Uno o varios objetos no se sincronizan al usar la herramienta sincronización de Azure Active Directory

  • Artículo

En este artículo se resuelve un problema por el que uno o varios atributos de objeto de Servicios de dominio de Active Directory (AD DS) no se sincronizan para Microsoft Entra ID a través de la herramienta Azure Active Directory Sync.

Versión del producto original: Cloud Services (roles web/roles de trabajo), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Número de KB original: 2643629

Nota:

¿Le resultó útil este artículo? Su opinión es importante para nosotros. Use el botón Comentarios de esta página para indicarnos lo bien que ha funcionado este artículo o cómo podemos mejorarlo.

Síntomas

Uno o varios objetos o atributos de AD DS no se sincronizan con Microsoft Entra ID según lo previsto. Cuando se ejecuta la sincronización de Active Directory, un objeto no se sincroniza y experimenta uno de los síntomas siguientes:

  • Recibirá un mensaje de error que indica que un atributo tiene un valor duplicado.
  • Recibe un mensaje de error que indica que uno o varios atributos infringen los requisitos de formato, como el juego de caracteres o la longitud de caracteres.
  • No recibe un mensaje de error y parece que se ha completado la sincronización de directorios. Sin embargo, algunos objetos o atributos no se actualizan según lo esperado.

Algunos ejemplos del mensaje de error que puede recibir:

Ya existe un objeto sincronizado con la misma dirección de proxy en el directorio de Microsoft Online Services.

No se puede actualizar este objeto porque no se encuentra el identificador de usuario.

No se puede actualizar este objeto en Microsoft Online Services porque los siguientes atributos asociados a este objeto tienen valores que pueden estar ya asociados a otro objeto en el directorio local.

Causa

Este problema se produce debido a uno de los siguientes motivos:

  • No se ha comprobado el valor de dominio que usan los atributos de AD DS.

  • Uno o varios atributos de objeto que requieren un valor único tienen un valor de atributo duplicado (como el atributo proxyAddresses o el atributo U serPrincipalName) en una cuenta de usuario existente.

  • Uno o varios atributos de objeto infringen los requisitos de formato que restringen los caracteres y la longitud de caracteres de los valores de atributo.

  • Uno o varios atributos de objeto coinciden con las reglas de exclusión para la sincronización de directorios.

    En la tabla siguiente se muestran las reglas de ámbito de sincronización predeterminadas:

    Tipo de objeto Nombre del atributo Condición del atributo cuando se produce un error en la sincronización
    Contacto DisplayName Contiene "MSOL"
    msExchHideFromAddressLists Se establece en "True"
    Grupo habilitado para seguridad isCriticalSystemObject Se establece en "True"
    Grupos habilitados para correo
    (grupo de seguridad o lista de distribución)    		 proxyAddresses

    y

    mail    		 No tiene ninguna entrada de dirección "SMTP:".

    y

    no está presente
    Contactos habilitados para correo proxyAddresses

    y

    mail    		 No tiene ninguna entrada de dirección "SMTP:".

    y

    no está presente
    Inetorgperson Samaccountname No está presente
    isCriticalSystemObject Está presente
    Usuario mailNickName Comienza por "SystemMailbox"
    mailNickName Comienza con "CAS_"

    y

    contiene "}"
    Samaccountname Comienza con "CAS_"

    y

    contiene "}"
    Samaccountname Es igual a "SUPPORT_388945a0"
    Samaccountname Es igual a "MSOL_AD_Sync"
    Samaccountname No está presente
    isCriticalSystemObject Se establece en "True"

  • El nombre principal de usuario (UPN) se cambió después de la sincronización inicial y debe actualizarse manualmente.

  • Exchange Online las direcciones del Protocolo simple de transferencia de correo (SMTP) de los usuarios sincronizados no se rellenan correctamente en el esquema de Active Directory local.

Solución

Para resolver este problema, utilice uno de los siguientes métodos, según corresponda a su situación.

Ejecute IdFix para comprobar si hay duplicados, atributos que faltan e infracciones de reglas.

Use la herramienta de corrección de errores DirSync de IdFix para buscar objetos y errores que impidan la sincronización con Microsoft Entra ID.

