Uno o più oggetti non vengono sincronizzati quando si usa lo strumento di sincronizzazione di Azure Active Directory

  • Articolo

Questo articolo risolve un problema per cui uno o più attributi dell'oggetto Active Directory Domain Services (AD DS) non vengono sincronizzati con Microsoft Entra ID tramite lo strumento di sincronizzazione di Azure Active Directory.

Versione originale del prodotto: Servizi cloud (Ruoli Web/Ruoli di lavoro), Microsoft Entra ID, Microsoft Intune, Backup di Azure, Gestione delle identità di Office 365
Numero KB originale: 2643629

Nota

Questo articolo è stato utile? Diamo importanza al contributo degli utenti. Usare il pulsante Feedback in questa pagina per comunicare se questo articolo è stato utile o come possiamo migliorarlo.

Sintomi

Uno o più oggetti o attributi di Servizi di dominio Active Directory non vengono sincronizzati con Microsoft Entra ID come previsto. Quando viene eseguita la sincronizzazione di Active Directory, un oggetto non viene sincronizzato e si verifica uno dei sintomi seguenti:

  • Viene visualizzato un messaggio di errore che indica che un attributo ha un valore duplicato.
  • Viene visualizzato un messaggio di errore che indica che uno o più attributi violano i requisiti di formattazione, ad esempio il set di caratteri o la lunghezza dei caratteri.
  • Non viene visualizzato un messaggio di errore e la sincronizzazione della directory sembra essere stata completata. Tuttavia, alcuni oggetti o attributi non vengono aggiornati come previsto.

Alcuni esempi del messaggio di errore che è possibile ricevere:

Nella directory di Microsoft Online Services esiste già un oggetto sincronizzato con lo stesso indirizzo proxy.

Impossibile aggiornare questo oggetto perché l'ID utente non è stato trovato.

Impossibile aggiornare questo oggetto in Microsoft Online Services perché gli attributi seguenti associati a questo oggetto hanno valori che potrebbero essere già associati a un altro oggetto nella directory locale.

Causa

Questo problema si verifica per una delle seguenti ragioni:

  • Il valore di dominio usato dagli attributi di Active Directory Domain Services non è stato verificato.

  • Uno o più attributi oggetto che richiedono un valore univoco hanno un valore di attributo duplicato (ad esempio l'attributo proxyAddresses o l'attributo U serPrincipalName) in un account utente esistente.

  • Uno o più attributi di oggetto violano i requisiti di formattazione che limitano i caratteri e la lunghezza dei caratteri dei valori dell'attributo.

  • Uno o più attributi oggetto corrispondono alle regole di esclusione per la sincronizzazione della directory.

    La tabella seguente mostra le regole di ambito di sincronizzazione predefinite:

    Tipo di oggetto Nome attributo Condizione dell'attributo quando la sincronizzazione non riesce
    Contatto DisplayName Contiene "MSOL"
    msExchHideFromAddressLists È impostato su "True"
    Gruppo abilitato per la sicurezza isCriticalSystemObject È impostato su "True"
    Gruppi abilitati alla posta
    (gruppo di sicurezza o lista di distribuzione)    		 Proxyaddresses

    e

    posta elettronica    		 Non ha voce di indirizzo "SMTP:"

    e

    non è presente
    Contatti abilitati all'utilizzo della posta Proxyaddresses

    e

    posta elettronica    		 Non ha voce di indirizzo "SMTP:"

    e

    non è presente
    Inetorgperson Samaccountname Non è presente
    isCriticalSystemObject È presente
    Utente Mailnickname Inizia con "SystemMailbox"
    Mailnickname Inizia con "CAS_"

    e

    contiene "}"
    Samaccountname Inizia con "CAS_"

    e

    contiene "}"
    Samaccountname Uguale a "SUPPORT_388945a0"
    Samaccountname Uguale a "MSOL_AD_Sync"
    Samaccountname Non è presente
    isCriticalSystemObject È impostato su "True"

  • Il nome dell'entità utente (UPN) è stato modificato dopo la sincronizzazione iniziale e deve essere aggiornato manualmente.

  • Exchange Online indirizzi SMTP (Simple Mail Transfer Protocol) degli utenti sincronizzati non vengono popolati in modo appropriato nello schema Active Directory locale.

Risoluzione

Per risolvere il problema, utilizzare uno dei metodi seguenti, a seconda della situazione.

Eseguire IdFix per verificare la presenza di duplicati, attributi mancanti e violazioni delle regole

Usare idFix DirSync Error Remediation Tool per trovare gli oggetti e gli errori che impediscono la sincronizzazione con Microsoft Entra ID.

