Hai selezionato più OU in Azure AD Connect ma in Microsoft Entra compaiono solo pochi oggetti, mentre i Computer “spariscono”? Questa guida pratica ti accompagna passo dopo passo nella diagnosi e nella risoluzione, con check rapidi, comandi PowerShell e buone pratiche.
Scenario e sintomi tipici
In ambienti ibridi, Azure AD Connect (oggi Microsoft Entra Connect Sync) è il servizio che importa gli oggetti da Active Directory on‑premises, li elabora nel metaverse e li esporta nel cloud Microsoft Entra ID. Può capitare che, pur avendo configurato il filtro per più Organizational Units (OU), solo alcune risultino effettivamente sincronizzate: gli utenti appaiono, ma i Computer presenti nella maggior parte delle OU non compaiono nel portale Entra (Identità > Dispositivi). In altri casi non ci sono errori evidenti, ma gli oggetti non “arrivano”.
Le cause più frequenti sono: filtro OU non corretto, regole di sincronizzazione personalizzate che escludono i computer, permessi insufficienti dell’account di servizio, mancata esecuzione di un ciclo Initial dopo una modifica, o aspettative sbagliate su come i dispositivi ibridi si manifestano in Entra (non come OU, ma come singoli device).
Come funziona (in breve) la pipeline di sincronizzazione
- Import: dall’AD on‑prem verso il connector space (CS) dell’AD DS Connector. Qui intervengono i filtri per dominio/OU.
- Sync: dal CS al metaverse (MV) secondo regole in ingresso (Inbound). Si applicano scoping filter, trasformazioni e join.
- Export: dall’MV al CS di Microsoft Entra e quindi al tenant cloud, tramite regole in uscita (Outbound).
Se un oggetto è escluso in una di queste fasi, non comparirà mai nel cloud. La diagnosi efficace consiste nell’individuare dove si ferma il flusso.
Soluzioni e verifiche suggerite (riassunto rapido)
Passo | Che cosa controllare / fare | Perché è utile |
---|---|---|
1. Filtro sulle OUs | In Azure AD Connect > Configure Directory Partitions assicurarsi che le caselle delle OUs interessate siano spuntate. | Un filtro errato è la causa più comune: se una OU non è selezionata, nessun oggetto in essa verrà incluso nel “connector space”. |
2. Regole di sincronizzazione | Aprire Synchronization Rules Editor e verificare che non esistano regole personalizzate o precedenti che escludano objectClass = computer o le OUs incriminate. Controllare che la regola predefinita “In from AD – Computer Join to Device” sia abilitata. | Le regole stabiliscono quali oggetti passano dal “connector space” al metaverse e quindi al cloud; un’esclusione sui computer blocca l’intero flusso. |
3. Permessi e reachability | Il servizio Azure AD Connect deve avere diritti di read sulle OUs e connettività a tutti i domain controller. Se il servizio gira come “gMSA”, confermare che il gruppo gestito abbia l’ACL corretto. | Senza permessi di lettura gli oggetti non vengono nemmeno visti, quindi non appaiono errori ma nemmeno sincronizzazione. |
4. Verifica nei log | In Synchronization Service Manager > Operations filtrare per gli ultimi run e cercare: • Add /Update mancanti per i Computer• avvisi “Filtered” o “Ambiguous” • errori error-dependency .Esaminare anche Event ID 611 (successo) e 612/694 (failure) nel registro Windows > Applications and Services Logs > Directory‑Synchronization. | I log mostrano perché un oggetto è stato scartato (rule, filtro, attributi mancanti). |
5. Avviare un ciclo completo | Eseguire Start-AdSyncSyncCycle -PolicyType Initial in PowerShell (e non solo Delta). In alternativa, nel wizard scegliere Refresh. | Un “Initial” forza la rivalutazione di tutti gli oggetti e delle regole, utile dopo modifiche a filtri o permessi. |
6. Aspetti specifici dei Computer | Le OUs non vengono “ricreate” in Entra; compaiono singoli Device (nome = computerName , joinType “Hybrid Azure AD joined”) sotto Identità > Dispositivi.Perché un Computer si registri come device ibrido, oltre alla sincronizzazione deve ricevere i task di join (GPO o script) e poter contattare gli endpoint autologon.microsoftazuread-sso.com e device.login.microsoftonline.com . | Evita malintesi: in Entra non vedrai la OU, ma il singolo device. |
7. Strumenti di supporto | IDFix: conferma che gli attributi chiave (sAMAccountName, mail, proxyAddresses) non violino i vincoli di Entra. Azure AD Connect Health (se abilitato): fornisce alert su regole fallite o permessi mancanti. | Permette un controllo costante e proattivo. |
Procedura dettagliata, con suggerimenti operativi
Verifica e correzione del filtro OU
- Apri il Microsoft Entra Connect (Azure AD Connect) sul server di sincronizzazione.
