Einzelne Active Directory-Domänendienste-Objekte synchronisieren nicht auf Windows Azure AD.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2643629 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

PROBLEM

Einzelne Active Directory-Domänendienste (AD DS) Objekte oder Attribute synchronisiert nicht wie erwartet auf Windows Azure Active Directory (AD Windows Azure). Wenn Active Directory-Synchronisierung ausgeführt wird, ein Objekt nicht synchronisiert, und Sie eines der folgenden Symptome auftreten:
  • Sie erhalten eine Fehlermeldung, die besagt, dass ein Attribut einen doppelten Wert besitzt.
  • Sie erhalten eine Fehlermeldung, die besagt, dass ein oder mehrere Attribute Formatierungsanforderungen wie Zeichensatz oder Zeichenlänge verletzt.
  • Sie erhalten keine Fehlermeldung, und Verzeichnissynchronisierung scheint abgeschlossen werden. Allerdings sind nicht einige Objekte oder Attribute wie erwartet aktualisiert.
Die folgenden: Beispiele für die Fehlermeldung, die angezeigt werden können
  • Ein synchronisiertes Objekt mit derselben Proxyadresse im Microsoft Online Services-Verzeichnis ist bereits vorhanden.
  • Kann nicht auf dieses Objekt nicht aktualisieren, da die Benutzer-ID nicht gefunden wird.
  • Kann nicht auf dieses Objekt im Microsoft Online Services nicht aktualisieren, da die folgenden Attribute, die mit diesem Objekt verknüpften Werte aufweisen, die bereits mit einem anderen Objekt in Ihrem lokalen Verzeichnis zugeordnet werden kann.

URSACHE

Dieses Problem tritt aus einem der folgenden Gründe auf:
  • Der Domain-Wert, der von AD DS verwendet wird noch nicht bestätigt.
  • Ein oder mehrere Objektattribute, die einen eindeutigen Wert erfordern einen doppelt vorhandener Attributswert haben (z. B. die proxyAddresses Attribut oder die UserPrincipalName Das Attribut) in einem vorhandenen Benutzerkonto.
  • Ein oder mehrere Attribute verletzen Formatierungsanforderungen, die die Zeichen und die Zeichenlänge von Attributwerten einschränken.
  • Ein oder mehrere Attribute übereinstimmen Ausschlussregeln für die Verzeichnissynchronisierung.

    Die folgende Tabelle zeigt die Standard-Sync scoping-Regeln:
    Tabelle minimierenTabelle vergrößern
    ObjekttypName des AttributsZustand des Attributs, wenn die Synchronisierung fehlgeschlagen
    KontaktDisplayNameEnthält "MSOL"
    msExchHideFromAddressListsAuf "True" festgelegt ist
    Gruppe mit aktivierter SicherheitisCriticalSystemObjectAuf "True" festgelegt ist
    E-Mail-aktivierte Gruppen
    (Sicherheit oder Verteilerliste Aufzählung)
    proxyAddresses

    und

    mail
    Hat keine "SMTP:"-Eintrag

    und

    ist nicht vorhanden
    E-Mail-aktivierte KontakteproxyAddresses

    und

    mail
    Hat keine "SMTP:"-Eintrag

    und

    ist nicht vorhanden
    iNetOrgPerson"sAMAccountName"Ist nicht vorhanden
    isCriticalSystemObjectIst vorhanden
    BenutzermailNickNameBeginnt mit "SystemMailbox"
    mailNickNameBeginnt mit "CAS_"

    und

    enthält "{"
    "sAMAccountName"Beginnt mit "CAS_"

    und

    enthält "}"
    "sAMAccountName"SUPPORT_388945a0"Equals"
    "sAMAccountName""MSOL_AD_Sync" entspricht
    "sAMAccountName"Ist nicht vorhanden
    isCriticalSystemObjectAuf "True" festgelegt ist
  • Der Benutzerprinzipalname (UPN) wurde nach der ersten Synchronisierung geändert und muss manuell aktualisiert werden.
  • Exchange Online SMTP Simple Mail Transfer Protocol () Adressen der synchronisierten Benutzer sind nicht in der lokalen Active Directory-Schema entsprechend aufgefüllt.

LÖSUNG

Um dieses Problem zu beheben, verwenden Sie eine der folgenden Methoden an, je nach Ihrer Situation.

