- Artikel
Om ett objekt inte synkroniseras som förväntat med Microsoft Azure Active Directory (Azure AD) kan det bero på flera orsaker. Om du har fått ett felmeddelande från Azure AD eller om du ser felet i Azure AD Connect Health, läsFelsökning av fel under synkroniseringistället. Men om du felsöker ett problem där objektet inte finns i Azure AD, är den här artikeln för dig. Den beskriver hur du hittar fel i den lokala komponentens Azure AD Connect-synkronisering.
Viktig
För Azure AD Connect-distribution med version 1.1.749.0 eller senare, användfelsökningsuppgifti guiden för att felsöka problem med objektsynkronisering.
Synkroniseringsprocess
Innan vi undersöker synkroniseringsproblem, låt oss förstå Azure AD Connect-synkroniseringsprocessen:
Terminologi
- CS:Anslutningsutrymme, en tabell i en databas
- MV:Metaverse, en tabell i en databas
Synkroniseringssteg
Synkroniseringsprocessen innefattar följande steg:
Importera från AD:Active Directory-objekt förs in i Active Directory CS.
Importera från Azure AD:Azure AD-objekt förs in i Azure AD CS.
Synkronisering:Regler för inkommande synkronisering och regler för utgående synkronisering körs i prioritetsordningen, från lägre till högre. För att se synkroniseringsreglerna, gå till Synchronization Rules Editor från skrivbordsapplikationerna. Reglerna för inkommande synkronisering tar in data från CS till MV. De utgående synkroniseringsreglerna flyttar data från MV till CS.
Exportera till AD:Efter synkronisering exporteras objekt från Active Directory CS till Active Directory.
Exportera till Azure AD:Efter synkronisering exporteras objekt från Azure AD CS till Azure AD.
Felsökning
För att hitta felen, titta på några olika ställen, i följande ordning:
- Dedriftloggarför att hitta fel som identifieras av synkroniseringsmotorn under import och synkronisering.
- Dekontaktutrymmeför att hitta saknade objekt och synkroniseringsfel.
- Demetaversför att hitta datarelaterade problem.
StartSynchronization Service Managerinnan du påbörjar dessa steg.
Operationer
DeOperationerfliken i Synchronization Service Manager är där du bör börja din felsökning. Den här fliken visar resultaten från de senaste operationerna.
Den övre halvan avOperationerfliken visar alla körningar i kronologisk ordning. Som standard lagrar operationsloggen information om de senaste sju dagarna, men den här inställningen kan ändras medschemaläggare. Leta efter någon körning som inte visar enFramgångstatus. Du kan ändra sorteringen genom att klicka på rubrikerna.
DeStatuskolumnen innehåller den viktigaste informationen och visar det allvarligaste problemet för en löpning. Här är en snabb sammanfattning av de vanligaste statuserna i prioritetsordning (där * indikerar flera möjliga felsträngar).
| Status | Kommentar |
|---|---|
| slutade-* | Löpningen kunde inte avslutas. Detta kan till exempel hända om fjärrsystemet är nere och inte kan kontaktas. |
| stoppat-fel-gräns | Det finns mer än 5 000 fel. Körningen stoppades automatiskt på grund av det stora antalet fel. |
| avslutade-*-fel | Körningen avslutades, men det finns fel (färre än 5 000) som bör undersökas. |
| avslutade-*-varningar | Körningen avslutades, men vissa data är inte i det förväntade tillståndet. Om du har fel är detta meddelande vanligtvis bara ett symptom. Undersök inte varningar förrän du har åtgärdat fel. |
| Framgång | Inga problem. |
När du väljer en rad visas den nedre delen avOperationerfliken uppdateras för att visa detaljerna för den körningen. Längst till vänster i detta område kan du ha en lista med titelnSteg #. Den här listan visas bara om du har flera domäner i din skog och varje domän representeras av ett steg. Domännamnet finns under rubrikenDela. UnderSynkroniseringsstatistikrubrik, kan du hitta mer information om antalet ändringar som bearbetades. Välj länkarna för att få en lista över de ändrade objekten. Om du har objekt med fel, dyker dessa fel upp underSynkroniseringsfelrubrik.
Fel på fliken Operations
När du har fel visar Synchronization Service Manager både felobjektet och själva felet som länkar som ger mer information.