  • Si ve "Blank" en la columna ERROR después de ejecutar IdFix, no se define el atributo displayName del objeto. Para resolver este problema, especifique un valor para el atributo displayName del objeto mediante estos pasos:
  1. En la columna UPDATE del objeto , escriba el nombre de su atributo displayName.
  2. En la columna ACCIÓN, haga clic en EDITARy, a continuación, haga clic en Aplicar.
  3. Repita los pasos 1 y 2 para cada objeto que tenga una entrada "en blanco" en la columna ERROR.
  4. Vuelva a ejecutar IdFix para buscar más errores de objeto.
  • Si ve "Duplicado" en la columna ERROR después de ejecutar IdFix, dos o más objetos tienen la misma dirección de correo electrónico. Para resolver este problema, especifique una dirección de correo electrónico única para el objeto siguiendo estos pasos:
  1. En la columna UPDATE del objeto , escriba una dirección de correo electrónico que aún no se haya usado.
  2. En la columna ACCIÓN, haga clic en EDITARy, a continuación, haga clic en Aplicar.
  3. Vuelva a ejecutar IdFix para buscar más errores de objeto.

Determinar los conflictos de atributos causados por objetos que no se crearon en Microsoft Entra ID mediante la sincronización de directorios

Para determinar los conflictos de atributos causados por objetos de usuario creados mediante herramientas de administración (y que no se crearon en Microsoft Entra ID mediante la sincronización de directorios), siga estos pasos:

  1. Determine los atributos únicos de la cuenta de usuario de AD DS local. Para ello, en un equipo que tenga instaladas las Herramientas de soporte técnico de Windows, siga estos pasos:

    1. Seleccione Inicio, ejecutar, escriba ldp.exe y, a continuación, seleccione Aceptar.

    2. Seleccione Conexión, seleccione Conectar, escriba el nombre de equipo de un controlador de dominio de AD DS y, a continuación, seleccione Aceptar.

    3. Seleccione Conexión, enlazary, a continuación, seleccione Aceptar.

    4. Seleccione Ver, seleccione Vista de árbol, seleccione el dominio de AD DS en la lista desplegable BaseDN y, a continuación, seleccione Aceptar.

    5. En el panel de navegación, busque y haga doble clic en el objeto que no se está sincronizando correctamente. En el panel Detalles del lado derecho de la ventana se enumeran todos los atributos de objeto. En el ejemplo siguiente se muestran los atributos de objeto:

      Captura de pantalla del panel de navegación y detalles de las Herramientas de soporte técnico de Windows que muestra todos los atributos de objeto.

    6. Registre los valores del atributo userPrincipalName y cada dirección SMTP en el atributo proxyAddresses multivalor. Necesitará estos valores más adelante.

      Nombre del atributo Ejemplo Notas
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. El número que se muestra entre paréntesis junto a la etiqueta de atributo indica el número de valores de dirección de proxy en el atributo multivalor.

      2. Cada valor de dirección de proxy distinto se indica mediante un punto y coma (;).

      3. El valor de la dirección del proxy SMTP principal se indica con mayúsculas "SMTP:"
      userPrincipalName 7628376@contoso.com

      Nota:

      Ldp.exe se incluye en Windows Server 2008 y en las Herramientas de soporte técnico de Windows Server 2003. Las Herramientas de soporte técnico de Windows Server 2003 se incluyen en los medios de instalación de Windows Server 2003. O bien, para obtener las herramientas de soporte técnico, vaya al siguiente sitio web de Microsoft: Herramientas de soporte técnico de Windows Server 2003 Service Pack 2 de 32 bits.

  2. Conéctese a Microsoft Entra ID mediante el módulo de Azure Active Directory para Windows PowerShell. Para obtener más información, vaya a Administrar Microsoft Entra ID mediante Windows PowerShell.

    Deje abierta la ventana de la consola. Tendrá que usarlo en el paso siguiente.

