Risolvere gli errori di sincronizzazione

  • 10 minuti

Gli errori possono verificarsi quando i dati di identità vengono sincronizzati da Windows Server Active Directory (AD DS) a Microsoft Entra ID. Questa sezione fornisce una panoramica dei diversi tipi di errore di sincronizzazione e illustra alcuni dei possibili scenari che generano tali errori e i possibili modi per correggerli. Questa sezione include i tipi di errore comuni, ma non copre tutti gli errori possibili.

Insieme all'ultima versione di Microsoft Entra Connect, nel portale di Azure è disponibile un report sugli errori di sincronizzazione come parte di Microsoft Entra Connect Health per la sincronizzazione.

Microsoft Entra Connect esegue tre tipi di operazioni dalle directory che mantiene sincronizzate: Importazione, sincronizzazione ed esportazione. Gli errori possono verificarsi in tutte le operazioni. Questa sezione si concentra prevalentemente sugli errori che si verificano durante l'esportazione in Microsoft Entra ID.

Errori durante l'esportazione in Microsoft Entra ID

La sezione seguente descrive le differenti tipologie di errori di sincronizzazione che possono verificarsi durante l'esportazione in Microsoft Entra ID usando il connettore di Microsoft Entra. Questo connettore può essere identificato dal formato del nome, ovvero contoso.onmicrosoft.com. Gli errori durante l'esportazione in Microsoft Entra ID indicano che l'operazione (aggiunta, aggiornamento, eliminazione e così via) tentata da Microsoft Entra Connect (motore di sincronizzazione) nella directory Microsoft Entra non è stata completata.

Screenshot della pagina Panoramica degli errori di esportazione in Microsoft Entra Connect.

Errori di mancata corrispondenza dei dati

InvalidSoftMatch

Descrizione

  • Quando il motore di sincronizzazione di Microsoft Entra Connect invia alla directory il comando di aggiungere o aggiornare gli oggetti, Microsoft Entra ID associa l'oggetto in ingresso usando l'attributo sourceAnchor all'attributo immutableId degli oggetti presenti in Microsoft Entra ID. Questa corrispondenza è detta Corrispondenza diretta.
  • Quando Microsoft Entra ID non trova alcun oggetto che corrisponde all'attributo immutableId con l'attributo sourceAnchor dell'oggetto in ingresso, prima di effettuare il provisioning di un nuovo oggetto, viene eseguito il fallback per usare gli attributi ProxyAddresses e UserPrincipalName per trovare una corrispondenza. Questa corrispondenza è detta Corrispondenza flessibile. Soft Match è progettato per associare gli oggetti già presenti in Microsoft Entra ID ai nuovi oggetti aggiunti/aggiornati durante la sincronizzazione, che rappresentano la stessa entità (utenti, gruppi) in locale.
  • L'errore InvalidSoftMatch si verifica quando la corrispondenza diretta non trova alcun oggetto corrispondente E la corrispondenza flessibile trova un oggetto corrispondente, ma tale oggetto presenta un valore di immutableId diverso dal SourceAnchor dell'oggetto in ingresso, indicando che l'oggetto corrispondente è stato sincronizzato con un altro oggetto da Active Directory locale.

In altre parole, affinché la corrispondenza flessibile funzioni, l'oggetto con cui eseguire la corrispondenza flessibile non deve avere alcun valore per immutableId. Se un oggetto con immutableId impostato su un valore non soddisfa la corrispondenza diretta ma soddisfa i criteri di corrispondenza flessibile, l'operazione genera un errore di sincronizzazione InvalidSoftMatch.

Lo schema della directory Microsoft Entra non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti. Questo non è un elenco completo.