Lösung 1: Ausführen von IdFix für Dubletten, fehlende Attribute und Regelverletzungen überprüfen

Verwendung der Dirsync-IdFix Fehler Remediation-Tool Suche nach Objekten und Fehler, die verhindern, Windows Azure AD-Synchronisierung dass.
  • Wenn Sie "Leer" in der Spalte Fehler nach dem Ausführen von IdFix angezeigt wird, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2857349 "Leer" erscheint in der Spalte Fehler für ein oder mehrere Objekte nach dem Ausführen des Tools IdFix
  • Wenn Sie "Format" in der Spalte Fehler sehen, nach dem Ausführen von IdFix, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2857351 "Format" wird in der Spalte Fehler für ein oder mehrere Objekte angezeigt, nachdem Sie das Tool IdFix ausführen
  • Wenn Sie "Zeichen" in der Spalte Fehler sehen, nach dem Ausführen von IdFix, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2857352 "Zeichen" wird in der Spalte Fehler für ein oder mehrere Objekte angezeigt, nachdem Sie das IdFix Tool ausführen
  • Wenn Sie "Duplizieren" in der Spalte Fehler sehen, nach dem Ausführen von IdFix, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    2857385 "Doppelte" erscheint in der Spalte Fehler für ein oder mehrere Objekte nach dem Ausführen des Tools IdFix

Lösung 2: Verwenden Sie das Tool Office 365 Sprungbrett

Gehen Sie folgendermaßen vor, um Informationen über ungültige Attribute mit dem Office 365 Sprungbrett-Tool zu erhalten:
  1. Auf einem Computer einer Domäne angehört wechseln Sie zu der folgenden Microsoft-Website, und folgen Sie den Anweisungen auf der Seite:
    https://onramp.Office365.com/OnRamp/
  2. Suchen Sie im Bericht im Abschnitt Benutzer und Gruppen zum Anzeigen von Details der Attribut-Probleme, die Probleme verursachen können. Die folgende Abbildung zeigt ein Beispiel des Abschnitts Umgebungsprüfungen des Berichts:

    Bild minimierenBild vergrößern
    Screenshot des Berichts Umgebungsprüfungen

Lösung 3: Verwenden Sie die Microsoft Online Services-Diagnose und Protokollierung (MOSDAL) Support-Toolkit

Gehen Sie folgendermaßen vor, um Informationen über ungültige Attribute mithilfe des MOSDAL Support-Toolkit zu erhalten:
  1. Downloaden Sie und installieren Sie das Toolkit MOSDAL Unterstützung aus dem Microsoft Download Center:
    MOSDAL (Microsoft Online Services Diagnose und Protokollierung) Toolkit unterstützen
  2. Führen Sie das MOSDAL Support-Toolkit, aktivieren Sie Single Sign On (SSO)und klicken Sie dann auf Weiter.
  3. Wenn Sie aufgefordert werden, Ihre Anmeldeinformationen einzugeben, geben Sie Ihre Benutzer-ID, und klicken Sie dann auf Weiter. Ihr Kennwort wird nicht gespeichert, und nur für einen Authentifizierungsversuch simulieren und Protokollieren der Ergebnisse verwendet wird.
  4. Klicken Sie auf dem Bildschirm Reproduzieren des Problems auf Weiter.
  5. Wenn der Bericht abgeschlossen ist, suchen Sie die Datei MOSDALREPORT.zip in der Documents\MOSDAL-Bibliothek. Die Berichtsdateien, die Informationen über ungültige Attribute enthalten befinden sich in der folgenden Datei:
    MOSDALREPORT\Admin_Applications\Directory_Synchronization_Tool\DirSyncObjects.Xml
Ermitteln Sie Attributkonflikte, die Objekte verursacht werden, die in Windows Azure AD über die Verzeichnissynchronisierung erstellt wurden nicht

