи атрибутов).

Необходимые условия

Для лучшего понимания этой статьи сначала ознакомьтесь со следующими статьями о предварительных требованиях, чтобы лучше понять, как искать объект в разных источниках, а также понять, как проверить соединители и происхождение объекта.

• Учетные записи и разрешения для Microsoft Entra Connect
• Устранение неполадок объекта, который не синхронизируется с идентификатором Microsoft Entra
• Устранение неполадок с синхронизацией объектов в службе синхронизации Microsoft Entra Connect

Неэффективные методики устранения неполадок

Атрибут onPremisesSyncEnabled в идентификаторе Microsoft Entra определяет, готов ли клиент принять синхронизацию объектов из локальной службы AD DS.

При устранении неполадок с синхронизацией объектов или атрибутов в клиенте обычно отключается DirSync. Синхронизация каталогов может быть отключена с помощью Graph или PowerShell. Однако этот процесс может привести к сбоям.

Отключение DirSync на уровне клиента запускает сложную и длинную серверную операцию для передачи источника центра (SoA) из локального Active Directory в идентификатор Microsoft Entra ID и Exchange Online для всех синхронизированных объектов в клиенте. Эта операция необходима для преобразования каждого объекта из onPremisesSyncEnabled=True облачного объекта (onPremisesSyncEnabled=<null>) и очистки всех теневых свойств, синхронизированных из локальной службы AD DS (например, ShadowUserPrincipalName и ShadowProxyAddresses). В зависимости от размера клиента эта операция может занять более 72 часов, и его время завершения не может быть предсказано.

Не используйте этот метод для устранения проблемы синхронизации, так как такая операция может привести к большему ущербу и не исправляет корневую проблему. Невозможно снова включить DirSync, пока эта операция отключения не завершится. После повторного включения DirSync сервер Entra Connect должен соответствовать всем локальным объектам с существующими объектами идентификатора Microsoft Entra ID.

Отключение DirSync поддерживается только в следующих сценариях:

• Вы удаляете локальный сервер синхронизации и хотите полностью управлять удостоверениями из облака, а не из гибридных удостоверений.
• У вас есть синхронизированные объекты в клиенте, который вы хотите сохранить как облачный только в идентификаторе Microsoft Entra и удалить из локальной службы AD постоянно.
• В настоящее время вы используете настраиваемый атрибут в качестве sourceAnchor в Entra Connect (например, employeeId), и вы повторно устанавливаете AADC, чтобы начать использовать ms-Ds-Consistency-Guid/ObjectGuid в качестве нового атрибута SourceAnchor (или наоборот).
• Некоторые сценарии в стратегии миграции почтовых ящиков могут привести к потенциальным проблемам.

В некоторых ситуациях может потребоваться временно остановить синхронизацию или вручную контролировать циклы синхронизации Entra Connect. Например, может потребоваться приостановить синхронизацию для выполнения одного шага синхронизации за раз. Вместо отключения DirSync можно просто остановить планировщик синхронизации, выполнив следующий командлет:

Set-ADSyncScheduler -SyncCycleEnabled $false

Когда вы будете готовы, восстановите обычный планировщик синхронизации, выполнив следующий командлет:

Start-ADSyncSyncCycle

Глоссарий

Шаг 1. Синхронизация между ADDS и ADCS

Цель шага 1

Определите, присутствует ли объект или атрибут в ADCS. Если объект можно найти в ADCS, а все атрибуты имеют ожидаемые значения, перейдите к шагу 2.

Описание шага 1

Синхронизация между ADDS и ADCS происходит на шаге импорта и является моментом, когда AADC считывает из исходного каталога и сохраняет данные в базе данных. То есть, когда данные этапируются в пространстве соединителя. Во время разностного импорта из AD AADC запрашивает все новые изменения, произошедшие после заданного водяного знака каталога. Этот вызов инициируется AADC с помощью элемента управления DirSync служб каталогов для службы репликации Active Directory. Этот шаг предоставляет последнюю подложку в качестве последнего успешного импорта AD и предоставляет ad ссылку на точку во времени, когда все изменения (разностные) должны быть извлечены. Полный импорт отличается, так как AADC импортирует из ADCS все данные в области синхронизации, а затем помечает как устаревшие (и удаляет) все объекты, которые по-прежнему находятся в ADCS, но не были импортированы из AD. Все данные между AD и AADC передаются через LDAP и шифруются по умолчанию.