  3. Compruebe si hay atributos userPrincipalName duplicados.

    En la conexión de consola que abrió en el paso 2, escriba los siguientes comandos en el orden en que se presentan. Presione Entrar después de cada comando:

    $userUPN = "<search UPN>"

    Nota:

    En este comando, el marcador de posición "<buscar UPN>" representa el atributo UserPrincipalName que registró en el paso 1f.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Nota:

    Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Después de esta fecha, la compatibilidad con estos módulos se limita a la ayuda de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

    Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para obtener preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre la migración. Nota: Las versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

    Deje abierta la ventana de la consola. Lo usará de nuevo en el paso siguiente.

  4. Compruebe si hay atributos proxyAddresses duplicados. En la conexión de consola que abrió en el paso 2, ejecute el siguiente comando:

    Import-Module ExchangeOnlineManagement

  5. Para cada entrada de dirección de proxy que registró en el paso 1f, escriba los siguientes comandos en el orden en que se presentan. Presione Entrar después de cada comando:

    $proxyAddress = "<search proxyAddress>"

    Nota:

    En este comando, el marcador de posición "<search proxyAddress>" representa el valor de un atributo proxyAddresses que registró en el paso 1f.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Los elementos que se devuelven después de ejecutar los comandos en los pasos 3 y 4 representan objetos de usuario que no se crearon a través de la sincronización de directorios y que tienen atributos que entran en conflicto con el objeto que no se sincroniza correctamente.

Actualizar atributos de AD DS para quitar duplicados, infracciones de reglas y exclusiones de ámbito

Identifique los atributos específicos que impiden la sincronización en función de la siguiente información:

  • Mensajes de correo electrónico administrativos
  • Informe de la salida de la herramienta de preparación de la implementación de Office 365
  • Reglas de ámbito de sincronización de directorios predeterminadas y reglas personalizadas

Una vez identificado un valor de atributo específico, edite el valor de atributo mediante uno de estos métodos:

  • Use la herramienta Usuarios y equipos de Active Directory para editar el valor del atributo.
  1. Abra Usuarios y equipos de Active Directory y seleccione el nodo raíz del dominio de AD DS.
  2. Seleccione Ver y, a continuación, asegúrese de que la opción Características avanzadas está seleccionada.
  3. En el panel de navegación izquierdo, busque el objeto de usuario, haga clic con el botón derecho en él y, a continuación, seleccione Propiedades.
  4. En la pestaña Editor de objetos, busque el atributo que desee. Seleccione Editar y, a continuación, edite el valor del atributo en el valor que desee.
  5. Haga clic en Aceptar dos veces.
  • Use la edición de interfaces de servicio de Active Directory (ADSI) para actualizar los atributos de objeto en AD DS. Puede descargar e instalar ADSI Edit como parte del kit de herramientas de Windows Server. Para usar ADSI Edit para editar atributos, siga estos pasos.

Advertencia

Este procedimiento requiere la edición adsi. El uso incorrecto de ADSI Edit puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no puede garantizar que se puedan resolver los problemas derivados del uso incorrecto de ADSI Edit. Use ADSI Edit a su propio riesgo.

  1. Seleccione Inicio, ejecutar, escriba ADSIEdit.msc y, a continuación, seleccione Aceptar.
  2. Haga clic con el botón derecho en ADSI Edit (Editar ADSI) en el panel de navegación, seleccione Conectar con y, a continuación, seleccione Aceptar para cargar la partición de dominio.
  3. Busque el objeto de usuario, haga clic con el botón derecho en él y, a continuación, seleccione Propiedades.
  4. En la lista Atributos , busque el atributo que desee. Seleccione Editar y, a continuación, edite el valor del atributo en el valor que desee.
  5. Seleccione Aceptar dos veces y, a continuación, salga de EDICIÓN DE ADSI.

Cree un nuevo grupo y agréguelo al grupo integrado que no se está sincronizando.

Para resolver el problema en el escenario en el que algunos grupos integrados (como el grupo Usuarios del dominio) no están sincronizados, cree un nuevo grupo que contenga todos los miembros aplicables y los permisos adecuados del grupo integrado. A continuación, agregue ese grupo como miembro al grupo integrado que no está sincronizado. Use el nuevo grupo en lugar del grupo integrado para administrar miembros. Con este método, solo se administra un grupo.