  • ProxyAddresses
  • UserPrincipalName
  • onPremisesSecurityIdentifier
  • ObjectId

La funzionalità di Resilienza dell'attributo duplicato di Microsoft Entra viene implementata anche come comportamento predefinito di Microsoft Entra ID. In questo modo si ridurrà il numero di errori di sincronizzazione rilevati da Microsoft Entra Connect (nonché da altri client di sincronizzazione) rendendo Microsoft Entra ID più resiliente nel modo in cui gestisce gli attributi duplicati ProxyAddresses e UserPrincipalName presenti negli ambienti AD locali. Questa funzionalità non risolve gli errori di duplicazione. I dati devono quindi essere corretti. Tuttavia ciò consente il provisioning di nuovi oggetti che altrimenti non vengono sottoposti a provisioning a causa di valori duplicati in Microsoft Entra ID. In questo modo si ridurrà anche il numero di errori di sincronizzazione restituiti al client di sincronizzazione. Se questa funzionalità è abilitata per il tenant, non verranno visualizzati gli errori di sincronizzazione InvalidSoftMatch visualizzati durante il provisioning di nuovi oggetti.

Scenari di esempio per InvalidSoftMatch

  • Esistono due o più oggetti con lo stesso valore per l'attributo ProxyAddresses in Active Directory locale. Ne viene effettuato il provisioning solo in Microsoft Entra ID.
  • Nell'istanza locale di Active Directory sono presenti due o più oggetti con lo stesso valore dell'attributo userPrincipalName. Ne viene effettuato il provisioning solo in Microsoft Entra ID.
  • È stato aggiunto un oggetto in Active Directory locale con lo stesso valore dell'attributo ProxyAddresses di quello di un oggetto esistente nella directory Microsoft Entra. Il provisioning dell'oggetto aggiunto in locale non viene eseguito nella directory Microsoft Entra.
  • È stato aggiunto un oggetto in Active Directory locale con lo stesso valore dell'attributo userPrincipalName di quello di un account in Microsoft Entra ID. L'oggetto non viene configurato in Microsoft Entra ID.
  • Un account sincronizzato è stato spostato dalla foresta A alla foresta B. Microsoft Entra Connect (motore di sincronizzazione) usava l'attributo ObjectGUID per calcolare SourceAnchor. Dopo lo spostamento della foresta, il valore di SourceAnchor è diverso. Il nuovo oggetto (dalla foresta B) non riesce a eseguire la sincronizzazione con l'oggetto esistente in Microsoft Entra ID.
  • Un oggetto sincronizzato è stato eliminato accidentalmente da Active Directory locale e un nuovo oggetto è stato creato per la stessa entità (ad esempio l'utente) senza eliminare l'account in Microsoft Entra ID. Il nuovo account non viene sincronizzato con l'oggetto Microsoft Entra esistente.
  • Microsoft Entra Connect è stato disinstallato e reinstallato. Durante la reinstallazione, è stato scelto un attributo diverso come SourceAnchor. Tutti gli oggetti sincronizzati in precedenza hanno interrotto la sincronizzazione con l'errore InvalidSoftMatch.

Caso di esempio:

  1. Luca Udinesi è un utente sincronizzato in Microsoft Entra ID da Active Directory locale di contoso.com
  2. UserPrincipalName di Bob Smith è impostato su bobs@contoso.com.
  3. "abcdefghijklmnopqrstuv==" è il SourceAnchor calcolato da Microsoft Entra Connect usando objectGUID di Luca Udinesi da Active Directory locale, ovvero immutableId per Luca Udinesi in Microsoft Entra ID.
  4. Bob ha anche i valori seguenti per l'attributo proxyAddresses:
  • SMTP: bobs@contoso.com
  • SMTP: bob.smith@contoso.com
  • smtp: bob@contoso.com
  1. Un nuovo utente, Bob Taylor, viene aggiunto ad Active Directory locale.
  2. UserPrincipalName di Bob Taylor è impostato su bobt@contoso.com.
  3. "abcdefghijkl0123456789=="" è il sourceAnchor calcolato da Microsoft Entra Connect usando objectGUID di Diego Conticini da Active Directory locale. L'oggetto di Diego Conticini NON è ancora sincronizzato con Microsoft Entra ID.
  4. Bob Taylor ha i valori seguenti per l'attributo proxyAddresses
  • SMTP: bobt@contoso.com
  • SMTP: bob.taylor@contoso.com
  • smtp: bob@contoso.com
  1. Durante la sincronizzazione, Microsoft Entra Connect riconoscerà l'aggiunta di Diego Conticini in Active Directory locale e chiederà a Microsoft Entra ID di apportare la stessa modifica.
  2. Microsoft Entra ID eseguirà prima la corrispondenza diretta. In altre parole, cercherà se è presente un oggetto con immutableId uguale a "abcdefghijkl0123456789==". La corrispondenza diretta avrà esito negativo poiché nessun altro oggetto in Microsoft Entra ID avrà quell'attributo immutableId.
  3. Microsoft Entra ID tenterà quindi di trovare una corrispondenza flessibile con Diego Conticini. In altre parole, cercherà se è presente un oggetto con proxyAddresses uguale ai tre valori, tra cui smtp: bob@contoso.com
  4. Microsoft Entra ID troverà l'oggetto di Luca Udinesi in modo che corrisponda ai criteri di corrispondenza flessibile. Tuttavia, questo oggetto ha il valore immutableId = "abcdefghijklmnopqrstuv==". che indica che questo oggetto è stato sincronizzato da un altro oggetto da Active Directory locale. Di conseguenza, Microsoft Entra ID non può eseguire la corrispondenza approssimativa di questi oggetti e genera un errore di sincronizzazione InvalidSoftMatch.