Если подключение к AD выполнено успешно, но объект или атрибут не присутствует в ADCS (если домен или объект находится в области синхронизации), проблема, скорее всего, включает разрешения ADDS. AdCA требует минимальных разрешений на чтение объекта в AD для импорта данных в AD. По умолчанию учетная запись MSOL имеет явные разрешения на чтение и запись для всех свойств пользователя, группы и компьютера. Однако эта ситуация может по-прежнему быть проблематичной, если следующие условия верны:

• AADC использует пользовательский ADCA, но он не был предоставлен достаточный объем разрешений в AD.
• Родительское подразделение заблокировано наследование, которое предотвращает распространение разрешений из корневого каталога домена.
• Сам объект или атрибут имеет заблокированное наследование, которое предотвращает распространение разрешений.
• Объект или атрибут имеет явное разрешение "Запретить", которое не позволяет ADCA читать его.

Устранение неполадок Active Directory

Подключение к AD

На шаге "Импорт из AD" в диспетчере синхронизации показано, какой контроллер домена связывается в разделе "Состояние подключения". Скорее всего, вы увидите ошибку здесь, когда возникает проблема с подключением, которая влияет на AD.

Если вам нужно дополнительно устранить неполадки с подключением к AD, особенно если ошибки не возникают на сервере Microsoft Entra Connect или если вы еще находитесь в процессе установки продукта, начните с использования ADConnectivityTool.

Проблемы с подключением к ADDS имеют следующие причины:

• Недопустимые учетные данные AD. Например, срок действия ADCA истек или пароль изменился.
• Ошибка "сбой поиска", которая возникает, когда элемент управления DirSync не взаимодействует со службой репликации AD, как правило, из-за фрагментации пакетов с высокой сетью.
• Ошибка "no-start-ma", которая возникает при возникновении проблем с разрешением имен (DNS) в AD.
• Другие проблемы, которые могут быть вызваны проблемами разрешения имен, проблемами маршрутизации сети, заблокированными сетевыми портами, фрагментацией большого сетевого пакета, доступными для записи, и т. д. В таких случаях вам, скорее всего, придется включить службы каталогов или группы поддержки сети, чтобы помочь устранить неполадки.

Сводка по устранению неполадок:

• Определите, какой контроллер домена используется.
• Используйте предпочтительный контроллер домена для назначения того же контроллера домена.
• Правильно определите ADCA.
• Используйте ADConnectivityTool для выявления проблемы.
• Используйте средство LDP, чтобы попытаться привязаться к контроллеру домена с ADCA.
• Чтобы устранить неполадки, обратитесь к службам каталогов или группе поддержки сети.

Запуск средства устранения неполадок синхронизации

После устранения неполадок с подключением AD запустите средство синхронизации объектов, так как это может обнаружить самые очевидные причины, по которым объект или атрибут не синхронизируется.

Разрешения AD

Отсутствие разрешений AD может повлиять на оба направления синхронизации:

• При импорте из ADDS в ADCS отсутствие разрешений может привести к пропуску объектов или атрибутов AADC, чтобы AADC не смог получить обновления ADDS в потоке импорта. Эта ошибка возникает, так как ADCA не имеет достаточных разрешений для чтения объекта.
• При экспорте из ADCS в ADDS отсутствие разрешений создает ошибку экспорта "разрешение-проблема".

Чтобы проверить разрешения, откройте окно свойств объекта AD, выберите> "Дополнительно", а затем проверьте разрешения или запретить списки управления доступом объекта, нажав кнопку "Отключить наследование" (если наследование включено). Вы можете отсортировать содержимое столбца по типу , чтобы найти все разрешения "запретить". Разрешения AD могут значительно отличаться. Однако по умолчанию для доверенной подсистемы Exchange может отображаться только одно значение ACL "Запретить ACL". Большинство разрешений будут помечены как Allow.

Ниже приведены наиболее важные разрешения по умолчанию:

• Прошедшие проверку

  

• Все пользователи

  

• Пользовательская учетная запись ADCA или MSOL

  

• Доступ, совместимый с Windows 2000

  

• SELF

  

Лучший способ устранения неполадок с разрешениями — использовать функцию "Эффективный доступ" в консоли пользователей и компьютеров AD. Эта функция проверяет действующие разрешения для данной учетной записи (ADCA) в целевом объекте или атрибуте, который требуется устранить.

Сводка по устранению неполадок:

• Определите, какой контроллер домена используется.
• Используйте предпочтительный контроллер домена для назначения того же контроллера домена.
• Правильно определите ADCA.
• Используйте средство настройки разрешений учетной записи соединителя AD DS.
• Используйте функцию "Эффективный доступ" в ad Users and Computers.
• Используйте средство LDP, чтобы привязаться к контроллеру домена, который имеет ADCA, и попытаться прочитать неудачный объект или атрибут.
• Временно добавьте ADCA администраторам предприятия или администраторам домена и перезапустите службу ADSync.

