Co najmniej jeden obiekt nie jest synchronizowany podczas korzystania z narzędzia do synchronizacji usługi Azure Active Directory

W tym artykule rozwiązano problem polegający na tym, że co najmniej jeden atrybut obiektu Active Directory Domain Services (AD DS) nie jest synchronizowany z Tożsamość Microsoft Entra za pomocą narzędzia do synchronizacji usługi Azure Active Directory.

Oryginalna wersja produktu: Cloud Services (role sieci Web/role procesu roboczego), Tożsamość Microsoft Entra, Microsoft Intune, Azure Backup, Office 365 Identity Management
Oryginalny numer KB: 2643629

Symptomy

Co najmniej jeden obiekt lub atrybuty usług AD DS nie są synchronizowane z Tożsamość Microsoft Entra zgodnie z oczekiwaniami. Po uruchomieniu synchronizacji usługi Active Directory obiekt nie jest synchronizowany i występuje jeden z następujących objawów:

• Zostanie wyświetlony komunikat o błędzie informujący, że atrybut ma zduplikowaną wartość.
• Zostanie wyświetlony komunikat o błędzie informujący, że co najmniej jeden atrybut narusza wymagania dotyczące formatowania, takie jak zestaw znaków lub długość znaku.
• Nie otrzymujesz komunikatu o błędzie, a synchronizacja katalogów wydaje się być zakończona. Jednak niektóre obiekty lub atrybuty nie są aktualizowane zgodnie z oczekiwaniami.

Niektóre przykłady komunikatu o błędzie, który może zostać wyświetlony:

Zsynchronizowany obiekt o tym samym adresie proxy już istnieje w katalogu usług Microsoft Online Services.

Nie można zaktualizować tego obiektu, ponieważ nie znaleziono identyfikatora użytkownika.

Nie można zaktualizować tego obiektu w usługach Microsoft Online Services, ponieważ następujące atrybuty skojarzone z tym obiektem mają wartości, które mogą być już skojarzone z innym obiektem w katalogu lokalnym.

Przyczyna

Przyczyny występowania tego problemu mogą być następujące:

• Wartość domeny używana przez atrybuty usług AD DS nie została zweryfikowana.

• Co najmniej jeden atrybut obiektu, który wymaga unikatowej wartości, ma zduplikowaną wartość atrybutu (taką jak atrybut proxyAddresses lub atrybut U serPrincipalName) na istniejącym koncie użytkownika.

• Co najmniej jeden atrybut obiektu narusza wymagania dotyczące formatowania, które ograniczają znaki i długość znaku wartości atrybutu.

• Co najmniej jeden atrybut obiektu jest zgodny z regułami wykluczeń synchronizacji katalogów.

  W poniższej tabeli przedstawiono domyślne reguły określania zakresu synchronizacji:

  Typ obiektu	Nazwa atrybutu	Warunek atrybutu w przypadku niepowodzenia synchronizacji
  Kontakt	Displayname	Zawiera ciąg "MSOL"
  	msExchHideFromAddressLists	Jest ustawiona na wartość "True"
  Grupa z obsługą zabezpieczeń	isCriticalSystemObject	Jest ustawiona na wartość "True"
  Grupy z obsługą poczty (grupa zabezpieczeń lub lista dystrybucyjna)	Proxyaddresses i mail	Nie ma wpisu adresu "SMTP:" i nie ma
  Kontakty z obsługą poczty	Proxyaddresses i mail	Nie ma wpisu adresu "SMTP:" i nie ma
  Inetorgperson	Samaccountname	Nie ma
  	isCriticalSystemObject	Jest obecny
  Użytkownik	mailNickName	Rozpoczyna się od "SystemMailbox"
  	mailNickName	Rozpoczyna się od "CAS_" i zawiera ciąg "}"
  	Samaccountname	Rozpoczyna się od "CAS_" i zawiera ciąg "}"
  	Samaccountname	Równa się "SUPPORT_388945a0"
  	Samaccountname	Równa się "MSOL_AD_Sync"
  	Samaccountname	Nie ma
  	isCriticalSystemObject	Jest ustawiona na wartość "True"

• Główna nazwa użytkownika (UPN) została zmieniona po początkowej synchronizacji i musi zostać zaktualizowana ręcznie.

• Exchange Online adresy protokołu SMTP (Simple Mail Transfer Protocol) zsynchronizowanych użytkowników nie są odpowiednio wypełniane w schemacie lokalna usługa Active Directory.

