« La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi. Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi ! »

Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Résolution des problèmes liés à la synchronisation des répertoires

Les tâches clés de dépannage pour la synchronisation d’annuaires incluent l’analyse des journaux pour les erreurs et l’assainissement des erreurs de synchronisation avec l’outil lui-même. Les problèmes typiques qui peuvent entraîner des problèmes sont les suivants :

  • Erreurs d’installation, telles que l’utilisation d’informations d’identification incorrectes sur site ou Microsoft 365.
  • Désactivation par inadvertance de la synchronisation d’annuaires dans le Centre d’administration Microsoft 365 ou via Windows PowerShell.
  • Modifications inattendues de l’AD DS qui affectent la portée de l’OU ou le filtrage des attributs.
  • Endommagé AD DS, nécessitant la récupération d’annuaire.

Avertissement! Désactivation puis réactivation de la synchronisation d’annuaire

Un domaine clé qui peut conduire à des problèmes à moins que clairement compris est lorsque vous désactivez, puis réactivez la synchronisation dans le Centre d’administration Microsoft 365.

  • Désactivation de la synchronisation d’annuaires. Lorsque la synchronisation d’annuaire est désactivée, la source d’autorité est transférée de l’AD DS local à Microsoft 365. La désactivation est nécessaire lorsque l’AD DS local n’est plus utilisé pour créer et gérer des utilisateurs, des groupes, des contacts et des boîtes aux lettres, par exemple après une migration Exchange mise en scène vers le cloud, où l’organisation ne veut plus gérer des objets à partir de locaux.
  • Réactiver la synchronisation d’annuaire. Des problèmes peuvent ensuite survenir si la synchronisation d’annuaire est ensuite réactivée, la source d’autorité ayant été transférée de Microsoft 365 à l’AD DS local. Lorsque cela se produit, les modifications effectuées après la désactivation seront remplacées et perdues une fois la synchronisation d’annuaire réactivée.

Voici un exemple de cette situation, qui entraîne des changements de système qui sont finalement perdus:

  • En janvier, Contoso a activé la synchronisation d’annuaire. Il a ensuite créé de nouveaux utilisateurs sur place, qui ont été synchronisés avec Microsoft 365. En l’espèce, la source d’autorité était l’AD DS sur place.
  • En juillet, contoso a désactivé la synchronisation d’annuaires, ce qui a entraîné le transfert de la source d’autorité à Microsoft 365 ; à partir de ce moment, les objets ont été modifiés dans Microsoft 365.
  • En septembre, Contoso a décidé de déployer AD FS et SSO. Pour répondre à cette exigence, la synchronisation d’annuaire a été réactivée, transférant la source d’autorité vers le DS AD local.

Dans cet exemple, lorsque Contoso a réactivé et exécuté la synchronisation d’annuaire en septembre, toutes les modifications apportées aux objets Microsoft 365 de juillet à septembre ont été remplacées et perdues.

Mise à jour d’Azure AD Connect

Il est important d’utiliser la dernière version d’Azure AD Connect. Le lien pour télécharger Azure AD Connect est fourni dans Microsoft 365 et le portail Azure. Cette version téléchargeable est toujours la version la plus actuelle et est officiellement prise en charge par Microsoft. Lors de la mise à niveau vers une nouvelle version d’Azure AD Connect, certains filtres existants et autres personnalisations d’agents de gestion peuvent ne pas être automatiquement importés dans la nouvelle installation. Si vous passez à une version plus récente, vous devez toujours réappliquer manuellement les configurations de filtrage après la mise à niveau, mais avant d’exécuter le premier cycle de synchronisation.

Gestionnaire de service de synchronisation

Pour vérifier l’outil de synchronisation d’annuaire s’il y a des problèmes, vous devez ouvrir le Gestionnaire de services de synchronisation dans le groupe Azure AD Connect dans le menu Démarrer. Dans l’application, vous devez afficher l’onglet Opérations, où vous cherchez à confirmer que les opérations suivantes ont été effectuées avec succès :

  • Importer sur le connecteur AD
  • Importer sur le connecteur Azure AD
  • Synchronisation complète sur le connecteur AD
  • Synchronisation complète sur le connecteur AZURe AD

Examinez les résultats de ces opérations afin de valider l’état de synchronisation d’annuaire et d’identifier les erreurs. Par défaut, ces opérations sont planifiées pour s’exécuter une fois toutes les heures. Si vous ne souhaitez pas attendre aussi longtemps pour résoudre un problème, utilisez la procédure suivante pour forcer la synchronisation manuelle :

  • Ouvrez l’outil Azure AD Connect dans le menu Démarrer.
  • Fournissez les informations demandées sur les pages de l’Assistant (vous devez pouvoir accepter les paramètres par défaut si l’outil a déjà été déployé).
  • Dans la page Configurer, sélectionnez le processus Démarrer la synchronisation dès que l’option de configuration initiale se termine, puis sélectionnez Terminer.

Vous pouvez également utiliser Windows PowerShell pour initier la synchronisation manuelle. Lorsque vous démarrez le module Azure AD pour Windows PowerShell, tapez la commande suivante pour lancer une synchronisation delta :

Start-ADSyncSyncCycle -PolicyType Delta

Pour lancer une synchronisation complète, tapez la commande suivante :

Start-ADSyncSyncCycle -PolicyType Initial

Problèmes et scénarios réels

Étant donné que la synchronisation d’annuaire est le lien entre vos objets AD DS locaux et les services de Microsoft 365, soyez très prudent lorsque vous effectuez des modifications à Azure AD Connect ou au Gestionnaire de service de synchronisation après le déploiement de la production. Par exemple, une erreur mineure de filtrage peut accidentellement supprimer toutes les boîtes aux lettres utilisateur de Microsoft 365 très rapidement.

Dans certains environnements, vous pouvez tester toutes les modifications sur un serveur de synchronisation d’annuaire distinct dans un environnement de test connecté à un locataire Microsoft 365 distinct (essai). En outre, vous devez lancer manuellement des profils d’exécution pour chaque agent de gestion dans Le Gestionnaire de services de synchronisation et observer les actions en attente avant d’exporter vers Microsoft 365. Dans certains cas, il peut être judicieux de créer un nouveau profil d’exécution (pour l’exportation vers Azure AD) qui inclut une limite maximale sur le nombre de suppressions autorisées.

L’outil Microsoft 365 IdFix est l’un des outils clés pour faciliter le dépannage. Cet outil peut identifier et corriger la majorité des erreurs de synchronisation d’objets dans vos forêts AD DS en vue d’un déploiement sur Microsoft 365.

Bien sûr, pour atténuer bon nombre de ces problèmes, vous devriez tenir compte des pratiques exemplaires suivantes :

  • Vous devez créer un plan de projet complet.
  • Si vous utilisez le filtrage, il doit être configuré avant de synchroniser des objets.
  • Vous devez travailler avec un partenaire de services cloud.
  • Vous devez effectuer une planification approfondie de la capacité.
  • Vous devez corriger AD DS avant de déployer la synchronisation d’annuaire.
  • Vous devez ajouter tous les domaines SMTP en tant que domaines vérifiés avant la synchronisation.

Vous devez être authentifié pour pouvoir laisser des commentaires...

Print Friendly, PDF & Email

Error : File plugins/slideshowck/autoloadfolder/helper/helper_autoloadfolder.php not found !

CB Login