Репликации AD

Эта проблема, скорее всего, влияет на Microsoft Entra Connect, так как это приводит к большим проблемам. Однако, когда Microsoft Entra Connect импортирует данные из контроллера домена с помощью отложенной репликации, он не импортирует последние сведения из AD, что приводит к проблемам синхронизации, в которых объект или атрибут, недавно созданный или измененный в AD, не синхронизируется с идентификатором Microsoft Entra ID, так как он не был реплицирован на контроллер домена, к которому обращается Microsoft Entra Connect. Чтобы убедиться, что это проблема, проверьте контроллер домена, используемый AADC для импорта (см. раздел "Подключение к AD"), и используйте консоль ad Users and Computers для прямого подключения к этому серверу (см. раздел "Изменить контроллер домена" на следующем изображении). Затем убедитесь, что данные на этом сервере соответствуют последним данным и соответствуют ли они соответствующим данным ADCS. На этом этапе AADC создаст большую нагрузку на контроллер домена и сетевой уровень.

Другой подход — использовать средство RepAdmin для проверки метаданных репликации объекта на всех контроллерах домена, получения значения от всех контроллеров домена и проверки состояния репликации между контроллерами домена:

• Значение атрибута из всех контроллеров домена:

  RepAdmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

  

• Метаданные объекта из всех контроллеров домена:

  RepAdmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

  

• Сводка по репликации AD

  RepAdmin /replsummary

  

Сводка по устранению неполадок:

• Определите, какой контроллер домена используется.
• Сравнение данных между контроллерами домена.
• Анализ результатов RepAdmin.
• Обратитесь к службам каталогов или группе поддержки сети, чтобы устранить проблему.

Изменения домена и подразделения, а также типы объектов или атрибуты, отфильтрованные или исключенные в соединителе ADDS

• Для изменения домена или фильтрации подразделений требуется полный импорт

  Помните, что даже если проверка фильтрации домена или подразделения подтверждается, любые изменения в домене или фильтрации подразделений вступили в силу только после выполнения полного шага импорта.

• Фильтрация атрибутов с помощью приложения Microsoft Entra и фильтрации атрибутов

  Простой сценарий для атрибутов, не синхронизирующихся, — это когда Microsoft Entra Connect настраивается с помощью функции фильтрации атрибутов и приложения Microsoft Entra. Чтобы проверить, включена ли функция и для каких атрибутов, получите отчет об общей диагностике из задачи устранения неполадок или запустите из (Get-ADSyncGlobalSettings).Parameters | where Name -eq 'Microsoft.OptionalFeature.FilterAAD' | select Name, Value PowerShell.

• Тип объекта, исключенный в конфигурации соединителя ADDS

  Эта ситуация обычно не возникает для пользователей и групп. Однако если все объекты определенного типа объекта отсутствуют в ADCS, может быть полезно проверить, какие типы объектов включены в конфигурации соединителя ADDS.

Get-ADSyncConnector Используйте командлет, чтобы получить типы объектов, включенные в соединителе, как показано на следующем рисунке.

$connectorName = "Contoso.com"
(Get-ADSyncConnector | where Name -eq $connectorName).ObjectInclusionList`

В следующем списке показаны типы объектов, которые должны быть включены по умолчанию ( publicFolder тип объекта существует только в том случае, если включена функция общедоступной папки с поддержкой почты.):

• Атрибут, исключенный в ADCS

  Таким же образом, если атрибут отсутствует для всех объектов, проверьте, выбран ли атрибут в соединителе AD.

  Чтобы проверить включенные атрибуты в соединителе ADDS, используйте диспетчер синхронизации, как показано на следующем изображении, или выполните следующий командлет PowerShell:

  $connectorName = "Contoso.com"
  (Get-ADSyncConnector | where Name -eq $connectorName).AttributeInclusionList
  

  

  Важно!

  Включение или исключение типов объектов или атрибутов в диспетчере синхронизации не поддерживается.

Сводка по устранению неполадок:

• Проверка функции фильтрации атрибутов и приложения Microsoft Entra
• Убедитесь, что тип объекта включен в ADCS.
• Убедитесь, что атрибут включен в ADCS.
• Выполните полный импорт.

