Naar de hoofdinhoud
Alle collectiesProbleem oplossen & FAQGebruikersvoorziening en -beheer
Problemen oplossen met de Azure AD-synchronisatietool
Problemen oplossen met de Azure AD-synchronisatietool
Meer dan 4 maanden geleden bijgewerkt

Inleiding

  • Heeft u problemen met gebruikersbeheer, maar draait de Azure AD synctool niet? Raadpleeg dan onze sectie over probleemoplossing bij gebruikersvoorziening en -beheer.

  • We raden aan om altijd de nieuwste versie van de AAD synctool te gebruiken. Update de synctool eerst voordat u verdergaat met de probleemoplossing. U kunt de nieuwste versie hier downloaden.

Houd rekening met het volgende:

  • Workspace controleert de UPN van de gebruiker. Het wijzigen van de UPN tijdens synchronisatie kan problemen veroorzaken.

  • Gebruikers in uw AAD moeten een voor- en achternaam hebben.

  • Gebruikers uit distributielijsten en/of mail-enabled beveiligingsgroepen kunnen niet worden geïmporteerd.

  • Gebruikers uit geneste groepen kunnen niet worden geïmporteerd.

  • De App-registratie voor de Azure AD synctool is gescheiden van de SSO App-registratie. Dit betekent dat als u ooit iets moet wijzigen aan de App-registratie voor de Azure AD synctool, dit geen invloed heeft op gebruikers die kunnen inloggen in de Workspace-omgeving.

    Als alternatief voor de Azure AD synctool kunt u geautomatiseerde gebruikersvoorziening via de SCIM API gebruiken.


Controleer of de synctool up-to-date is

Zorg ervoor dat u altijd de nieuwste versie van de synctool gebruikt. Om te controleren welke versie u gebruikt:

  1. Open de bestandslocatie.

  2. Klik met de rechtermuisknop op de configuratietool.

    xe2.png
  3. Ga naar Eigenschappen.

  4. Selecteer het tabblad Details.

  5. Controleer de Bestandsversie.

Niet up-to-date? Update naar de nieuwste versie, die u hier kunt downloaden.


Synctool-logboeken

Bij het oplossen van problemen met de Azure AD synctool, moet u altijd de logboeken controleren op foutmeldingen. Veel hiervan worden beschreven in de sectie Fouten en Oplossingen van dit artikel.

De map Logs is te vinden in dezelfde map waar de synctool runner en configuratietool executables zich bevinden. Selecteer in de map Logs de datum en vervolgens de tijd waarvan u de logboeken wilt bekijken. Als u meerdere synctools gebruikt, zorg er dan voor dat u de juiste synctool-directory heeft geopend bij het controleren van logboeken.


Forceer een handmatige synchronisatie

In sommige situaties wilt u misschien een handmatige synchronisatie forceren in plaats van te wachten tot de periodieke synchronisatie is voltooid. Bijvoorbeeld, als u de synctool aan het troubleshooten bent en, na het herstarten van de synchronisatie, wilt zien of een gebruiker aan de juiste groep is toegevoegd terwijl u de logboeken controleert op mogelijke foutmeldingen. Er zijn twee manieren om een handmatige synchronisatie uit te voeren.

Opmerking: Een handmatige synchronisatie kan niet worden uitgevoerd als de 'Synchronisatie-instellingen' van de synctool zijn ingesteld op 'Eenmaal per dag'. Dit is zo ontworpen. En als u meerdere synctools gebruikt, zorg ervoor dat u de juiste synctool-service opnieuw start.

Optie 1 (aanbevolen):

  1. Stop de Windows-service van de synctool vanuit Taakbeheer of services.msc.

  2. Navigeer naar de directory van de synctool en voer 'NDAW.AzureActiveDirectorySync.Runner.exe' uit.

    exe.png
  3. De synchronisatie wordt uitgevoerd in een CMD-venster en u kunt precies zien wat de synctool doet (dit wordt ook naar de logboeken geschreven). Wanneer het klaar is, ziet u het volgende bericht:

    sync_done.png


    U kunt de logboeken controleren op foutmeldingen en vervolgens het CMD-venster sluiten.