Come correggere l'errore InvalidSoftMatch

La causa più comune dell'errore InvalidSoftMatch è che due oggetti con attributi SourceAnchor (immutableId) differenti hanno lo stesso valore per gli attributi ProxyAddresses e/o UserPrincipalName, i quali vengono usati durante il processo di corrispondenza flessibile in Microsoft Entra ID. Per risolvere l'errore di corrispondenza flessibile non valida

  1. Identificare il valore di proxyAddresses duplicato, userPrincipalName o un altro valore di attributo che causa l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
  2. Identificare quale oggetto deve continuare ad avere il valore duplicato e quale no.
  3. Rimuovere il valore duplicato dall'oggetto che non deve avere tale valore. È necessario apportare la modifica nella directory in cui l'oggetto è originato. In alcuni casi, è necessario eliminare uno degli oggetti in conflitto.
  4. Se è stata apportata la modifica in AD locale, consentire a Microsoft Entra Connect di sincronizzare la modifica.

Le segnalazioni degli errori di sincronizzazione all'interno di Microsoft Entra Connect Health per la sincronizzazione vengono aggiornate ogni 30 minuti e includono gli errori del tentativo di sincronizzazione più recente.

Annotazioni

ImmutableId, per definizione, non deve cambiare la durata dell'oggetto. Se Microsoft Entra Connect non è stato configurato con alcuni degli scenari descritti nell'elenco precedente, è possibile che si verifichi una situazione in cui Microsoft Entra Connect calcola un valore diverso dell'oggetto SourceAnchor per l'oggetto AD che rappresenta la stessa entità (stesso utente/gruppo/contatto e così via), che ha un oggetto Microsoft Entra Object esistente che si desidera continuare a usare.

ObjectTypeMismatch

Descrizione

Quando Microsoft Entra ID tenta di trovare una corrispondenza flessibile con due oggetti, è possibile che due oggetti con "tipo oggetto" diversi (ad esempio Utente, Gruppo, Contatto e così via) abbiano gli stessi valori per gli attributi usati per eseguire la corrispondenza flessibile. Poiché la duplicazione di questi attributi non è consentita in Microsoft Entra, l'operazione può causare un errore di sincronizzazione "ObjectTypeMismatch".

Scenari di esempio per l'errore ObjectTypeMismatch

  • In Microsoft 365 viene creato un gruppo di sicurezza abilitato alla posta elettronica. L'amministratore aggiunge un nuovo utente o contatto in Active Directory locale (non ancora sincronizzato con Microsoft Entra ID) con lo stesso valore per l'attributo ProxyAddresses del gruppo di Microsoft 365.

Caso di esempio

  1. L'amministratore crea un nuovo gruppo di sicurezza abilitato alla posta elettronica in Microsoft 365 per il reparto addetto alle imposte e mette a disposizione un indirizzo di posta elettronica come tax@contoso.com. A questo gruppo è assegnato il valore dell'attributo ProxyAddresses di smtp: tax@contoso.com
  2. Un nuovo utente viene aggiunto a Contoso.com e viene creato un account per l'utente locale con proxyAddress come smtp: tax@contoso.com
  3. Quando Microsoft Entra Connect sincronizza il nuovo account utente, viene visualizzato l'errore "ObjectTypeMismatch".