- Seleziona Configure > Customize synchronization options.
- Autenticati sul tenant quando richiesto e avanza fino a Domain/OU filtering.
- Assicurati che le OU contenenti i Computer siano spuntate. Ricorda che:
- Le OU rinominate cambiano distinguishedName: dopo un rename può essere necessario riselezionarle.
- Molti PC finiscono nel contenitore di default CN=Computers (non è una OU). Verifica che anche il container sia incluso se lo usi ancora.
- Evita di selezionare radici troppo ampie se poi applichi filtri attributo restrittivi: aumenta la complessità e il rischio di conflitti.
- Conferma e, alla fine del wizard, non saltare il suggerimento di eseguire un full sync.
Tip: dopo qualsiasi modifica di filtro OU imposta il prossimo ciclo come Initial
Set-ADSyncScheduler -NextSyncCyclePolicyType Initial
Start-ADSyncSyncCycle -PolicyType Initial
Controllo delle regole di sincronizzazione
Apri Synchronization Rules Editor e filtra per Inbound dal connettore AD DS. Verifica che:
- Le regole di sistema per i Computer siano abilitate, in particolare “In from AD – Computer Join to Device” e le regole “Common”.
- Non ci siano regole personalizzate che contengono scoping filter come
objectClass != computer
oppure esclusioni sulla OU (es.dn
che startsWith un percorso bloccato). - Le priorità (Precedence) non superino quelle di sistema in modo da “schiacciare” il comportamento predefinito.
Usa la funzione Preview su un oggetto Computer reale:
- In Synchronization Service Manager vai su Connectors > AD DS > Search Connector Space.
- Cerca il
distinguishedName
o ilsAMAccountName
del Computer. - Apri l’oggetto e clicca Preview > Evaluate rules. Verifica Projection/Join e il Final state.
Attenzione: evitare filtri su singoli oggetti (object-level) se possibile. Filtrare per OU è più semplice da mantenere e riduce conflitti tra regole.
Permessi dell’account di servizio e connettività ai DC
Il servizio di sincronizzazione legge gli oggetti via LDAP/GC. Assicurati che l’account (classico o gMSA) abbia Read sulle OU target. Controlla inoltre la raggiungibilità di tutti i domain controller configurati per la foresta.
- Test gMSA sul server di sync:
Test-ADServiceAccount -Identity <NOMEgMSA$>
- Porte tipiche da consentire verso i DC: 389/636 (LDAP/LDAPS), 3268/3269 (GC/GCLS), 88 (Kerberos), 53 (DNS), 445 (SMB), 135 + range RPC dinamico.
- Se usi siti AD, verifica che il server di sync risolva e raggiunga il closest DC; problemi di DNS possono causare import parziali senza errori espliciti.
Per individuare problemi di permessi, guarda in Operations eventi Import con oggetti “Skipped” o Errors legati a insufficientAccessRights
. In caso di dubbi, assegna temporaneamente Read ereditabile sull’OU allo stesso account e riesegui un Initial.