  4. Start de Windows-service opnieuw.

Optie 2:

  1. Start de Windows-service van de synctool opnieuw vanuit Taakbeheer of services.msc.


Handmatige synchronisatie lijkt niets te doen

Als u een handmatige synchronisatie uitvoert, lijkt het alsof er niets gebeurt:

SynctoolSeemsStuck.png

Over het algemeen gebeurt dit wanneer de synctool veel wijzigingen moet verwerken. Tijdens elke handmatige synchronisatie zal de synctool eerst de wijzigingen inventariseren die moeten worden aangebracht. Terwijl dit gebeurt, lijkt het misschien alsof er niets gebeurt. Dit is vooral waarschijnlijk tijdens de eerste synchronisatie, die altijd langer duurt omdat de synctool tegelijkertijd zijn cache moet opbouwen. Afhankelijk van de grootte van uw Azure AD en hoeveel gebruikers/groepen u synchroniseert, kan dit enige tijd duren. Dit is een kwestie van wachten; zodra de synctool klaar is met inventariseren, ziet u dat alle wijzigingen worden verwerkt.

De uitzondering hierop is wanneer het synchronisatietype in de instellingen van de synctool is ingesteld op Eenmaal per dag. Met deze instelling kunt u geen handmatige synchronisatie uitvoeren. Wijzig het type naar Periodiek en probeer het opnieuw.


Verloop van de clientgeheim

Uitleg: in de eerste stap bij het instellen van de AAD synctool hebt u een Azure AD-app-registratie gemaakt in Azure. Het bijbehorende clientgeheim heeft een vervaldatum. Als het bijna verloopt of al is verlopen, wordt u hiervan op de hoogte gesteld in Azure:

expired_certificate__about_to_expire_.png
expired_certificate.png

Oplossing: u moet dan het clientgeheim vervangen of verwijderen en een nieuwe maken. Dit doet u als volgt:

  1. Klik op de hyperlink zoals weergegeven in het bovenstaande voorbeeld om een nieuw clientgeheim te maken.

  2. Vul de beschrijving in en stel een nieuwe vervaldatum in.

  3. Klik op Toevoegen.

  4. Noteer de waarde (niet te verwarren met 'geheim ID'!).

  5. Open de bestandslocatie waar de synctool wordt uitgevoerd. Open de configuratietool:

    xe2.png


  6. In het venster Verbinden met Azure AD vervangt u het clientgeheim (waarde).

  7. Klik vervolgens op Volgende.

U hebt nu het clientgeheim vervangen.

Tip: plan na het vernieuwen van het clientgeheim een herinnering in uw agenda om het clientgeheim opnieuw te vernieuwen kort voordat de vervaldatum verloopt.


Profielfoto wordt niet bijgewerkt

Uitleg: wanneer een gebruiker zijn profielfoto in Microsoft 365 heeft gewijzigd, zal de huidige Azure AD synctool de profielfoto niet automatisch bijwerken in Workspace. Dit komt omdat de profielfoto geen Azure AD-attribuut is. De synctool controleert alleen op wijzigingen in Azure AD-attributen. Dit is een beperking van de Azure AD synctool.

Oplossing: wijzig een van de Azure AD-attributen van de gebruiker (een spatie achter de naam zou voldoende moeten zijn). De synctool detecteert nu een wijziging in een Azure AD-attribuut. Vervolgens wordt het profiel van de gebruiker gesynchroniseerd met Workspace, inclusief de nieuwe profielfoto. Een andere oplossing voor dit probleem is over te schakelen naar geautomatiseerde gebruikersvoorziening via SCIM.


Gebruiker en/of groepssynchronisatieproblemen

Groepen worden niet zoals verwacht gesynchroniseerd

Het hebben van zowel groeps- als domeinfiltering ingeschakeld kan discrepanties veroorzaken tussen uw Azure AD en Workspace.

