本文按步骤介绍了如何使用故障排除任务来排查对象同步问题。 若要了解如何在 Azure AD Connect 中对工作进行故障排除,请观看
短视频
。
故障排除任务
对于 1.1.749.0 或更高版本的 Azure AD Connect 部署,请使用向导中的故障排除任务来排查对象同步问题。 对于早期版本,可以
手动进行故障排除
。
在向导中运行故障排除任务
若要运行故障排除任务,请执行以下操作:
使用“以管理员身份运行”选项,在 Azure AD Connect 服务器上打开一个新的 Windows PowerShell 会话。
运行
Set-ExecutionPolicy RemoteSigned
或
Set-ExecutionPolicy Unrestricted
。
启动 Azure AD Connect 向导。
转到“其他任务”>“故障排除”,然后选择“下一步”。
在“故障排除”页上,选择“启动”以在 PowerShell 中启动故障排除菜单。
在主菜单中,选择“排查对象同步问题”。
故障排除任务需要以下输入参数:
对象可分辨名称:需要进行故障排除的对象的可分辨名称。
AD 连接器名称:对象所在的 Windows Server Active Directory (Windows Server AD) 林的名称。
Azure Active Directory (Azure AD) 租户混合标识管理员凭据。
了解故障排除任务的结果
此故障排除任务执行以下检查:
如果对象已同步到 Azure AD,则检测用户主体名称 (UPN) 不匹配情况。
检查对象是否已因域筛选而被筛选出来。
检查对象是否已因组织单位 (OU) 筛选而被筛选出来。
检查对象同步是否因链接邮箱而被阻止。
检查对象是否位于不打算将其同步的动态通讯组中。
本文的剩余内容说明了此故障排除任务返回的具体结果。 在每个示例中,此任务都提供了分析以及解决问题所需的建议操作。
在对象已同步到 Azure AD 的情况下检测 UPN 不匹配的情况
检查后续部分所述的 UPN 不匹配问题。
使用 Azure AD 租户时,不验证 UPN 后缀
如果在使用 Azure AD 租户时未验证 UPN 或备用登录 ID 后缀,则 Azure AD 会将 UPN 后缀替换为默认域名
onmicrosoft.com
。
禁用 Azure AD 租户 DirSync 功能 SynchronizeUpnForManagedUsers 后,Azure AD 不允许将更新同步到使用托管身份验证的许可用户帐户的 UPN 或备用登录 ID。
对象已因域筛选而被筛选出来
检查后续部分所述的域筛选问题。
未将域配置为同步
对象不在范围内,因为尚未配置域。 在下图的的示例中,对象不在范围内,因为其所属的域已从同步中筛选出来。
域已配置为同步,但缺少运行配置文件或运行步骤
对象不在范围内,因为域缺少运行配置文件或运行步骤。 在下图的示例中,对象不在范围内,因为其所属的域缺少“完全导入”运行配置文件的运行步骤。
对象已因 OU 筛选而被筛选出来
对象因 OU 筛选配置而不在同步范围内。 在下图的示例中,对象属于
OU=NoSync,DC=bvtadwbackdc,DC=com
。 此 OU 不包括在同步范围内。
链接邮箱问题
链接邮箱假设与位于另一个受信任帐户林中的外部主帐户相关联。 如果主帐户不存在,Azure AD Connect 不会将对应于 Exchange 林中的链接邮箱的用户帐户同步到 Azure AD 租户。
动态通讯组问题
由于本地 Windows Server AD 和 Azure AD 之间的各种差异,Azure AD Connect 不会将动态通讯组与 Azure AD 租户同步。
HTML 报告
除了分析对象,故障排除任务还会生成 HTML 报表,其中包含有关该对象的一切已知内容。 可以根据支持团队的需要与其共享 HTML 报表,方便支持团队进一步进行故障排除。
了解有关
将本地标识与 Azure Active Directory 集成
的详细信息。