Come correggere l'errore ObjectTypeMismatch

Il motivo più comune per l'errore ObjectTypeMismatch è che due oggetti di tipo diverso (Utente, Gruppo, Contatto e così via) hanno lo stesso valore per l'attributo ProxyAddresses. Per correggere ObjectTypeMismatch:

  1. Identificare il valore proxyAddresses (o altro attributo) duplicato che causa l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
  2. Identificare quale oggetto deve continuare ad avere il valore duplicato e quale no.
  3. Rimuovere il valore duplicato dall'oggetto che non deve avere tale valore. È necessario apportare la modifica nella directory in cui l'oggetto è originato. In alcuni casi, è necessario eliminare uno degli oggetti in conflitto.
  4. Se è stata apportata la modifica in AD locale, consentire a Microsoft Entra Connect di sincronizzare la modifica. La segnalazione degli errori di sincronizzazione all'interno di Microsoft Entra Connect Health per la sincronizzazione vengono aggiornate ogni 30 minuti e includono gli errori del tentativo di sincronizzazione più recente.

Attributi duplicati

Il valore dell'attributo deve essere unico

Descrizione

Lo schema di Microsoft Entra non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti. Ovvero, ogni oggetto in Microsoft Entra ID è forzato ad avere un valore univoco di questi attributi in una determinata istanza.

  • ProxyAddresses
  • UserPrincipalName

Se Microsoft Entra Connect tenta di aggiungere un nuovo oggetto o di aggiornare un oggetto esistente con un valore per gli attributi precedenti già assegnati a un altro oggetto in Microsoft Entra ID, l'operazione genera l'errore di sincronizzazione "AttributeValueMustBeUnique".

Scenari possibili:

Il valore duplicato viene assegnato a un oggetto già sincronizzato, che è in conflitto con un altro oggetto sincronizzato.

Caso di esempio:

  1. Luca Udinesi è un utente sincronizzato in Microsoft Entra ID da Active Directory locale di contoso.com
  2. UserPrincipalName di Bob Smith in locale è impostato su bobs@contoso.com.
  3. Bob ha anche i valori seguenti per l'attributo proxyAddresses:
  • SMTP: bobs@contoso.com
  • SMTP: bob.smith@contoso.com
  • smtp: bob@contoso.com
  1. Un nuovo utente, Bob Taylor, viene aggiunto ad Active Directory locale.
  2. UserPrincipalName di Bob Taylor è impostato su bobt@contoso.com.
  3. Bob Taylor dispone dei valori seguenti per l'attributo ProxyAddresses i. smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.com
  4. L'oggetto di Diego Conticini viene sincronizzato correttamente con Microsoft Entra ID.
  5. L'amministratore ha deciso di aggiornare l'attributo ProxyAddresses di Bob Taylor con il seguente valore: i. smtp: bob@contoso.com
  6. Microsoft Entra ID tenterà di aggiornare l'oggetto di Diego Conticini in Microsoft Entra ID con il valore precedente, ma tale operazione avrà esito negativo perché il valore ProxyAddresses è già assegnato a Luca Udinesi, causando l'errore "AttributeValueMustBeUnique".

Come correggere l'errore AttributeValueMustBeUnique

La causa più comune dell'errore AttributeValueMustBeUnique è che due oggetti con attributi SourceAnchor (immutableId) differenti hanno lo stesso valore per gli attributi ProxyAddresses e/o UserPrincipalName. Per correggere l'errore AttributeValueMustBeUnique

  1. Identificare il valore proxyAddresses, userPrincipalName o altro attributo duplicato che causa l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
  2. Identificare quale oggetto deve continuare ad avere il valore duplicato e quale no.
  3. Rimuovere il valore duplicato dall'oggetto che non deve avere tale valore. È necessario apportare la modifica nella directory in cui l'oggetto è originato. In alcuni casi, è necessario eliminare uno degli oggetti in conflitto.
  4. Se è stata apportata la modifica in AD locale, consentire a Microsoft Entra Connect di sincronizzare la modifica per correggere l'errore.