Voorbeeld: gebruiker A is opgenomen in domein X en groep Y. Domein X wordt gesynchroniseerd, maar groep Y niet. Als gevolg hiervan wordt gebruiker A niet correct gesynchroniseerd.

Als dit het geval is, probeer dan:

  1. Schakel filtering volledig uit in de configuratie-UI van de synctool.

  2. Start de Windows-service van de synctool opnieuw. Dit zal alle gebruikers synchroniseren met Workspace.

  3. Wacht tot de synchronisatie is voltooid.

  4. Schakel filtering weer in via de configuratie-UI van de synctool. Op deze manier kunt u selecteren welke gebruikers moeten worden toegevoegd aan Workspace en alle andere gebruikers worden dienovereenkomstig verwijderd.

  5. Start de synctool-service opnieuw en wacht tot de synchronisatie is voltooid.

Groepen zouden nu correct moeten worden gesynchroniseerd.


Gebruikers worden niet toegevoegd aan specifieke groepen

Als gebruikers niet worden toegevoegd aan groepen, probeer dan:

  1. Schakel filtering volledig uit in de configuratie-UI van de synctool.

  2. Start de Windows-service van de synctool opnieuw. Dit zal alle gebruikers synchroniseren met Workspace.

  3. Wacht tot de synchronisatie is voltooid.

  4. Schakel filtering weer in via de configuratie-UI van de synctool. Op deze manier kunt u selecteren welke gebruikers moeten worden toegevoegd aan Workspace en alle andere gebruikers worden dienovereenkomstig verwijderd.

  5. Start de synctool-service opnieuw.

  6. Wacht tot de synchronisatie is voltooid.

Wanneer het probleem blijft bestaan, kunt u overwegen om de cache te wissen. Dit wordt echter niet aanbevolen als eerste oplossing. Neem contact op met de ondersteuning als u vragen heeft.


Per ongeluk een gebruiker verwijderd uit een groep die wordt gesynchroniseerd met Workspace

Als dit het geval is, probeer dan:

  1. Stop de Windows-service van de synctool.

  2. Voeg de gebruiker opnieuw toe of maak de gebruiker opnieuw aan in de groep (of maak een nieuwe groep) in Azure AD.

  3. Zorg ervoor dat deze groep is opgenomen in de groepsfiltering vanuit de configuratie-UI van de synctool.

  4. Start de synctool-service opnieuw.

  5. Wacht tot de synchronisatie is voltooid.

  6. De verwijderde gebruiker zou nu correct moeten worden gesynchroniseerd. Zo niet, controleer dan de synctool-logboeken.


Gebruiker met hergebruikte UPN wordt niet toegevoegd aan de Workspace

Het kan zijn dat u een gebruiker uit uw Azure AD heeft verwijderd die werd gesynchroniseerd met Workspace. Wanneer u deze gebruiker verwijdert, komt hij/zij in de lijst met verwijderde gebruikers van de Workspace terecht. Maar misschien moet u diezelfde gebruiker opnieuw toevoegen in uw Azure AD en synchroniseren met Workspace? Het is waarschijnlijk dat als u dit binnen 30 dagen doet, de Azure AD synctool diezelfde gebruiker niet kan synchroniseren met Workspace.

U heeft nu twee opties.

Optie 1: wacht 30 dagen voordat u diezelfde gebruiker opnieuw toevoegt aan uw Azure AD om deze te synchroniseren met Workspace.

Optie 2: verwijder de gebruiker handmatig uit de lijst met verwijderde gebruikers van de Workspace en wis de cache van de synctool.

