Azure AD Connect realiza tres tipos de operaciones contra los directorios que sincroniza. Hablamos de tareas de Importación, exportación y sincronización. Podemos entonces encontrarnos con errores en cada una de estas operaciones pero principalmente en la tarea de exportación de Azure AD. Son estos tipos de errores los que vamos a ver en este artículo.

azurevm2

Estos, indican que se han producido errores dentro de alguna de las operaciones de Exportación (add, update, delete..) a Azure AD por parte del servicio de Azure AD Connect.
A través del portal web de Azure y más concretamente en la sección de Azure AD Connect Health for sync tenemos siempre el reporte completo de los errores que vayan ocurriendo.

Errores durante la exportación de Azure AD

InvalidSoftMatch

Para entender este error primero hay que explicar un poco cómo funciona el emparejamiento. Cuando Azure AD Connect indica a Azure AD que debe añadir o actualizar algún objeto, Azure AD lo que hace es intentar emparejar el objeto entrante a través de su atributo sourceAnchor contra el atributo immutableId de los objetos ya presentes en Azure AD.

Este emparejamiento es lo que se conoce como Hard Match. En caso que Azure AD no encontrara ninguna equivalencia, antes de crear un nuevo objeto pasa a intentar este emparejamiento a través de los atributos ProxyAddresses y UserPrincipalName, hablaríamos entonces de un Soft Match. Este se enfoca a emparejar objetos ya presentes en Azure AD con los nuevos objetos que están siendo añadidos o actualizados y que representan las mismas entidades (usuarios, grupos, dispositivos..).

Ahora sí, el error InvalidSoftMatch ocurre cuando no se produce ningún emparejamiento Hard Match y cuando el Soft Match sí que encuentra algún objeto pero que tiene un valor diferente en su atributo immutableId del valor del atributo SourceAnchor del objeto entrante. Esto presupone que este objeto ya ha sido emparejado anteriormente con otro proveniente de AD. Es decir que para que un Soft Match funcione el objeto en Azure AD no debe tener de antemano ningún valor en su atributo immutableId.

Atributos duplicados

La funcionalidad de resiliencia de atributos se encarga de gestionar atributos ProxyAddresses, UserPrincipalName, onPremisesSecurityIdentifier y ObjectId duplicados presentes en AD. Ninguno de estos atributos puede tener valores duplicados en diferentes objetos.

En este caso no veremos el error anterior de sincronización InvalidSoftMatch pero debemos igualmente corregirlos simplemente editandolos en los objetos en cuestión en nuestra instancia local de AD.

ObjectTypeMismatch

En este caso cuando Azure AD intenta el Soft Match es posible que ambos objetos sean de diferente tipo pero que aún y así tengan los mismo valores en los atributos utilizados para el Soft Match. Pongamos de ejemplo un objeto en Azure AD como un Teams y un usuario creado en AD con el mismo valor de SMTP Proxy. Esto que no se permite se traduce en un error de sincronización ObjectTypeMismatch. La solución aquí es identificar cuál de los dos objetos debe dejar de tener el valor de atributo duplicado.

AttributeValueMustBeUnique

Como hemos visto antes Azure AD no permite que existan duplicados en los atributos de ProxyAddresses y UserPrincipalName. Cuando Azure AD Connect intente añadir o actualizar objetos en esta casuística devolverá el error de sincronización AttributeValueMustBeUnique. Como supondremos la solución vuelve a ser editar los objetos en conflicto.

IdentityDataValidationFailed

Azure AD a parte de limitar los duplicados realiza toda otra serie de comprobaciones para asegurar la calidad de los datos origen antes de sincronizarlos en el Azure AD. En este caso este error se devuelve al detectar caracteres extraños. De nuevo se corrige manualmente en origen, localizando el atributo en cuestion y corrigiendo su valor.

FederatedDomainChangeError

En el caso que el sufijo del atributo UserPrincipalName de un usuario cambie de un dominio federado a otro devolverá este error. La solución en este caso es editar el atributo UserPrincipalName del objeto ya sincronizado al valor por defecto @sufix.onmicrosoft.com. Forzando de nuevo la sincronización, está ya no devolverá el error y actualizará correctamente el dato.

LargeObject / ExceededAllowedLenght

En el caso que el valor de un atributo exceda los límites marcados nos devolverá este error. Esto suele ocurrir en los siguientes atributos:

  • userCertificate
  • userSMIMECertificate
  • proxyAddresses

Para solucionarlo deberemos editar el valor del atributo en cuestión.

Conflicto en el rol de administrador

Este error nos aparecerá cuando estemos intentando sincronizar un objeto de tipo usuario ya presente en Azure AD con un rol de administrador asignado al mismo. Para este último caso la solución es quitar todos los roles de administrador en ese usuario de Azure AD, sincronizar y volverlos a añadir.

Espero que os sea de utilidad en vuestras configuraciones de Azure Connect.