Ресурсы для шага 1

Основные ресурсы:

• Get-ADSyncConnectorAccount — определение правильной учетной записи соединителя, используемой AADC

• ADConnectivityTool

• Определение проблем с подключением с помощью ADDS

• Trace-ADSyncToolsADImport (ADSyncTools) — данные трассировки, импортируемые из ADDS

• LDIFDE — объект дампа из ADDS для сравнения данных между ADDS и ADCS

• LDP — проверка подключения и разрешений привязки AD для чтения объекта в контексте безопасности ADCA

• DSACLS — сравнение и оценка разрешений ADDS

• Разрешения компонентов >Set-ADSync<. Применение разрешений AADC по умолчанию в ADDS

• RepAdmin — проверка метаданных объекта AD и состояния репликации AD

Шаг 2. Синхронизация между ADCS и MV

Цель шага 2

На этом шаге проверяется, передается ли объект или атрибут из CS в MV (другими словами, проектируется ли объект или атрибут в MV). На этом этапе убедитесь, что объект присутствует или что атрибут правильно в ADCS (на шаге 1), а затем начните смотреть на правила синхронизации и происхождение объекта.

Описание шага 2

Синхронизация между ADCS и MV выполняется на шаге разностной или полной синхронизации. На этом этапе AADC считывает промежуточные данные в ADCS, обрабатывает все правила синхронизации и обновляет соответствующий объект MV. Этот объект MV будет содержать ссылки CS (или соединители), указывающие на объекты CS, которые способствуют его свойствам и происхождению правил синхронизации, примененных на шаге синхронизации. На этом этапе AADC создает большую нагрузку на SQL Server (или LocalDB) и сетевые слои.

Устранение неполадок ADCS > MV для объектов

• Проверьте правила входящего синхронизации для подготовки

  Объект, который присутствует в ADCS, но отсутствует в MV, указывает, что нет фильтров области для любого из правил синхронизации подготовки, примененных к данному объекту. Поэтому объект не был проецирован на MV. Эта проблема может возникнуть при отключении или настройке правил синхронизации.

  Чтобы получить список правил синхронизации входящего трафика, выполните следующую команду:

  Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

  

• Проверка происхождения объекта ADCS

  Вы можете получить неудающийся объект из ADCS, выполнив поиск по запросу "DN или Привязка" в поле "Пространство соединителя поиска". На вкладке Lineage вы, вероятно, увидите, что объект является отсоединителем (без ссылок на MV), и происхождение пусто. Кроме того, проверьте, имеет ли объект какие-либо ошибки, если есть вкладка ошибок синхронизации.

  

• Запуск предварительной версии объекта ADCS

  Выберите предварительный просмотр>предварительной версии фиксации предварительной версии>, чтобы узнать, проецируется ли объект на MV. Если это так, то полный цикл синхронизации должен устранить проблему для других объектов в той же ситуации.

  

  

• Экспорт объекта в XML

  Для более подробного анализа (или для автономного анализа) можно собирать все данные базы данных, связанные с объектом, с помощью командлета Export-ADSyncToolsObjects . Эти экспортированные сведения помогут определить, какое правило фильтрует объект. Другими словами, фильтр области входящего трафика в правилах синхронизации подготовки предотвращает проектируемый объект в MV.

  Ниже приведены некоторые примеры синтаксиса Export-ADSyncToolsObjects :

  [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
  Install-Module ADSyncTools
  
  Import-Module ADSyncTools
  Export-ADSyncToolsObjects -DistinguishedName 'CN=TestUser,OU=Sync,DC=Contoso,DC=com' -ConnectorName 'Contoso.com' -ExportSerialized
  Export-ADSyncToolsObjects -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -ExportSerialized
  

  Совет

  Чтобы прочитать экспортированные данные, используйте Import-Clixml <filename>.xml командлет.

Сводка по устранению неполадок (объекты)

• Проверьте фильтры области в правилах входящей подготовки "In From AD".
• Создайте предварительный просмотр объекта.
• Выполните полный цикл синхронизации.
• Экспортируйте данные объекта с помощью командлета Export-ADSyncToolsObjects .

Устранение неполадок ADCS > MV для атрибутов

1. Определение правил входящего синхронизации и правил преобразования атрибута

   Каждый атрибут имеет собственный набор правил преобразований, которые отвечают за направление значения из ADCS в MV. Первым шагом является определение правил синхронизации, содержащих правило преобразования для атрибута, который вы устраняете.

   Лучший способ определить, какие правила синхронизации имеют правило преобразования для данного атрибута, — использовать встроенные возможности фильтрации редактора правил синхронизации.