  1. Ga naar de Workspace-instellingenpagina.

  2. Ga naar 'Gebruikers & groepen'.

  3. Selecteer 'Gebruikersvoorziening'.

  4. Schakel de synchronisatie uit vanuit Azure AD.

  5. Klik op 'Gereed'.

  6. Ga naar 'Gebruikersbeheer'.

  7. Selecteer het tabblad 'Verwijderde gebruikers'.

  8. Verwijder hier de gebruiker die u opnieuw probeert te synchroniseren met Workspace.

  9. Ga terug naar 'Gebruikersvoorziening'.

  10. Schakel de synchronisatie vanuit Azure AD weer in.

  11. Klik op 'Gereed'.

  12. Wis de cache van de synctool.

  13. Start de Windows-service van de synctool opnieuw.


Permanent verwijderde Azure AD-gebruiker wordt niet verwijderd in Workspace

Wanneer een gebruiker permanent wordt verwijderd in Azure AD, ziet de cache van de synctool deze wijziging mogelijk niet en blijft de gebruiker actief in Workspace. Zelfs een cache-wis zal de gebruiker niet verwijderen in Workspace.

Opmerking: we raden aan om de gebruiker in Azure AD zacht te verwijderen of geautomatiseerde gebruikersvoorziening via SCIM te gebruiken.

Om de gebruiker te verwijderen, moet u de gebruiker handmatig verwijderen in Workspace:

  1. Ga naar de Workspace-beheerinstellingenpagina.

  2. Ga naar 'Gebruikers & groepen'.

  3. Selecteer 'Gebruikersvoorziening'.

  4. Haal het vinkje weg bij 'Synchronisatie inschakelen vanuit Azure AD'.

  5. Klik op 'Gereed'.

  6. Ga naar 'Gebruikersbeheer'.

  7. Selecteer en verwijder de gebruiker die in Azure AD is verwijderd. Het is optioneel om de gebruiker permanent te verwijderen uit de lijst 'Verwijderde gebruikers' in Workspace, maar dit is niet verplicht. Verwijderde gebruikers in Workspace worden na 30 dagen permanent verwijderd.

  8. Ga terug naar de pagina 'Gebruikersvoorziening'.

  9. Schakel de synchronisatie vanuit AD in en klik op 'Gereed'.


Fouten en Oplossingen

API Endpoint of resource ID was not found

018-08-16 16:42:00.689 ActiveDirectoryToWorkspaceSyncTool.ActiveDirectory.NotificationService - Error during W365 notification
ActiveDirectoryToWorkspaceSyncTool.ActiveDirectory.NotificationService.A(:0) (null)
NDAW.AdSyncApi.Client.Exceptions.NotFoundException: API Endpoint or resource id was not found

Uitleg: sommige ingevoerde informatie is ongeldig.

Oplossing: controleer het volgende:

  • De Workspace site URL

  • API Token

  • Omgevingsnaam


Server weigerde client te authenticeren, controleer of API is ingeschakeld en authenticatietoken correct is

 NotificationService - Error during W365 notification
NDAW.AzureActiveDirectorySync.ActiveDirectory.NotificationService.CreateOrUpdateUserNotification(:0) (null)
NDAW.AdSyncApi.Client.Exceptions.AuthenticationException: Server refused to authenticate client, check if API is enabled and authentication token is correct

Uitleg: er is geen verbinding tussen de Azure AD synctool en Workspace.

Oplossing:

  • In de AAD synctool-configuratie-UI, verifieer de Workspace site URL:

  • In de AAD synctool-configuratie-UI, verifieer de omgevingsnaam:

  • API-sleutel & gebruikersvoorzieningsmethode:

    • Controleer onder de instellingen voor gebruikersvoorziening in Workspace of de 'gebruikersvoorzieningsmethode' is ingeschakeld voor Azure Active Directory (AD) synchronisatie.

    • In de Azure AD-configuratie-UI moet het API-authenticatietoken exact overeenkomen met de Azure AD sync API-sleutel in Workspace. Als u niet zeker weet of deze sleutels overeenkomen (omdat de sleutel slechts eenmaal na aanmaak wordt weergegeven), genereer dan de Azure AD sync API-sleutel opnieuw in Workspace en vul dezelfde sleutel in in de configuratie-UI van de synctool. Noteer/bewaar deze sleutel.


Voornaam en achternaam zijn vereist

NDAW.AdSyncApi.Client.Exceptions.ServerValidationException: Server
validation failed: FirstName:This field is required, LastName:This field is required

Uitleg: een gebruiker moet een voornaam en achternaam hebben in Entra ID (voorheen Azure AD) om te worden gesynchroniseerd.