No quiere cambiar los atributos del grupo integrado ni cambiar las reglas de ámbito del dispositivo de sincronización de identidades para permitir la sincronización de objetos críticos del sistema. Puede desencadenar otro comportamiento inesperado.

Uso de la coincidencia SMTP para hacer que un objeto de usuario local se sincronice con un objeto de usuario existente

Para obtener más información, consulte Uso de la coincidencia SMTP para buscar coincidencias con cuentas de usuario locales para Office 365 cuentas de usuario para la sincronización de directorios.

Actualizar manualmente un UPN de la cuenta de usuario

Para actualizar un UPN de cuenta de usuario con licencia después de que se haya producido la sincronización de directorios inicial, siga estos pasos:

  1. Instale el módulo de PowerShell de Azure Active Directory v2. Para obtener más información, consulte Módulo de PowerShell de Azure Active Directory v2.

  2. Ejecute los siguientes cmdlets en el símbolo del sistema de PowerShell de Azure Active Directory v2:

    $cred = get-credential

    Nota:

    Cuando se le solicite, escriba sus credenciales de administrador.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

Actualización de direcciones SMTP de usuario mediante atributos de Active Directory local

Cuando los atributos SMTP no se sincronizan con Exchange Online de forma esperada, es posible que tenga que actualizar los atributos de Active Directory local. Para actualizar Active Directory local atributos de modo que la dirección de correo electrónico correcta se muestre en Exchange Online, use la Resolución 2 para manipular los atributos de la tabla siguiente.

Nombre del atributo de Active Directory local Valor de atributo de Active Directory local de ejemplo Ejemplo Exchange Online direcciones de correo electrónico
proxyAddresses SMTP:user1@contoso.com SMTP principal: user1@contoso.com
SMTP secundario: user1@contoso.onmicrosoft.com
proxyAddresses Smtp:user1@contoso.com SMTP principal: user1@contoso.onmicrosoft.com SMTP secundario: user1@contoso.com
proxyAddresses SMTP:user1@contoso.com
Smtp:user1@sub.contoso.com		 SMTP principal: user1@contoso.com
SMTP secundario: user1@sub.contoso.com
SMTP secundario: user1@contoso.onmicrosoft.com
mail User1@contoso.com SMTP principal: user1@contoso.com
SMTP secundario: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com SMTP principal: user1@contoso.com
SMTP secundario: user1@contoso.onmicrosoft.com

La entrada Microsoft Online Email Routing Address (MOERA) que está asociada al dominio predeterminado (como user1@contoso.onmicrosoft.com) es un valor interpretado que se basa en el alias de una cuenta de usuario. Esta dirección de correo electrónico especializada está inextricablemente vinculada a cada destinatario Exchange Online. No puede administrar, eliminar ni crear direcciones MOERA adicionales para ningún destinatario. Sin embargo, la dirección MOERA se puede invalidar como la dirección SMTP principal mediante los atributos del objeto de usuario Active Directory local.

Nota:

La presencia de datos en el atributo proxyAddresses enmascara completamente los datos del atributo mail para Exchange Online rellenado de direcciones de correo electrónico.

Nota:

La presencia de datos en el atributo proxyAddresses, el atributo mail o ambos atributos enmascara completamente los datos UserPrincipalName para Exchange Online rellenado de direcciones de correo electrónico. El UPN se puede usar para administrar direcciones de correo electrónico. Sin embargo, un administrador puede decidir administrar la dirección de correo electrónico y el UPN por separado rellenando proxyAddresses o atributos de correo.

Se recomienda encarecidamente que uno de estos atributos se use de forma coherente para administrar Exchange Online direcciones de correo electrónico para los usuarios sincronizados.

Más información

Los comandos Windows PowerShell que se mencionan en este artículo requieren el módulo de Azure Active Directory para Windows PowerShell. Para obtener más información sobre el módulo de Azure Active Directory para Windows PowerShell, consulte el siguiente artículo:
Administre Microsoft Entra ID mediante Windows PowerShell.

Para obtener más información sobre cómo filtrar la sincronización de directorios por atributos, consulte el siguiente artículo wiki de Microsoft TechNet:
Lista de atributos sincronizados por la herramienta de sincronización de Azure Active Directory

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.