   

2. Проверка происхождения объекта ADCS

   Каждый соединитель (или ссылка) между CS и MV будет иметь происхождение, содержащее сведения о правилах синхронизации, применяемых к данному объекту CS. На предыдущем шаге вы узнаете, какой набор правил входящего синхронизации (независимо от того, должны ли правила подготовки или присоединения к синхронизации) присутствовать в происхождении объекта, чтобы передать правильное значение из ADCS в MV. Проверив происхождение объекта ADCS, вы сможете определить, было ли применено это правило синхронизации к объекту.

   

   Если есть несколько соединителей (несколько лесов AD), связанных с объектом MV, может потребоваться проверить свойства объекта Metaverse, чтобы определить, какой соединитель вносит значение атрибута в атрибут, который вы пытаетесь устранить неполадки. После определения соединителя изучите происхождение этого объекта ADCS.

   

3. Проверьте фильтры области в правиле синхронизации входящего трафика

   Если правило синхронизации включено, но отсутствует в происхождении объекта, объект должен быть отфильтрован фильтром области правила синхронизации. Проверив фильтры области правила синхронизации, данные объекта ADCS и включение или отключение правила синхронизации, необходимо определить, почему это правило синхронизации не было применено к объекту ADCS.

   Ниже приведен пример распространенных проблемных фильтров области из правила синхронизации, ответственного за синхронизацию свойств Exchange. Если объект имеет значение NULL для mailNickName, ни один из атрибутов Exchange в правилах преобразования будет передаваться в идентификатор Microsoft Entra.

   

4. Запуск предварительной версии объекта ADCS

   Если вы не можете определить, почему правило синхронизации отсутствует в происхождении объекта ADCS, запустите предварительную версию с помощью создания предварительной версии и предварительной версии фиксации для полной синхронизации объекта. Если атрибут обновляется в MV и имеет предварительную версию, то полный цикл синхронизации должен устранить проблему для других объектов в той же ситуации.

5. Экспорт объекта в XML

   Для более подробного анализа или автономного анализа можно собирать все данные базы данных, связанные с объектом, с помощью Export-ADSyncToolsObjects командлета. Эти экспортированные сведения помогут определить, какое правило синхронизации или правило преобразования отсутствует в объекте, который предотвращает проецирование атрибута на MV (см Export-ADSyncToolsObjects . примеры, приведенные ранее в этой статье).

Сводка по устранению неполадок (для атрибутов)

• Определите правильные правила синхронизации и правила преобразования, ответственные за поток атрибута в MV.
• Проверьте происхождение объекта.
• Проверьте, включены ли правила синхронизации.
• Проверьте фильтры области правил синхронизации, отсутствующих в происхождении объекта.

Расширенное устранение неполадок конвейера правил синхронизации

Если необходимо дополнительно выполнить отладку обработчика ADSync (также известного как MiiServer) с точки зрения обработки правил синхронизации, можно включить трассировку ETW в файле конфигурации .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Этот метод создает подробный текстовый файл, показывающий всю обработку правил синхронизации. Однако может быть трудно интерпретировать всю информацию. Используйте этот метод в качестве последнего метода или если он указан служба поддержки Майкрософт.

Ресурсы для шага 2

• Пользовательский интерфейс Диспетчера синхронизации
• Редактор правил синхронизации
• Командлет Export-ADSyncToolsObjects
• Start-ADSyncSyncCycle -PolicyType Initial
• Трассировка трассировки ETW SyncRulesPipeline (miiserver.exe.config)

Шаг 3. Синхронизация между MV и AADCS

Цель шага 3

На этом шаге проверяется, передается ли объект или атрибут из MV в AADCS. На этом этапе убедитесь в наличии объекта или правильности атрибута в ADCS и MV (описано в шагах 1 и 2). Затем изучите правила синхронизации и происхождение объекта. Этот шаг аналогичен шагу 2, в котором было рассмотрено направление входящего трафика от ADCS к MV, однако на этом этапе мы сосредоточимся на правилах и атрибутах исходящей синхронизации, которые передаются из MV в AADCS.

Описание шага 3

Синхронизация между MV и AADCS происходит на шаге разностной или полной синхронизации, когда AADC считывает данные в MV, обрабатывает все правила синхронизации и обновляет соответствующий объект AADCS. Этот объект MV будет содержать ссылки CS (также известные как соединители), указывающие на объекты CS, которые способствуют его свойствам и происхождению правил синхронизации, примененных на шаге синхронизации. На этом этапе AADC создает большую нагрузку на SQL Server (или localDB) и сетевой уровень.