Attributkonflikte bestimmen, die verursacht werden durch Benutzer-Objekte, die mit Managementtools erstellt wurden (und die Waren nicht in Windows Azure AD über die Verzeichnissynchronisierung erstellt), gehen Sie folgendermaßen vor:
  1. Bestimmen der einzigartigen Attribute von lokalen Benutzerkonto AD DS. Gehen Sie auf einem Computer dazu, die Windows-Supporttools installiert sind folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben LDP.exe, und klicken Sie dann auf OK.
    2. Klicken Sie auf Verbindung, klicken Sie auf Verbinden, geben Sie den Computernamen des ein AD DS-Domänencontroller, und klicken Sie dann auf OK.
    3. Klicken Sie auf Verbindung, klicken Sie auf binden, und klicken Sie dann auf OK.
    4. Klicken Sie auf Ansicht, klicken Sie auf die Strukturansicht, wählen Sie die AD DS-Domäne in der Liste BaseDN und klicken Sie dann auf OK.
    5. Klicken Sie im Navigationsbereich zu suchen Sie und doppelklicken Sie dann auf das Objekt, das Synchronisierung von ist nicht korrekt. Im Detailfenster auf der rechten Seite des Fensters sind alle Attribute des Objekts aufgeführt. Das folgende Beispiel zeigt die Attribute des Objekts:

      Bild minimierenBild vergrößern
      Screenshot der Objektattribute
    6. Notieren Sie die Werte des Attributs UserPrincipalName und jede SMTP-Adresse im mehrwertigen ProxyAddresses -Attribut. Diese Werte werden später benötigen werden.
      Tabelle minimierenTabelle vergrößern
      Name des Attributs Beispiel Hinweise
      proxyAddresses ProxyAddresses (3): X 500: / o = Exchange/Ou = Exchange Administrative Gruppe (FYDIBOHF23SPDLT) / Cn = Recipients/Cn = 1ae75fca0d3a4303802cea9ca50fcd4f-7628376; SMTP:7628376@Service.contoso.com; SMTP:7628376@contoso.com;
      • Die Nummer, die in Klammern neben der Bezeichnung Attribut angezeigt wird gibt die Anzahl der Proxy-Adresswerte in das mehrwertige Attribut.
      • Jedes distinct Proxy-Adresswert wird durch ein Semikolon (;) gekennzeichnet.
      • Die primäre SMTP-Proxy-Adresswert sind durch Großbuchstaben "SMTP:"
      userPrincipalName 7628376@contoso.com
      Hinweis LDP.exe ist in Windows Server 2008 und in Windows Server 2003-Supporttools enthalten. Windows Server 2003-Supporttools sind in der Windows Server 2003-Installationsmedien enthalten. Oder, um die Supporttools zu erhalten, wechseln Sie zu der folgenden Microsoft-Website:
      Windows Server 2003 Service Pack 2 32-Bit-Supporttools
  2. Verbinden Sie mit Windows Azure Active Directory mit den Windows Azure Active Directory-Modul für Windows PowerShell. Weitere Informationen finden Sie unter Verbinden Sie mit Windows Azure AD.

    Lassen Sie das Konsolenfenster geöffnet. Sie müssen es im nächsten Schritt verwenden.
  3. Überprüfen Sie die doppelte UserPrincipalName Attribute.

    Geben Sie in der Konsolenverbindung, die Sie in Schritt 2 geöffnet haben, die folgenden Befehle in der Reihenfolge, in der sie dargestellt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:
    • $userUPN = "<search UPN>"
      Hinweis In diesem Befehl den Platzhalter "<search upn="">" stellt das UserPrincipalName -Attribut, das Sie in Schritt 1f aufgezeichnet.<b00> </b00> </search>
    • get-MSOLUser ?UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    Lassen Sie das Konsolenfenster geöffnet. Sie müssen es erneut im nächsten Schritt verwenden.
  4. Suchen Sie nach doppelten ProxyAddresses -Attribute. Geben Sie in der Konsolenverbindung, die Sie in Schritt 2 geöffnet haben, die folgenden Befehle in der Reihenfolge, in der sie dargestellt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. Geben Sie für jeden Eintrag der Proxy-Adresse, die Sie in Schritt 1f aufgezeichnet, die folgenden Befehle in der Reihenfolge, in der sie dargestellt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:
    • $proxyAddress = "<search proxyAddress>" 
      Hinweis In diesem Befehl den Platzhalter "<search proxyaddress="">" stellt den Wert eines Attributs ProxyAddresses , die Sie in Schritt 1f aufgezeichnet.<b00> </b00> </search>
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}} 
Nach dem Ausführen der Befehle in Schritt 3 und 4 zurückgegebenen Elemente darstellen Benutzerobjekte, waren nicht über die Verzeichnissynchronisierung erstellt und, die Attribute, die mit dem Objekt in Konflikt, die Synchronisierung von ist nicht korrekt.