Börja med att välja felsträngen. (I föregående figur är felsträngensync-rule-error-function-utlöst.) Du får först en översikt över objektet. För att se det faktiska felet, väljStack Trace. Denna spårning tillhandahåller felsökningsnivåinformation för felet.
Högerklicka påRing stackinformationrutan, klickaVälj alla, och välj sedanKopiera. Kopiera sedan stacken och titta på felet i din favoritredigerare, till exempel Anteckningar.
Om felet kommer frånSyncRulesEngine, listar samtalsstackinformationen först alla attribut på objektet. Scrolla ner tills du ser rubrikenInnerException =>.
Raden efter rubriken visar felet. I föregående figur kommer felet från en anpassad synkroniseringsregel som Fabrikam skapade.
Om felet inte ger tillräckligt med information är det dags att titta på själva datan. Välj länken med objektidentifieraren och fortsätt felsökaanslutningsutrymme importerat objekt.
Egenskaper för kopplingsutrymmesobjekt
OmOperationerfliken visar inga fel, följ anslutningsutrymmesobjektet från Active Directory till metaversen till Azure AD. På den här vägen bör du hitta var problemet ligger.
Söker efter ett objekt i CS
I Synchronization Service Manager väljer duKontakter, välj Active Directory Connector och väljSök Connector Space.
I denOmfattningrutan, väljRDNnär du vill söka på CN-attributet, eller väljDN eller ankarenär du vill söka pådistinguishedNameattribut. Ange ett värde och väljSök.
Om du inte hittar objektet du letar efter kan det ha filtrerats meddomänbaserad filtreringellerOU-baserad filtrering. För att verifiera att filtreringen är konfigurerad som förväntat, läsAzure AD Connect sync: Konfigurera filtrering.
Du kan utföra ytterligare en användbar sökning genom att välja Azure AD Connector. I denOmfattningrutan, väljVäntar på import, och välj sedanLägg tillkryssruta. Den här sökningen ger dig alla synkroniserade objekt i Azure AD som inte kan associeras med ett lokalt objekt.
Dessa objekt skapades av en annan synkroniseringsmotor eller en synkroniseringsmotor med en annan filtreringskonfiguration. Dessa föräldralösa objekt hanteras inte längre. Granska den här listan och överväg att ta bort dessa objekt genom att användaAzure AD PowerShellcmdlets.
CS-import
När du öppnar ett CS-objekt finns det flera flikar överst. DeImporterafliken visar data som är iscensatt efter en import.
DeGammalt värdekolumnen visar vad som för närvarande är lagrat i Connect, ochNytt värdekolumnen visar vad som har mottagits från källsystemet och som inte har tillämpats ännu. Om det finns ett fel på objektet bearbetas inte ändringarna.
DeSynkroniseringsfelfliken är synlig iConnector Space Object Propertiesfönster endast om det finns ett problem med objektet. För mer information, se hur du görfelsöka synkroniseringsfel på fliken Operations.
CS härstamning
DeHärstamningfliken iConnector Space Object Propertiesfönstret visar hur kopplingsutrymmesobjektet är relaterat till metaversobjektet. Du kan se när anslutaren senast importerade en ändring från det anslutna systemet och vilka regler som gällde för att fylla i data i metaversen.
I den föregående figurenHandlingkolumnen visar en regel för inkommande synkronisering med åtgärdenTillhandahållande. Det indikerar att så länge som detta kopplingsrumsobjekt finns kvar, finns det metaversa objektet kvar. Om listan med synkroniseringsregler istället visar en utgående synkroniseringsregel med enTillhandahållandeåtgärd, detta objekt raderas när metaversobjektet tas bort.
I föregående figur kan du också se iPasswordSynckolumnen att det inkommande anslutningsutrymmet kan bidra med ändringar av lösenordet eftersom en synkroniseringsregel har värdetSann. Detta lösenord skickas till Azure AD genom den utgående regeln.
FrånHärstamningfliken kan du komma till metaversen genom att väljaMetaverse-objektegenskaper.
Förhandsvisning
I det nedre vänstra hörnet avConnector Space Object Propertiesfönstret ärFörhandsvisningknapp. Välj den här knappen för att öppnaFörhandsvisningsida, där du kan synkronisera ett enda objekt. Den här sidan är användbar om du felsöker vissa anpassade synkroniseringsregler och vill se effekten av en ändring på ett enskilt objekt. Du kan välja enFull synkeller aDelta synk. Du kan också väljaGenerera förhandsgranskning, som bara behåller förändringen i minnet. Eller väljBegär förhandsgranskning, som uppdaterar metaversen och iscensätter alla ändringar i målanslutningsutrymmen.