Log, eventi e messaggi utili
- Synchronization Service Manager > Operations: filtra gli ultimi 7–14 giorni e ispeziona le sessioni Import, Synchronization ed Export. Indicatori:
- Assenza di
Add
per i Computer nella fase Import da AD = OU non inclusa o permessi mancanti. - Avvisi Filtered/Ambiguous durante Sync = regola o join che scarta l’oggetto.
- Errori
error-dependency
in Export = attributi chiave non ancora risolti (latenza tra oggetti correlati).
- Assenza di
- Registro eventi Windows > Applications and Services Logs > Directory‑Synchronization:
- Event ID 611: run completato (successo).
- Event ID 612/694: run fallito o parzialmente fallito.
Esecuzione di un ciclo completo
Dopo aver modificato filtri o regole, pianifica un Initial per rivalutare l’intero set di oggetti:
# Verifica stato scheduler
Get-ADSyncScheduler
Abilita lo scheduler se sospeso
Set-ADSyncScheduler -SyncCycleEnabled $true
Forza il prossimo ciclo come Initial e avvialo
Set-ADSyncScheduler -NextSyncCyclePolicyType Initial
Start-ADSyncSyncCycle -PolicyType Initial
Per monitorare cosa sta succedendo in tempo reale, tieni aperta la vista Operations e confronta il numero di Add/Update prima e dopo la correzione. Se il conteggio non cambia, torna a verificare filtro OU e regole.
Aspetti specifici dei Computer (Hybrid Azure AD Join)
È fondamentale chiarire cosa aspettarsi nel portale: Entra non riproduce le tue OU; per ogni Computer vedrai un Device con:
- Nome = nome NetBIOS del computer (o FQDN ridotto).
- Join type = “Hybrid Azure AD joined”.
- Stato di conformità/gestione a seconda dell’eventuale MDM/MECM.
Perché la registrazione come device ibrido avvenga correttamente è necessario che:
- In Entra Connect siano configurate le Device options per Hybrid Join (wizard > Configure Device Options).
- Nel dominio AD esista lo Service Connection Point (SCP) della registrazione dispositivi.
- Le macchine possano risolvere e raggiungere gli endpoint:
autologon.microsoftazuread-sso.com
,device.login.microsoftonline.com
,enterpriseregistration.windows.net
/enterpriseregistration.microsoft.com
su porta 443. - Sui client sia presente ed eseguito il task “Automatic-Device-Join” (Utilità di pianificazione > Microsoft > Windows > Workplace Join).
Diagnosi lato client:
# Stato della registrazione AAD/Hybrid
dsregcmd /status
Verifica raggiungibilità degli endpoint fondamentali (esempio)
Test-NetConnection device.login.microsoftonline.com -Port 443
Test-NetConnection autologon.microsoftazuread-sso.com -Port 443
Se un PC è stato ricreato con lo stesso nome in AD, valuta l’eventuale duplicato in Entra: elimina l’oggetto device obsoleto prima di un nuovo join per evitare collisioni.
Checklist diagnostica completa
- OU corretta? Conferma che l’oggetto Computer sia davvero nell’OU selezionata (non in un container differente o spostato da una GPO di redirection).
- Container “Computers” incluso? Se usi ancora
CN=Computers
, spunta anche questo container. - Regole personalizzate assenti o allineate? Nessun filtro che escluda
objectClass=computer
o il percorso dell’OU. - Permessi di lettura sull’OU assegnati all’account/gMSA del connettore AD.
- Connettività ai DC e DNS risolto correttamente (LDAP/GC, Kerberos, RPC).
- Scheduler attivo e run eseguiti senza errori (consulta Operations + Event ID indicati).
- Full sync eseguito dopo modifiche sostanziali.