Oplossing: voer een voornaam en/of achternaam in voor de gebruiker in Entra ID.


Servervalidatie mislukt: UserPrincipalNameis al in gebruik

NotificationService - Error during W365 notification
NDAW.AdSyncApi.Client.Exceptions.ServerValidationException: Server validation failed: UserPrincipalName:Username is already taken.

Uitleg: er is al een gebruiker gedetecteerd in de Workspace met dezelfde gebruikersnaam. Deze fout treedt meestal op wanneer u een gebruiker uit Entra ID (voorheen Azure AD) hebt verwijderd en vervolgens opnieuw hebt aangemaakt voordat de gebruiker permanent is verwijderd uit de Workspace.


De externe server retourneerde een fout: (400) Bad Request

ActiveDirectoryToWorkspaceSyncTool.AzureAD.Exceptions.AzureAdParsedDataServiceException - Exception parsing failed
ActiveDirectoryToWorkspaceSyncTool.AzureAD.Exceptions.AzureAdParsedDataServiceException.Parse(:0) (null)
System.Net.WebException: The remote server returned an error: (400) Bad Request.
at System.Net.WebClient.DownloadDataInternal(Uri address, WebRequest& request)
at System.Net.WebClient.DownloadData(Uri address)
at ActiveDirectoryToWorkspaceSyncTool.AzureAD.GraphQuery.AzureAdGraphQuery.A()
2020-06-10 09:53:08.562 AzureAdParsedDataServiceException - Exception parsing failed 
NDAW.AzureActiveDirectorySync.AzureAD.Exceptions.AzureAdParsedDataServiceException.Parse(:0) (null)
System.Net.WebException: The remote server returned an error: (400) Bad Request.

Uitleg: dit gebeurt wanneer het Azure AD-token dat is opgeslagen in de synchronisatie-database niet meer werkt. Waarschijnlijk omdat het synchronisatietoken is verlopen of omdat u de synchronisatiemap van klant A (al geconfigureerd) hebt gekopieerd

naar klant B.

Oplossing:

  • Start altijd een schone configuratie voor elke klant. Plaats op de synctool-VM/client een lege synctool-configuratie van waaruit u de configuratie voor elke klant kunt starten.

  • U kunt proberen de cache te wissen (als het een nieuwe configuratie is).

  • Verwijder de database uit de database-map.


De externe naam kon niet worden opgelost

"The remote name could not be resolved: demo.workspace365.net”

Uitleg: de machine (server) waarop de synctool draait, kan niet worden benaderd door Workspace.

Oplossing: controleer of u toegang hebt tot de server. U kunt de server "pingen" om de netwerkconnectiviteit te testen. Controleer de DNS- en firewallinstellingen om te zien of deze kan worden benaderd door Workspace.


System.TimeoutException: Failed to make the request within '00:01:40'

 2020-07-03 07:00:10.020 NotificationService - Error during W365 notification 
NDAW.AzureActiveDirectorySync.ActiveDirectory.NotificationService.CreateOrUpdateUserNotification(:0) (null)
System.TimeoutException: Failed to make the request within '00:01:40'.
at NDAW.AzureActiveDirectorySync.AzureAD.AzureAdDataService.<MakeRequestWithTimeoutAsync>d__20`1.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
at NDAW.AzureActiveDirectorySync.AzureAD.AzureAdDataService.MakeRequestWithTimeout[TResult](Func`2 request)
at NDAW.AzureActiveDirectorySync.AzureAD.AzureAdDataService.GetUserProfilePhoto(String userId)
at NDAW.AzureActiveDirectorySync.ActiveDirectory.NotificationService.ProcessProfilePicture(String activeDirectoryUserId, String email)
at NDAW.AzureActiveDirectorySync.ActiveDirectory.NotificationService.CreateOrUpdateUserNotification(String userPrincipalName, CreateOrUpdateUserParameters createOrUpdateUserParameters)

Uitleg: sinds versie 3.0 van de Azure AD synctool maken we gebruik van de Microsoft Graph in plaats van de Azure AD Graph. Deze fout treedt op wanneer u de synctool-applicatie hebt bijgewerkt, maar de machtigingen voor de Azure AD App-registratie niet hebt bijgewerkt.