Lösung 4: Update AD DS Attribute entfernt Duplikate, Verletzungen der Regeln und scoping-Ausschlüsse

Identifizieren Sie die spezifischen Attribute, die Synchronisierung wird basierend auf den folgenden Informationen verhindern:
  • Administrative e-Mail-Nachrichten
  • Der Bericht anhand der Ausgabe des Systemupdate-Vorbereitungstool von Office 365-Bereitstellung
  • Standard-Directory Synchronization Bereichsregeln und benutzerdefinierte Regeln
Nach ein bestimmten Attributwert identifiziert wird, verwenden Sie das Tool Active Directory-Benutzer und-Computer so bearbeiten Sie den Wert des Attributs. Gehen Sie hierzu folgendermaßen vor:
  1. Öffnen Sie Active Directory-Benutzer und-Computer zu, und wählen Sie dann den Stammknoten der AD DS-Domäne.
  2. Klicken Sie auf anzeigen, , und stellen Sie sicher, dass die Erweiterte Funktionen aktiviert ist.
  3. Suchen Sie das Benutzerobjekt im linken Navigationsbereich der rechten Maustaste darauf und klicken Sie dann auf Eigenschaften.
  4. Suchen Sie auf der Registerkarte Objekt-Editor das Attribut, das gewünschten klicken Sie auf Bearbeiten, und bearbeiten Sie den Wert des Attributs auf den gewünschten Wert.
  5. Klicken Sie auf OK zweimal.
Oder Sie können Active Directory Service Interfaces (ADSI) Edit Attribute des Objekts in AD DS aktualisieren. Sie können herunterladen und Installieren von ADSI-Bearbeitung als Teil der Windows Server-Toolkit. Wenn Sie ADSI Edit verwenden, um Attribute zu bearbeiten, gehen Sie folgendermaßen vor.

WarnungDieses Verfahren muss die ADSI-Bearbeitung. Unkorrekte Verwendung ADSI-Bearbeitung kann schwerwiegende Probleme verursachen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung von ADSI-Bearbeitung, behoben werden können. Verwenden Sie die ADSI-Bearbeitung auf Ihr eigenes Risiko.
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben "Adsiedit.msc", und klicken Sie dann auf OK.
  2. Mit der rechten Maustaste ADSI Edit im Navigationsbereich, klicken Sie auf verbinden,und klicken Sie dann auf OK die Domänenpartition zu laden.
  3. Suchen Sie das Benutzerobjekt, rechtsklicken Sie darauf und klicken Sie dann auf Eigenschaften.
  4. In der Attribute Liste, suchen Sie das Attribut, das Sie wünschen, klicken Sie auf Bearbeiten, und bearbeiten Sie den Wert des Attributs auf den gewünschten Wert,.
  5. Klicken Sie auf OK zweimal und ADSI Edit klicken.

Lösung 5: SMTP verwenden Übereinstimmung vor, um ein Objekt der lokalen dazu führen, dass auf ein vorhandenes Benutzerobjekt synchronisieren

Zu diesem Zweck finden Sie im folgenden Artikel der Microsoft Knowledge:
2641663 Wie Sie SMTP entsprechend mit lokalen Benutzerkonten zu Office 365-Benutzerkonten für die Verzeichnissynchronisierung

Lösung 6: Aktualisieren Sie manuell ein Benutzerkonto UPN

Um ein Benutzerkonto UPN zu aktualisieren, die nach der ersten Synchronisierung lizenziert wurde, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Alle Programme, klicken Sie auf Windows Azure, Active Directory, und klicken Sie dann auf Windows Azure Active Directory Modul für Windows PowerShell.
  2. Führen Sie die folgenden Cmdlets an der Windows PowerShell-Eingabeaufforderung ein:
    1. $cred = get-credential
      Hinweis Wenn Sie aufgefordert werden, geben Sie die Administrator-Anmeldeinformationen.
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

Lösung 7: Aktualisieren von SMTP-Adressen von Benutzern mit lokalen Active Directory-Attribute