Устранение неполадок MV в AADCS для объектов

1. Ознакомьтесь с правилами исходящей синхронизации для подготовки

   Объект, который присутствует в MV, но отсутствует в AADCS, указывает на отсутствие фильтров области для любого из правил синхронизации подготовки, применяемых к данному объекту. Например, см. правила синхронизации "Out to Microsoft Entra ID", показанные на следующем рисунке. Поэтому объект не был подготовлен в AADCS. Эта ошибка может возникать при отключении или настройке правил синхронизации.

   Чтобы получить список правил синхронизации входящего трафика, выполните следующую команду:

   Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

   

2. Проверка происхождения объекта ADCS

   Чтобы получить неудачный объект из MV, используйте метавселенной поиск, а затем просмотрите вкладку соединителей. На этой вкладке можно определить, связан ли объект MV с объектом AADCS. Кроме того, проверьте наличие каких-либо ошибок в объекте, если присутствует вкладка ошибок синхронизации.

   

   Если соединитель AADCS отсутствует, объект, скорее всего, имеет значение cloudFiltered=True. Вы можете проверить, является ли объект облачным фильтром, проверив атрибуты MV, для которых правило синхронизации способствует значению cloudFiltered .

3. Запуск предварительной версии объекта AADCS

   Чтобы определить, подключается ли объект к AADCS, выберите "Создать предварительную версию>предварительной версии", чтобы определить, подключается ли объект к AADCS.> Если да, то полный цикл синхронизации должен устранить проблему для других объектов в той же ситуации.

4. Экспорт объекта в XML

   Для более подробного анализа или автономного анализа можно собирать все данные базы данных, связанные с объектом, с помощью Export-ADSyncToolsObjects командлета. Эти экспортированные сведения вместе с конфигурацией правил синхронизации (исходящего трафика) могут помочь определить, какое правило фильтрует объект, и может определить, какой исходящий фильтр области в правилах синхронизации подготовки не позволяет объекту подключаться к AADCS.

   Ниже приведены некоторые примеры синтаксиса Export-ADSyncToolsObjects :

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Install-Module ADSyncTools

Import-Module ADSyncTools
Export-ADSyncToolsObjects -DistinguishedName 'CN=TestUser,OU=Sync,DC=Contoso,DC=com' -ConnectorName 'Contoso.com' -ExportSerialized
Export-ADSyncToolsObjects -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -ExportSerialized

Сводка по устранению неполадок для объектов

• Проверьте фильтры области в правилах исходящей подготовки "Out to Microsoft Entra ID".
• Создайте предварительный просмотр объекта.
• Выполните полный цикл синхронизации.
• Экспортируйте данные объекта с помощью командлета Export-ADSyncToolsObjects .

Устранение неполадок MV в AADCS для атрибутов

1. Определение правил исходящей синхронизации и правил преобразования атрибута

   Каждый атрибут имеет собственный набор правил преобразования, которые отвечают за поток значения из MV в AADCS. Начните с определения правил синхронизации, содержащих правило преобразования для атрибута, который вы устраняете.

   Лучший способ определить, какие правила синхронизации имеют правило преобразования для данного атрибута, — использовать встроенные возможности фильтрации редактора правил синхронизации.

   

2. Проверка происхождения объекта ADCS

   Каждый соединитель (или ссылка) между CS и MV будет иметь происхождение, содержащее сведения о правилах синхронизации, применяемых к данному объекту CS. На предыдущем шаге вы узнаете, какой набор правил исходящей синхронизации (будь то правила подготовки или присоединения) должен присутствовать в происхождении объекта, чтобы передать правильное значение из MV в AADCS. Проверив происхождение объекта AADCS, вы можете определить, применено ли это правило синхронизации к объекту.

   

3. Проверьте фильтры области в правиле синхронизации исходящего трафика

   Если правило синхронизации включено, но отсутствует в происхождении объекта, оно должно быть отфильтровывается фильтром области правила синхронизации. Проверив наличие фильтров области правила синхронизации и данных объекта MV, а также включение или отключение правила синхронизации, необходимо определить, почему это правило синхронизации не было применено к объекту AADCS.

4. Запуск предварительной версии объекта AADCS

   Если определить, почему правило синхронизации отсутствует из происхождения объекта ADCS, запустите предварительную версию, которая использует предварительную версию и предварительную версию фиксации для полной синхронизации объекта. Если атрибут обновляется в MV путем предварительного просмотра, то полный цикл синхронизации должен устранить проблему для других объектов в той же ситуации.