Oplossing: update de synctool naar de nieuwste versie. Bovendien is er een bekend probleem met de synctool en het bijwerken van profielfoto's in Workspace. Klik hier voor meer informatie.


API-server mislukte met interne fout

Uitleg: dit gebeurt wanneer "Uw Workspace site URL" illegale tekens bevat, zoals spaties.

Oplossing: zorg ervoor dat u deze illegale tekens verwijdert. De Workspace site URL is de root-URL van de Workspace (zonder omgevingsnaam).

2020-08-27 11:47:42.886 NotificationService - Error during W365 notification 
NDAW.AzureActiveDirectorySync.ActiveDirectory.NotificationService.CreateOrUpdateUserNotification(:0) (null)
NDAW.AdSyncApi.Client.Exceptions.ServerException: API server failed with internal error
at NDAW.AdSyncApi.Client.Implementation.ActiveDirectorySyncApiClient.HandleErrors(HttpResponseMessage response)
at NDAW.AdSyncApi.Client.Implementation.ActiveDirectorySyncApiClient.CreateOrUpdateUser(CreateOrUpdateUserParameters parameters)
at NDAW.AzureActiveDirectorySync.ActiveDirectory.NotificationService.CreateOrUpdateUserNotification(String userPrincipalName, CreateOrUpdateUserParameters createOrUpdateUserParameters)



Ongeldige URI: De hostnaam kon niet worden geparseerd

2022-02-16 08:50:31.472 AzureAdToWorkspaceSyncTool - Invalid URI: The hostname could not be parsed. NDAW.AzureActiveDirectorySync.AzureAD.AzureAdToWorkspaceSyncTool+<StartDifferentialSyncAsync>d__15.MoveNext(:0) (null) System.UriFormatException: Invalid URI: The hostname could not be parsed. 

Uitleg: dit gebeurt wanneer "Uw Workspace site URL" illegale tekens bevat, zoals spaties.

Oplossing: verwijder spaties (alleen platte tekst).


Gebruiker kan niet worden gevonden in Workspace

Uitleg: dit gebeurt wanneer de AzureObjectID niet overeenkomt met de UPN van de gebruiker in Workspace.

Oplossing: volg de stappen zoals beschreven onder Gebruiker met hergebruikte UPN wordt niet toegevoegd aan de Workspace


Testverbinding mislukt! Controleer AAD-configuratie-instellingen!

test_connection_failed.PNG

Uitleg: ingevoerde informatie is ongeldig.

Oplossing: zorg ervoor dat de app-registratie-informatie (tenant ID, object ID, etc.) correct is ingevuld. Als dezelfde fout blijft optreden, verwijder en maak de client-app-registratie opnieuw aan, zoals uitgelegd in stap 1.


DeltaLink ouder dan 30 dagen wordt niet ondersteund

Oplossing:

  • Zorg ervoor dat u de nieuwste versie van onze synctool gebruikt.

  • Installeer de Windows-service van de synctool opnieuw (scroll naar beneden op de pagina om de lijst met manieren te zien om de service te verwijderen en te implementeren).

  • Als laatste redmiddel, wis de cache en herstart de service.


Ongeldige DeltaLink

Uitleg: deze fout kan optreden na het kopiëren van een bestaande synctool-configuratie (synctool-map) van een reeds geconfigureerde klant, om te gebruiken voor een nieuwe klant. Deze map bevat cached informatie van de oude klant.

Oplossing: zorg ervoor dat u de nieuwste versie van onze synctool gebruikt en configureer de configuratie-UI van de synctool opnieuw (stap 3). Op deze manier heeft u een 'schone installatie' terwijl u de nieuwste versie van de synctool uitvoert.

Was dit een antwoord op uw vraag?