Wenn SMTP-Attribute auf eine erwartete Weise mit Exchange Online synchronisiert werden nicht, müssen Sie der lokalen Active Directory-Attribute zu aktualisieren. Verwenden Sie zum lokalen Active Directory-Attribute aktualisieren, damit die richtige e-Mail-Adresse in Exchange Online zeigt Entschließung 2 der Attribute zu bearbeiten, die in der folgenden Tabelle aufgeführt sind.
Tabelle minimierenTabelle vergrößern
Name der lokalen Active Directory-AttributBeispiel für lokalen Active Directory-Attribut einen WertBeispiel für Exchange Online e-Mail-Adressen
proxyAddressesSMTP:User1@contoso.comPrimäre SMTP: user1@contoso.com
Sekundäre SMTP: user1@contoso.onmicrosoft.com
proxyAddressesSMTP:User1@contoso.comPrimäre SMTP: sekundäre SMTP user1@contoso.onmicrosoft.com: user1@contoso.com
proxyAddressesSMTP:User1@contoso.com
SMTP:User1@Sub.contoso.com
Primäre SMTP: user1@contoso.com
Sekundäre SMTP: user1@sub.contoso.com
Sekundäre SMTP: user1@contoso.onmicrosoft.com
mailUser1@contoso.comPrimäre SMTP: user1@contoso.com
Sekundäre SMTP: user1@contoso.onmicrosoft.com
UserPrincipalNameUser1@contoso.comPrimäre SMTP: user1@contoso.com
Sekundäre SMTP: user1@contoso.onmicrosoft.com
Der Eintrag Microsoft Online e-Mail-Routing Adresse (MOERA), die mit der Standarddomäne (z. B. user1@contoso.onmicrosoft.com) ist ein interpretierte Wert, der auf ein Benutzerkonto Alias basiert. Diese spezielle e-Mail-Adresse ist untrennbar an jeden Empfänger Exchange Online und können nicht verwalten, löschen oder erstellen Sie zusätzliche MOERA Adressen für jeden Empfänger. Allerdings kann die Adresse MOERA als primäre SMTP-Adresse überschrieben werden mit den Attributen im lokalen Active Directory-Benutzerobjekt.

Hinweis Das Vorhandensein von Daten im Attribut ProxyAddresses maskiert vollständig Daten in das Mail- Attribut für das Auffüllen von Exchange Online e-Mail-Adresse.

Hinweis Das Vorhandensein von Daten in das ProxyAddresses -Attribut oder das Mail- Attribut Attribute vollständig Maske UserPrincipalName Daten zum Auffüllen von Exchange Online e-Mail-Adresse. Der UPN kann zum Verwalten von e-Mail-Adressen verwendet werden. Administrator kann jedoch beschließen, die e-Mail-Adresse und UPN getrennt durch Auffüllen ProxyAddresses oder e-Mail- Attribute verwalten.

Es wird dringend empfohlen, dass eines dieser Attribute zum Verwalten von Exchange Online e-Mail-Adressen für synchronisierte Benutzer einheitlich verwendet werden.

WEITERE INFORMATIONEN

Die Windows PowerShell-Befehle, die in diesem Artikel erwähnten erfordern die Windows Azure Active Directory-Modul für Windows PowerShell. Weitere Informationen über die Windows Azure Active Directory-Modul für Windows PowerShell finden Sie unter Verwalten von Active Directory mithilfe des Windows PowerShell Windows Azure.

Weitere Informationen über das Filtern von Verzeichnissynchronisierung von Attributen finden Sie unter FollowingMicrosoft TechNet Wiki-Artikel:
Liste der Attribute, die von Windows Azure-Tool Sync Active Directory synchronisiert sind
Benötigen Sie weitere Hilfe? Klicken Sie auf der Office 365-Community Website oder die Windows Azure-Active Directory-Foren Website.

Eigenschaften

Artikel-ID: 2643629 - Geändert am: Freitag, 28. März 2014 - Version: 26.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education  (pre-upgrade)
  • CRM Online via Office 365 E Plans
  • Windows Azure Recovery Services
Keywords: 
o365 o365a o365022013 after upgrade o365062011 pre-upgrade o365e o365m kbgraphxlink kbgraphic kbmt KB2643629 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 2643629
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com