- Client con task Automatic-Device-Join funzionante, accesso a endpoint cloud e
dsregcmd /status
coerente.
Approfondimenti e buone pratiche
Aggiornare a Entra Connect Sync v2
Le versioni più recenti basate su .NET 4.8 e motore 2.x offrono diagnostica migliore, prestazioni del differenziale più rapide e supporto aggiornato delle dipendenze di sicurezza. Programma l’aggiornamento se sei ancora su release datate, seguendo le prassi di in‑place upgrade o swing migration con roll‑back plan.
Evitare filtri su singoli oggetti
Dove possibile, preferisci il filtro per OU al filtro per attributi/oggetti. Oltre a semplificare la gestione nel tempo, riduce i rischi di effetti collaterali quando si introducono nuove regole o si spostano oggetti.
Gestione dei duplicati dispositivo
Se un computer è stato ricreato con lo stesso nome o clonato, controlla in Entra l’eventuale presenza di più device corrispondenti. In caso di conflitti, rimuovi l’istanza non più valida, esegui un dsregcmd /leave sul client (se applicabile) e poi ripeti la procedura di join ibrido.
Testing in Staging Mode
Mantieni un secondo server Entra Connect in Staging mode. Ti consente di provare modifiche a filtri e regole senza impattare la produzione. Quando sei soddisfatto del risultato (monitorando Preview/metaverse), scambia i ruoli tra staging e active con downtime quasi nullo.
Contenitori speciali e rinomanazioni
- Oggetti posizionati in
CN=Users
oCN=Computers
potrebbero essere dimenticati durante la selezione OU: includili se necessari o reindirizza i nuovi oggetti verso OU gestite. - Dopo un rename di OU o dominio, verifica la selezione nel wizard: i percorsi basati su DN potrebbero non corrispondere più.
Prevenire errori di massa: soglia di eliminazione
Se cambi drasticamente i filtri, l’Export verso Entra potrebbe proporre molte delezioni. Per sicurezza esiste una Export Deletion Threshold che blocca l’operazione. Se devi procedere consapevolmente, disabilitala temporaneamente e poi riabilitala:
Disable-ADSyncExportDeletionThreshold -Temporary
Esegui il ciclo e valida il risultato
Enable-ADSyncExportDeletionThreshold
Capacità del database e performance
Installazioni basate su SQL Express/LocalDB hanno limiti di dimensione. Se il database è vicino alla soglia, potresti notare run incompleti o rallentamenti. Pianifica manutenzione (indice/statistiche) o migrazione a SQL Standard.
Diagnosi “profonda” con CS/MV Search
- In Synchronization Service, scheda Connectors > seleziona AD DS > Search Connector Space.
- Cerca il tuo PC. Se non esiste nel CS AD, il problema è Import (filtro OU/permessi).
- Se c’è nel CS ma non c’è nel MV, il problema è una regola Inbound (scoping/filter).
- Se c’è nel MV ma non in Entra, indaga l’Export e i relativi errori/avvisi.
Rete e proxy
Proxy aziendali che intercettano TLS possono bloccare la registrazione dispositivi o la comunicazione del server di sync. Inserisci in allow‑list gli endpoint indicati in precedenza e assicurati che le ispezioni TLS non alterino i certificati dei domini Microsoft.
Playbook risolutivo (passo‑passo suggerito)
- Conferma posizione oggetti: prendi un computer campione e annota il suo
distinguishedName
. - Controlla filtro OU: includi l’OU corretta (ed eventuale
CN=Computers
), applica il wizard e pianifica un Initial. - Verifica permessi: garantisci Read ereditabile sull’OU all’account/gMSA del connettore.
- Rivedi le regole: nessuna custom rule che escluda i Computer o le OU; priorità coerenti.
- Monitora Operations durante Import/Sync/Export e annota eventuali Filtered/Ambiguous.
- Controlla il client:
dsregcmd /status
, task Automatic‑Device‑Join, raggiungibilità endpoint. - Ripulisci duplicati se presenti in Entra, poi ripeti il join ibrido.