5. Экспорт объекта в XML

   Для более подробного анализа или автономного анализа можно собирать все данные базы данных, связанные с объектом, с помощью командлета Export-ADSyncToolsObjects . Эти экспортированные сведения вместе с конфигурацией правил синхронизации (исходящего трафика) помогут определить, какое правило синхронизации или правило преобразования отсутствует из объекта, который предотвращает поток атрибута в AADCS (см Export-ADSyncToolsObjects . примеры ранее).

Сводка по устранению неполадок для атрибутов

• Определите правильные правила синхронизации и правила преобразования, ответственные за поток атрибута в AADCS.
• Проверьте происхождение объекта.
• Убедитесь, что правила синхронизации включены.
• Проверьте фильтры области правил синхронизации, отсутствующих в происхождении объекта.

Устранение неполадок конвейера правил синхронизации

Если необходимо дополнительно выполнить отладку обработчика ADSync (также известного как MiiServer) с точки зрения обработки правил синхронизации, можно включить трассировку ETW в файле конфигурации .config (C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config). Этот метод создает подробный текстовый файл, показывающий всю обработку правил синхронизации. Однако может быть трудно интерпретировать всю информацию. Используйте этот метод только в качестве последнего метода или если он указан служба поддержки Майкрософт.

Ресурсы

• Synchronization Service Manager

• Редактор правил синхронизации

• Командлет Export-ADSyncObjects

• Start-ADSyncSyncCycle -PolicyType Initial

• Трассировка трассировки ETW SyncRulesPipeline (miiserver.exe.config)

Шаг 4. Синхронизация между AADCS и идентификатором записи

Цель шага 4

На этом этапе сравнивается объект AADCS с соответствующим объектом, подготовленным в идентификаторе Microsoft Entra.

Описание шага 4

Несколько компонентов и процессов, участвующих в импорте и экспорте данных в идентификатор Microsoft Entra, могут привести к следующим проблемам:

• Подключение к Интернету
• Внутренние брандмауэры и подключение isP (например, заблокированный сетевой трафик)
• Шлюз Microsoft Entra перед веб-службой DirSync (также называется AdminWebService)
• API веб-службы DirSync
• Служба каталогов Microsoft Entra Core

К счастью, проблемы, влияющие на эти компоненты, обычно создают ошибку в журналах событий, которые можно отслеживать служба поддержки Майкрософт. Таким образом, эти проблемы недоступны для этой статьи. Тем не менее, есть еще некоторые "молчаливые" вопросы, которые можно изучить.

Устранение неполадок AADCS

• Несколько активных серверов AADC, экспортируемых в идентификатор Microsoft Entra

  В обычном сценарии, в котором объекты в microsoft Entra ID переворачивают значения атрибутов обратно и вперед, есть несколько активных серверов Microsoft Entra Connect, и один из этих серверов теряет контакт с локальным AD, но по-прежнему подключен к Интернету и может экспортировать данные в идентификатор Microsoft Entra ID. Таким образом, каждый раз, когда этот "устаревший" сервер импортирует изменение из идентификатора Microsoft Entra на синхронизированный объект, сделанный другим активным сервером, подсистема синхронизации отменяет изменения на основе устаревших данных AD, которые в ADCS. Типичным симптомом этого сценария является то, что вы вносите изменения в AD, синхронизированные с идентификатором Microsoft Entra, но изменения возвращаются к исходному значению через несколько минут (до 30 минут). Чтобы быстро устранить эту проблему, вернитесь к любым старым серверам или виртуальным машинам, которые были выведены из эксплуатации, и проверьте, работает ли служба ADSync.

• Мобильный атрибут с DirSyncOverrides

  Если администратор использует устаревшие модули MSOnline или AzureAD PowerShell или пользователь переходит на портал Office и обновляет Mobile атрибут, обновленный номер телефона будет перезаписан в идентификаторе Microsoft Entra, несмотря на синхронизацию объекта из локальной службы AD (onPremisesSyncEnabled=true).

  Вместе с этим обновлением идентификатор Microsoft Entra также задает DirSyncOverrides объект для флага того, что у этого пользователя есть номер мобильного телефона "перезаписан" в идентификаторе Microsoft Entra ID. С этого момента любое обновление мобильного атрибута, исходящее из локальной среды, будет игнорироваться, так как этот атрибут больше не будет управляться локальным AD.

  Дополнительные сведения о функции BypassDirSyncOverrides и восстановлении синхронизации Mobile атрибутов otherMobile из идентификатора Microsoft Entra в локальная служба Active Directory см. в разделе "Использование функции BypassDirSyncOverrides" клиента Microsoft Entra.