I förhandsgranskningen kan du inspektera objektet och se vilken regel som gällde för ett visst attributflöde.
Logga
IntillFörhandsvisningknappen, väljLoggaknappen för att öppnaLoggasida. Här kan du se lösenordssynkroniseringsstatus och historik. För mer information, seFelsök hashsynkronisering av lösenord med Azure AD Connect-synkronisering.
Det är vanligtvis bättre att börja söka från källanslutningsutrymmet för Active Directory. Men du kan också börja söka från metaversen.
Söker efter ett objekt i MV
I Synchronization Service Manager väljer duMetaverse-sökning, som i följande figur. Skapa en fråga som du vet hittar användaren. Sök efter vanliga attribut, som t.exkontonamn(sAMAccountName) ochuserPrincipalName. För mer information, seSync Service Manager Metaverse-sökning.
I densökresultatfönster klickar du på objektet.
Om du inte hittade objektet har det ännu inte nått metaversen. Fortsätt att söka efter objektet i Active Directorykontaktutrymme. Om du hittar objektet i Active Directory-anslutningsutrymmet kan det finnas ett synkroniseringsfel som blockerar objektet från att komma till metaversen, eller så kan ett synkroniseringsregelomfångsfilter tillämpas.
Objekt hittades inte i MV
Om objektet finns i Active Directory CS men inte finns i MV, tillämpas ett omfattningsfilter. För att titta på omfattningsfiltret, gå till skrivbordets programmeny och väljEditor för synkroniseringsregler. Filtrera reglerna som gäller för objektet genom att justera filtret nedan.
Se varje regel i listan ovanifrån och kontrolleraOmfattningsfilter. I följande omfattningsfilter, omisCriticalSystemObjectvärdet är null eller FALSE eller tomt, det är inom omfånget.
Gå tillCS-importattributlista och kontrollera vilket filter som blockerar objektet från att flytta till MV. DeKontaktutrymmeattributlistan visar endast icke-null- och icke-tomma attribut. Till exempel omisCriticalSystemObjectinte visas i listan, värdet på detta attribut är null eller tomt.
Objektet hittades inte i Azure AD CS
Om objektet inte finns i anslutningsutrymmet för Azure AD men finns i MV, titta på omfattningsfiltret för de utgående reglerna för motsvarande anslutningsutrymme och ta reda på om objektet filtreras bort eftersomMV attributuppfyller inte kriterierna.
Om du vill titta på filtret för utgående omfattning väljer du tillämpliga regler för objektet genom att justera filtret nedan. Se varje regel och titta på motsvarandeMV-attributvärde.
MV-attribut
PåAttributfliken kan du se värdena och vilka kontakter som bidrog med dem.
Om ett objekt inte synkroniseras, ställ följande frågor om attributtillstånd i metaversen:
- Är attributetcloudFilteredpresentera och ställa tillSann? Om det är det har det filtrerats enligt stegen iattributbaserad filtrering.
- Är attributetsourceAnchornärvarande? Om inte, har du en kontoresursskogstopologi? Om ett objekt identifieras som en länkad postlåda (attributetmsExchRecipientTypeDetailshar värdet2), densourceAnchortillförs av skogen med ett aktiverat Active Directory-konto. Se till att huvudkontot har importerats och synkroniserats korrekt. Huvudkontot måste vara listat blandkontakterför objektet.
MV-kontakter
DeKontakterfliken visar alla anslutningsutrymmen som har en representation av objektet.
Du bör ha en anslutning till:
- Varje Active Directory-skog som användaren är representerad i. Denna representation kan inkluderautländska säkerhetshuvudmänochKontaktföremål.
- En anslutning i Azure AD.
Om du saknar anslutningen till Azure AD, gå igenom avsnittet omMV attributför att verifiera kriterierna för provisionering till Azure AD.
FrånKontakterfliken kan du också gå tillkontaktutrymmesobjekt. Välj en rad och klickaEgenskaper.
Nästa steg
- Lära sig mer omAzure AD Connect-synkronisering.
- Lära sig mer omhybrid identitet.