  • Se viene visualizzato "Vuoto" nella colonna ERROR dopo l'esecuzione di IdFix, l'attributo displayName dell'oggetto non è definito. Per risolvere questo problema, specificare un valore per l'attributo displayName dell'oggetto seguendo questa procedura:
  1. Nella colonna UPDATE dell'oggetto digitare il nome del relativo attributo displayName.
  2. Nella colonna ACTION (AZIONE) fare clic su EDIT (MODIFICA) e quindi su Apply (Applica).
  3. Ripetere i passaggi 1 e 2 per ogni oggetto con una voce "vuota" nella colonna ERROR.
  4. Eseguire di nuovo IdFix per cercare altri errori di oggetto.
  • Se viene visualizzato "Duplicato" nella colonna ERROR dopo l'esecuzione di IdFix, due o più oggetti hanno lo stesso indirizzo di posta elettronica. Per risolvere il problema, specificare un indirizzo di posta elettronica univoco per l'oggetto attenendosi alla procedura seguente:
  1. Nella colonna UPDATE per l'oggetto digitare un indirizzo di posta elettronica non già usato.
  2. Nella colonna ACTION (AZIONE) fare clic su EDIT (MODIFICA) e quindi su Apply (Applica).
  3. Eseguire di nuovo IdFix per cercare altri errori di oggetto.

Determinare i conflitti di attributi causati da oggetti non creati in Microsoft Entra ID tramite la sincronizzazione della directory

Per determinare i conflitti di attributi causati da oggetti utente creati tramite strumenti di gestione (e che non sono stati creati in Microsoft Entra ID tramite la sincronizzazione della directory), seguire questa procedura:

  1. Determinare gli attributi univoci dell'account utente di Active Directory Domain Services locale. A tale scopo, in un computer in cui sono installati strumenti di supporto di Windows, seguire questa procedura:

    1. Selezionare Start, selezionare Esegui, digitare ldp.exe e quindi selezionare OK.

    2. Selezionare Connessione, selezionare Connetti, digitare il nome del computer di un controller di dominio Active Directory Domain Services e quindi selezionare OK.

    3. Selezionare Connessione, quindi Bind (Associa) e quindi OK.

    4. Selezionare Visualizza, selezionare Visualizzazione albero, selezionare il dominio di Active Directory Domain Services nell'elenco a discesa BaseDN e quindi selezionare OK.

    5. Nel riquadro di spostamento individuare e quindi fare doppio clic sull'oggetto che non viene sincronizzato correttamente. Nel riquadro Dettagli a destra della finestra sono elencati tutti gli attributi dell'oggetto. L'esempio seguente mostra gli attributi dell'oggetto:

      Screenshot del riquadro di spostamento e dei dettagli degli strumenti di supporto di Windows che elencano tutti gli attributi dell'oggetto.

    6. Registrare i valori dell'attributo userPrincipalName e di ogni indirizzo SMTP nell'attributo proxyAddresses multivalore. Questi valori saranno necessari in un secondo momento.

      Nome attributo Esempio Note
      Proxyaddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. Il numero visualizzato tra parentesi accanto all'etichetta dell'attributo indica il numero di valori di indirizzo proxy nell'attributo multivalore.

      2. Ogni valore di indirizzo proxy distinto è indicato da un punto e virgola (;).

      3. Il valore dell'indirizzo proxy SMTP primario è indicato da "SMTP:" maiuscolo
      Userprincipalname 7628376@contoso.com

      Nota

      Ldp.exe è incluso in Windows Server 2008 e negli strumenti di supporto di Windows Server 2003. Gli strumenti di supporto di Windows Server 2003 sono inclusi nel supporto di installazione di Windows Server 2003. In alternativa, per ottenere gli strumenti di supporto, passare al sito Web Microsoft seguente: Strumenti di supporto di Windows Server 2003 Service Pack 2 a 32 bit

  2. Connettersi a Microsoft Entra ID usando il modulo Azure Active Directory per Windows PowerShell. Per altre informazioni, vedere Gestire Microsoft Entra ID usando Windows PowerShell.

    Lasciare aperta la finestra della console. Sarà necessario usarlo nel passaggio successivo.