• Изменения UserPrincipalName не обновляются в идентификаторе Microsoft Entra

  UserPrincipalName Если атрибут не обновляется в идентификаторе Microsoft Entra, а другие атрибуты синхронизируются должным образом, возможно, функция SyncUpnForManagedUsers не включена в клиенте.

  Перед добавлением этой функции все обновления имени участника-пользователя из локальной среды автоматически игнорируются после подготовки пользователя в идентификаторе Microsoft Entra и назначена лицензия. Администратор должен использовать устаревшую версию MSOnline или AzureAD PowerShell для обновления имени участника-пользователя непосредственно в идентификаторе Microsoft Entra. После добавления этой функции все обновления имени участника-пользователя будут передаваться в Microsoft Entra независимо от того, лицензируется ли пользователь (управляемый).

  Примечание

  После включения эта функция не может быть отключена.

  Обновления UserPrincipalName будут работать, если пользователь не лицензирован. Однако без функции SynchronizeUpnForManagedUsers ПользовательPrincipalName изменяется после подготовки пользователя и назначается лицензирование, которое не будет обновлено в идентификаторе Microsoft Entra. Обратите внимание, что корпорация Майкрософт не отключает эту функцию от имени клиентов.

• Недопустимые символы и внутренние компоненты ProxyCalc

  Проблемы, связанные с недопустимыми символами, которые не создают никаких ошибок синхронизации, являются более проблемными в атрибутах UserPrincipalName и ProxyAddresses из-за каскадного эффекта в обработке ProxyCalc, который автоматически отменяет значение, синхронизированное из локальной AD. Эта ситуация возникает следующим образом:

  1. Результирующий userPrincipalName в идентификаторе Microsoft Entra будет начальным доменом MailNickName или CommonName @ (at). Например, вместо John.Smith@Contoso.comэтого идентификатор UserPrincipalName в идентификаторе Microsoft Entra может статьsmithj@Contoso.onmicrosoft.com, так как в локальном AD есть невидимый символ в значении имени участника-пользователя.

  2. Если proxyAddress содержит пробел, ProxyCalc отбрасывает его и автоматически генерирует адрес электронной почты на основе MailNickName на начальном домене. Например, "SMTP: John.Smith@Contoso.com" не будет отображаться в идентификаторе Microsoft Entra, так как он содержит пробел после двоеточия.

  3. Пользователь UserPrincipalName, содержащий пробел или proxyAddress, который включает невидимый символ, вызовет ту же проблему.

     Чтобы устранить неполадки с недопустимым символом в UserPrincipalName или ProxyAddress, проверьте значение, хранящееся в локальном AD из LDIFDE или PowerShell, экспортированного в файл. Легко обнаружить невидимый символ — скопировать содержимое экспортированного файла, а затем вставить его в окно PowerShell. Невидимый символ будет заменен вопросительным знаком (?), как показано в следующем примере.

     

• Атрибут ThumbnailPhoto (KB4518417)

  Существует общее неправильное представление, что после синхронизации ThumbnailPhoto из AD в первый раз вы не сможете обновить его, что только частично верно.

  Как правило, идентификатор Эскиза в Microsoft Entra ID постоянно обновляется. Однако проблема возникает, если обновленный рисунок больше не извлекается из идентификатора Microsoft Entra по соответствующей рабочей нагрузке или партнеру (например, EXO или SfBO). Эта проблема приводит к ложному впечатлению, что рисунок не был синхронизирован из локальной службы AD с идентификатором Microsoft Entra.

  Основные шаги по устранению неполадок с Эскизфото:

  1. Убедитесь, что образ правильно хранится в AD и не превышает предел размера 100 КБ.

  2. Проверьте изображение на портале учетных записей или вызовите get profilePhoto через Graph.

  3. Если эскиз ADDS (или Entra ID) имеет правильное изображение, но это не правильный образ на других веб-службы, могут применяться следующие условия:

  • Почтовый ящик пользователя содержит изображение HD и не принимает изображения с низким разрешением из Microsoft Entra thumbnailPhoto. Решение заключается в непосредственном обновлении образа почтового ящика пользователя.
  • Изображение почтового ящика пользователя было обновлено правильно, но вы по-прежнему видите исходный образ. Решение состоит в том, чтобы подождать не менее шести часов, чтобы просмотреть обновленный образ на пользовательском портале Office 365 или портал Azure.

Дополнительные ресурсы

• Устранение ошибок синхронизации

• Устранение неполадок с синхронизацией объектов в службе синхронизации Microsoft Entra Connect

• Устранение неполадок объекта, который не синхронизируется с идентификатором Microsoft Entra

• Синхронизация отдельных объектов Microsoft Entra Connect

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.