Errori di convalida dei dati

IdentityDataValidationFailed

Descrizione

Microsoft Entra ID applica varie restrizioni sui dati prima di consentire la scrittura dei dati nella directory. Queste restrizioni servono a garantire che gli utenti finali abbiano la migliore esperienza possibile durante l'uso delle applicazioni che dipendono da questi dati.

Scenari

Il valore dell'attributo UserPrincipalName contiene caratteri non validi o non supportati. b. L'attributo UserPrincipalName non segue il formato richiesto.

Come correggere l'errore IdentityDataValidationFailed

Verificare che l'attributo userPrincipalName contenga caratteri supportati e il formato richiesto.

FederatedDomainChangeError

Descrizione

In questo caso viene generato un errore di sincronizzazione "FederatedDomainChangeError" quando il suffisso di UserPrincipalName viene modificato da un dominio federato a un altro dominio federato.

Scenari

Per un utente sincronizzato, il suffisso UserPrincipalName è stato modificato da un dominio federato a un altro dominio federato in locale. Ad esempio, UserPrincipalName = bob@contoso.com è stato modificato in UserPrincipalName = bob@fabrikam.com.

Esempio

  1. Bob Smith, un account per Contoso.com, viene aggiunto come nuovo utente in Active Directory con UserPrincipalName bob@contoso.com
  2. Bob passa a una divisione diversa di Contoso.com denominata Fabrikam.com e i relativi UserPrincipalName vengono modificati in bob@fabrikam.com
  3. Entrambi i domini contoso.com e fabrikam.com sono domini federati con Microsoft Entra ID.
  4. userPrincipalName di Bob non viene aggiornato e genera un errore di sincronizzazione "FederatedDomainChangeError".

LargeObject

Descrizione

Quando un attributo supera il limite di dimensioni, il limite di lunghezza o il limite di conteggio consentito impostato dallo schema di Microsoft Entra, l'operazione di sincronizzazione genera l'errore di sincronizzazione LargeObject o ExceededAllowedLength. In genere questo errore si verifica per gli attributi seguenti

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Scenari possibili

  1. L'attributo userCertificate di Bob archivia un numero eccessivo di certificati assegnati a Bob. Possono essere inclusi certificati meno recenti e scaduti. Il limite massimo è di 15 certificati.
  2. L'attributo userSMIMECertificate di Bob archivia un numero eccessivo di certificati assegnati a Bob. Possono essere inclusi certificati meno recenti e scaduti. Il limite massimo è di 15 certificati.
  3. Il set thumbnailPhoto di Luca in Active Directory è troppo grande da sincronizzare in Microsoft Entra ID.
  4. Durante il popolamento automatico dell'attributo ProxyAddresses in Active Directory, a un oggetto è assegnato un numero eccessivo di proxyAddresses.

Procedura di correzione

Assicurarsi che l'attributo che causa l'errore sia compreso nella limitazione consentita.

Conflitto tra ruoli di amministratore

Descrizione

Si verificherà un Conflitto di ruolo amministratore esistente in un oggetto utente durante la sincronizzazione quando l'oggetto utente presenta:

  • autorizzazioni amministrative e
  • lo stesso UserPrincipalName di un oggetto Microsoft Entra esistente

Microsoft Entra Connect non è autorizzato a stabilire una corrispondenza flessibile di un oggetto utente in un'istanza locale di AD con un oggetto utente in Microsoft Entra ID a cui è assegnato un ruolo amministrativo.

Screenshot della schermata Microsoft Entra Connect con il campo Amministratore esistente selezionato.

Procedura di correzione

Per risolvere questo problema, effettuare le operazioni seguenti:

  1. Rimuovere l'account Microsoft Entra (proprietario) da tutti i ruoli di amministratore.
  2. Eliminare definitivamente l'oggetto in quarantena nel cloud.
  3. Il ciclo di sincronizzazione successivo si occuperà della corrispondenza flessibile dell'utente locale con l'account cloud, poiché l'utente cloud non è più un amministratore globale.
  4. Ripristinare le appartenenze ai ruoli per il proprietario.

Annotazioni

È possibile assegnare nuovamente il ruolo amministrativo all'oggetto utente esistente dopo aver stabilito la corrispondenza flessibile tra l'oggetto utente locale e quello di Microsoft Entra.