  3. Verificare la presenza di attributi userPrincipalName duplicati.

    Nella connessione alla console aperta nel passaggio 2 digitare i comandi seguenti nell'ordine in cui vengono presentati. Premere INVIO dopo ogni comando:

    $userUPN = "<search UPN>"

    Nota

    In questo comando il segnaposto "<search UPN>" rappresenta l'attributo UserPrincipalName registrato nel passaggio 1f.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Nota

    I moduli di PowerShell di Azure AD e MSOnline sono deprecati a partire dal 30 marzo 2024. Per altre informazioni, vedere l'aggiornamento della deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

    È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande frequenti sulla migrazione, vedere Domande frequenti sulla migrazione. Nota: Le versioni 1.0.x di MSOnline potrebbero verificarsi interruzioni dopo il 30 giugno 2024.

    Lasciare aperta la finestra della console. Verrà usato di nuovo nel passaggio successivo.

  4. Verificare la presenza di attributi proxyAddresses duplicati. Nella connessione alla console aperta nel passaggio 2 eseguire il comando seguente:

    Import-Module ExchangeOnlineManagement

  5. Per ogni voce di indirizzo proxy registrata nel passaggio 1f, digitare i comandi seguenti nell'ordine in cui vengono presentati. Premere INVIO dopo ogni comando:

    $proxyAddress = "<search proxyAddress>"

    Nota

    In questo comando il segnaposto "<search proxyAddress>" rappresenta il valore di un attributo proxyAddresses registrato nel passaggio 1f.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Gli elementi restituiti dopo l'esecuzione dei comandi nei passaggi 3 e 4 rappresentano oggetti utente non creati tramite la sincronizzazione della directory e con attributi in conflitto con l'oggetto che non viene sincronizzato correttamente.

Aggiornare gli attributi di Active Directory Domain Services per rimuovere duplicati, violazioni delle regole ed esclusioni di ambito

Identificare gli attributi specifici che impediscono la sincronizzazione in base alle informazioni seguenti:

  • Messaggi di posta elettronica amministrativi
  • Report dell'output dello strumento di preparazione per la distribuzione Office 365
  • Regole di ambito della sincronizzazione della directory predefinite e regole personalizzate

Dopo aver identificato un valore di attributo specifico, modificare il valore dell'attributo usando uno dei metodi seguenti:

  • Usare lo strumento Utenti e computer di Active Directory per modificare il valore dell'attributo.
  1. Aprire Utenti e computer di Active Directory e quindi selezionare il nodo radice del dominio di Active Directory Domain Services.
  2. Selezionare Visualizza e quindi assicurarsi che l'opzione Funzionalità avanzate sia selezionata.
  3. Nel riquadro di spostamento a sinistra individuare l'oggetto utente, fare clic con il pulsante destro del mouse su di esso e quindi scegliere Proprietà.
  4. Nella scheda Editor oggetto individuare l'attributo desiderato. Selezionare Modifica e quindi modificare il valore dell'attributo nel valore desiderato.
  5. Selezionare due volte OK.
  • Usare Active Directory Service Interfaces (ADSI) Edit per aggiornare gli attributi degli oggetti in Active Directory Domain Services. È possibile scaricare e installare ADSI Edit come parte di Windows Server Toolkit. Per usare ADSI Edit per modificare gli attributi, seguire questa procedura.

Avviso

Questa procedura richiede ADSI Edit. L'uso non corretto di ADSI Edit può causare gravi problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non può garantire che i problemi derivanti dall'uso non corretto di ADSI Edit possano essere risolti. Usare ADSI Edit a proprio rischio.

  1. Selezionare Start, selezionare Esegui, digitare ADSIEdit.msc e quindi selezionare OK.
  2. Fare clic con il pulsante destro del mouse su Modifica ADSI nel riquadro di spostamento, selezionare Connetti a e quindi scegliere OK per caricare la partizione di dominio.
  3. Individuare l'oggetto utente, fare clic con il pulsante destro del mouse su di esso e quindi scegliere Proprietà.
  4. Nell'elenco Attributi individuare l'attributo desiderato. Selezionare Modifica e quindi modificare il valore dell'attributo nel valore desiderato.
  5. Selezionare OK due volte e quindi uscire da Modifica ADSI.

Creare un nuovo gruppo e aggiungerlo al gruppo predefinito che non viene sincronizzato

Per risolvere il problema nello scenario in cui alcuni gruppi predefiniti, ad esempio il gruppo Domain Users, non sono sincronizzati, creare un nuovo gruppo che contiene tutti i membri applicabili e le autorizzazioni appropriate del gruppo predefinito. Aggiungere quindi il gruppo come membro al gruppo predefinito non sincronizzato. Usare il nuovo gruppo anziché il gruppo predefinito per gestire i membri. Usando questo metodo, si gestisce comunque un solo gruppo.