FAQ mirate
Perché non vedo le mie OU in Entra?
Perché Entra non replica la struttura OU on‑premises. Vedrai solo entità “Device”.
Ho selezionato l’OU, ma i Computer non appaiono: cosa guardo per primo?
Inizia da Search Connector Space (AD DS). Se l’oggetto non entra nemmeno nel CS, è filtro OU/permessi. Se entra ma non arriva al MV, è una regola. Se arriva al MV ma non al cloud, è l’Export.
Devo attivare “device writeback” per l’hybrid join?
No, il writeback dei device è una funzionalità diversa (scrive i device cloud nell’AD). L’hybrid join richiede il percorso di registrazione (SCP), connettività e regole di sincronizzazione adeguate.
Posso usare solo il delta?
Dopo modifiche a filtri/regole/permessi è consigliabile un Initial per valutare l’intero dataset.
Esempi di comandi utili
# Forza un'importazione da AD DS
Start-ADSyncSyncCycle -PolicyType Initial
Stato dello scheduler
Get-ADSyncScheduler | fl *
Previsione regole su un oggetto (da GUI: Preview)
(Operazione manuale via Synchronization Service Manager)
Controllo rapido client Hybrid Join
dsregcmd /status
schtasks /Query /TN "\Microsoft\Windows\Workplace Join\Automatic-Device-Join"
Case study: tutto “spunta”, ma niente Computer
Un’azienda aveva selezionato le OU corrette, ma nessun Computer compariva in Entra. Dai log non risultavano errori. L’analisi del Connector Space mostrava l’assenza degli oggetti; in AD i PC venivano creati per impostazione predefinita in CN=Computers, non incluso nel filtro. È bastato includere il container, avviare un ciclo Initial e i device sono stati importati; il join ibrido ha poi richiesto la correzione del proxy TLS per raggiungere device.login.microsoftonline.com
.
Conclusioni
Nel 90% dei casi, quando le OU (e i Computer al loro interno) non compaiono in Microsoft Entra ID, il problema si risolve seguendo l’ordine di controllo presentato: filtro OU, regole di sincronizzazione, permessi e connettività, log e full sync. Ricorda che in Entra vedrai device, non le tue OU. Con un server di staging, IDFix e Connect Health avrai una postura operativa più solida e diagnosi più rapide.
Appendice: mini‑glossario
- Connector Space (CS): area dati per ciascun connettore (AD DS, Entra). Qui avviene l’Import/Export.
- Metaverse (MV): archivio centrale dove gli oggetti sono correlati e trasformati.
- Inbound/Outbound Rules: regole che definiscono come gli oggetti entrano/escono dal MV.
- Initial/Delta: cicli completi o differenziali di sincronizzazione.
- Hybrid Azure AD Join: stato di un device AD registrato in Entra e associato al tenant.
Checklist stampabile
- Oggetto computer nella OU corretta? (se necessario includi
CN=Computers
) - OU selezionata nel wizard Domain/OU filtering?
- Regole Inbound per Computer attive? Nessuna custom rule conflittuale?
- Permessi Read sull’OU per l’account/gMSA del connettore?
- DC raggiungibili (LDAP/GC/Kerberos/RPC) e DNS ok?
- Scheduler attivo, nessun errore in Operations e negli Event ID 611/612/694?
- Eseguito Initial post‑modifica?
- Client con Automatic-Device-Join ok e
dsregcmd /status
coerente? - Endpoint
autologon.microsoftazuread-sso.com
,device.login.microsoftonline.com
,enterpriseregistration.*
raggiungibili? - Duplicati device rimossi prima di un nuovo join?
Seguendo l’ordine di controllo sopra indicato si intercetta oltre il 90% dei casi in cui le OUs (e i computer al loro interno) non compaiono in Microsoft Entra ID.