使用 Microsoft Entra Connect 同步排查对象同步问题

本文按步骤介绍了如何使用故障排除任务来排查对象同步问题。

故障排除任务

对于 1.1.749.0 或更高版本的 Microsoft Entra Connect 部署,请使用向导中的故障排除任务来排查对象同步问题。 对于早期版本,可以手动进行故障排除

在向导中运行故障排除任务

若要运行故障排除任务,请执行以下操作:

  1. 使用“以管理员身份运行”选项,在 Microsoft Entra Connect 服务器上打开一个新的 Windows PowerShell 会话。
  2. 运行 Set-ExecutionPolicy RemoteSignedSet-ExecutionPolicy Unrestricted
  3. 启动 Microsoft Entra Connect 向导。
  4. 转到“其他任务”>“故障排除”,然后选择“下一步”。
  5. 在“故障排除”页上,选择“启动”以在 PowerShell 中启动故障排除菜单。
  6. 在主菜单中,选择“排查对象同步问题”。

Screenshot that shows the Troubleshoot object sync option highlighted in Microsoft Entra Connect.

排查输入参数问题

故障排除任务需要以下输入参数:

  • 对象可分辨名称:需要进行故障排除的对象的可分辨名称。
  • AD 连接器名称:对象所在的 Windows Server Active Directory (Windows Server AD) 林的名称。
  • Microsoft Entra 租户混合标识管理员凭据。

Screenshot that shows the credentials dialog on a PowerShell terminal background.

了解故障排除任务的结果

此故障排除任务执行以下检查:

  • 如果对象已同步到 Microsoft Entra ID,则检测用户主体名称 (UPN) 不匹配情况。
  • 检查对象是否已因域筛选而被筛选出来。
  • 检查对象是否已因组织单位 (OU) 筛选而被筛选出来。
  • 检查对象同步是否因链接邮箱而被阻止。
  • 检查对象是否位于不打算将其同步的动态通讯组中。

本文的剩余内容说明了此故障排除任务返回的具体结果。 在每个示例中,此任务都提供了分析以及解决问题所需的建议操作。

如果对象已同步到 Microsoft Entra ID,则检测 UPN 不匹配情况

检查后续部分所述的 UPN 不匹配问题。

未使用 Microsoft Entra 租户验证 UPN 后缀

未使用 Microsoft Entra 租户验证 UPN 或备用登录 ID 后缀时,Microsoft Entra ID 会将 UPN 后缀替换为默认域名 partner.onmschina.cn。 若要解决此问题,请将 UPN 后缀添加为租户上经验证的域。 有关详细信息,请访问管理 Microsoft Entra ID 中的自定义域名

Screenshot that shows an example of an unverified UPN suffix error in PowerShell.

Microsoft Entra 租户 DirSync 功能 SynchronizeUpnForManagedUsers 已禁用

禁用 Microsoft Entra 租户 DirSync 功能 SynchronizeUpnForManagedUsers 后,Microsoft Entra ID 不允许将更新同步到使用托管身份验证的许可用户帐户的 UPN 或备用登录 ID。 若要了解如何启用 SynchronizeUpnForManagedUsers 功能,请访问 Microsoft Entra Connect 同步服务功能

Screenshot that shows an example of a UPN sync for managed users error in PowerShell.

对象已因域筛选而被筛选出来

检查后续部分所述的域筛选问题。

未将域配置为同步

对象不在范围内,因为尚未配置域。 在下图的的示例中,对象不在范围内,因为其所属的域已从同步中筛选出来。

Screenshot that shows an example of an error caused by a domain that's not in sync scope.

域已配置为同步,但缺少运行配置文件或运行步骤

对象不在范围内,因为域缺少运行配置文件或运行步骤。 在下图的示例中,对象不在范围内,因为其所属的域缺少“完全导入”运行配置文件的运行步骤。

Screenshot that shows an example of an error caused by missing run steps.

对象已因 OU 筛选而被筛选出来

对象因 OU 筛选配置而不在同步范围内。 在下图的示例中,对象属于 OU=NoSync,DC=bvtadwbackdc,DC=com。 此 OU 不包括在同步范围内。

Screenshot that shows an example of an OU filtering error in PowerShell.

链接邮箱问题

链接邮箱假设与位于另一个受信任帐户林中的外部主帐户相关联。 如果主帐户不存在,Microsoft Entra Connect 不会将对应于 Exchange 林中的链接邮箱的用户帐户同步到 Microsoft Entra 租户。

Screenshot that shows an example of a linked mailbox error in PowerShell.

动态通讯组问题

由于本地 Windows Server AD 和 Microsoft Entra ID 之间的各种差异,Microsoft Entra Connect 不会将动态通讯组与 Microsoft Entra 租户同步。

Screenshot that shows an example of a dynamic distribution group error in PowerShell.

HTML 报告

除了分析对象,故障排除任务还会生成 HTML 报表,其中包含有关该对象的一切已知内容。 可以根据支持团队的需要与其共享 HTML 报表,方便支持团队进一步进行故障排除。

Screenshot that shows an example of an HTML report in PowerShell.

后续步骤

详细了解如何将本地标识与 Microsoft Entra ID 集成