Non si vogliono modificare gli attributi del gruppo predefinito o modificare le regole di ambito dell'appliance di sincronizzazione identità per consentire la sincronizzazione degli oggetti di sistema critici. Può attivare altri comportamenti imprevisti.

Usare la corrispondenza SMTP per fare in modo che un oggetto utente locale sincronizzi con un oggetto utente esistente

Per altre informazioni, vedere Come usare la corrispondenza SMTP per associare gli account utente locali agli account utente Office 365 per la sincronizzazione della directory.

Aggiornare manualmente un upn dell'account utente

Per aggiornare un upn dell'account utente concesso in licenza dopo la sincronizzazione iniziale della directory, seguire questa procedura:

  1. Installare il modulo PowerShell di Azure Active Directory v2. Per altre informazioni, vedere Modulo PowerShell di Azure Active Directory v2.

  2. Eseguire i cmdlet seguenti al prompt di PowerShell di Azure Active Directory v2:

    $cred = get-credential

    Nota

    Quando viene richiesto, immettere le credenziali di amministratore.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

Aggiornare gli indirizzi SMTP degli utenti usando gli attributi Active Directory locale

Quando gli attributi SMTP non vengono sincronizzati con Exchange Online in modo previsto, potrebbe essere necessario aggiornare gli attributi Active Directory locale. Per aggiornare Active Directory locale attributi in modo che l'indirizzo di posta elettronica corretto sia visualizzato in Exchange Online, usare la risoluzione 2 per modificare gli attributi nella tabella seguente.

Nome dell'attributo Active Directory locale Esempio di valore dell'attributo Active Directory locale Esempio Exchange Online indirizzi di posta elettronica
Proxyaddresses SMTP:user1@contoso.com SMTP primario: user1@contoso.com
SMTP secondario: user1@contoso.onmicrosoft.com
Proxyaddresses Smtp:user1@contoso.com SMTP primario: user1@contoso.onmicrosoft.com SMTP secondario: user1@contoso.com
Proxyaddresses SMTP:user1@contoso.com
Smtp:user1@sub.contoso.com		 SMTP primario: user1@contoso.com
SMTP secondario: user1@sub.contoso.com
SMTP secondario: user1@contoso.onmicrosoft.com
posta elettronica User1@contoso.com SMTP primario: user1@contoso.com
SMTP secondario: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com SMTP primario: user1@contoso.com
SMTP secondario: user1@contoso.onmicrosoft.com

La voce MOERA (Microsoft Online Email Routing Address) associata al dominio predefinito, ad user1@contoso.onmicrosoft.comesempio , è un valore interpretato basato sull'alias di un account utente. Questo indirizzo di posta elettronica specializzato è indissolubilmente collegato a ogni destinatario Exchange Online. Non è possibile gestire, eliminare o creare indirizzi MOERA aggiuntivi per qualsiasi destinatario. Tuttavia, l'indirizzo MOERA può essere sovraccaricato come indirizzo SMTP primario usando gli attributi nell'oggetto utente Active Directory locale.

Nota

La presenza di dati nell'attributo proxyAddresses maschera completamente i dati nell'attributo di posta elettronica per Exchange Online popolamento degli indirizzi di posta elettronica.

Nota

La presenza di dati nell'attributo proxyAddresses, nell'attributo mail o in entrambi gli attributi maschera completamente i dati UserPrincipalName per Exchange Online popolamento degli indirizzi di posta elettronica. L'UPN può essere usato per gestire gli indirizzi di posta elettronica. Tuttavia, un amministratore può decidere di gestire l'indirizzo di posta elettronica e l'UPN separatamente popolando proxyAddresses o attributi di posta elettronica.

È consigliabile usare in modo coerente uno di questi attributi per gestire Exchange Online indirizzi di posta elettronica per gli utenti sincronizzati.

Ulteriori informazioni

I comandi Windows PowerShell indicati in questo articolo richiedono il modulo Azure Active Directory per Windows PowerShell. Per altre informazioni sul modulo Azure Active Directory per Windows PowerShell, vedere l'articolo seguente:
Gestire Microsoft Entra ID usando Windows PowerShell.

Per altre informazioni sul filtro della sincronizzazione delle directory in base agli attributi, vedere l'articolo wiki di Microsoft TechNet seguente:
Elenco di attributi sincronizzati dallo strumento di sincronizzazione di Azure Active Directory

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.