Rozwiązanie

Aby rozwiązać ten problem, użyj jednej z następujących metod, stosownie do twojej sytuacji.

Uruchom polecenie IdFix, aby sprawdzić, czy nie ma duplikatów, brakujących atrybutów i naruszeń reguł

Użyj narzędzia korygowania błędów IdFix DirSync, aby znaleźć obiekty i błędy, które uniemożliwiają synchronizację Tożsamość Microsoft Entra.

• Jeśli po uruchomieniu polecenia IdFix w kolumnie ERROR zostanie wyświetlona wartość "Blank", atrybut displayName obiektu nie zostanie zdefiniowany. Aby rozwiązać ten problem, określ wartość atrybutu displayName obiektu, wykonując następujące kroki:

1. W kolumnie UPDATE dla obiektu wpisz nazwę atrybutu displayName.
2. W kolumnie AKCJA kliknij pozycję EDYTUJ, a następnie kliknij pozycję Zastosuj.
3. Powtórz kroki 1 i 2 dla każdego obiektu, który ma "pusty" wpis w kolumnie ERROR.
4. Uruchom ponownie polecenie IdFix, aby wyszukać więcej błędów obiektów.

• Jeśli po uruchomieniu polecenia IdFix zostanie wyświetlony komunikat "Duplikuj" w kolumnie ERROR , co najmniej dwa obiekty mają ten sam adres e-mail. Aby rozwiązać ten problem, określ unikatowy adres e-mail obiektu, wykonując następujące kroki:

1. W kolumnie UPDATE obiektu wpisz adres e-mail, który nie jest jeszcze używany.
2. W kolumnie AKCJA kliknij pozycję EDYTUJ, a następnie kliknij pozycję Zastosuj.
3. Uruchom ponownie polecenie IdFix, aby wyszukać więcej błędów obiektów.

Określanie konfliktów atrybutów, które są spowodowane przez obiekty, które nie zostały utworzone w Tożsamość Microsoft Entra za pośrednictwem synchronizacji katalogów

Aby określić konflikty atrybutów spowodowane przez obiekty użytkownika, które zostały utworzone przy użyciu narzędzi do zarządzania (i które nie zostały utworzone w Tożsamość Microsoft Entra za pomocą synchronizacji katalogów), wykonaj następujące kroki:

1. Określ unikatowe atrybuty lokalnego konta użytkownika usług AD DS. Aby to zrobić, na komputerze z zainstalowanymi narzędziami pomocy technicznej systemu Windows wykonaj następujące kroki:

   1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz ldp.exe, a następnie wybierz przycisk OK.

   2. Wybierz pozycję Połączenie, wybierz pozycję Połącz, wpisz nazwę komputera kontrolera domeny usług AD DS, a następnie wybierz przycisk OK.

   3. Wybierz pozycję Połączenie, wybierz pozycję Powiąż, a następnie wybierz przycisk OK.

   4. Wybierz pozycję Widok, wybierz pozycję Widok drzewa, wybierz domenę usług AD DS z listy rozwijanej BaseDN , a następnie wybierz przycisk OK.

   5. W okienku nawigacji znajdź, a następnie kliknij dwukrotnie obiekt, który nie jest poprawnie synchronizowany. Okienko Szczegóły po prawej stronie okna zawiera listę wszystkich atrybutów obiektu. W poniższym przykładzie przedstawiono atrybuty obiektu:

      

   6. Zapisz wartości atrybutu userPrincipalName i każdy adres SMTP w atrybutie multivalue proxyAddresses. Te wartości będą potrzebne później.

      Nazwa atrybutu	Przykład	Uwagi
      Proxyaddresses	proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;	1. Liczba wyświetlana w nawiasach obok etykiety atrybutu wskazuje liczbę wartości adresu serwera proxy w atrybucie wielowartościowym. 2. Każda unikatowa wartość adresu serwera proxy jest wskazywana przez średnik (;). 3. Wartość podstawowego adresu serwera proxy SMTP jest wskazywana wielkimi literami "SMTP:"
      Userprincipalname	7628376@contoso.com

      Uwaga

      Ldp.exe znajduje się w systemie Windows Server 2008 i narzędziach pomocy technicznej systemu Windows Server 2003. Narzędzia do obsługi systemu Windows Server 2003 są zawarte w nośniku instalacyjnym systemu Windows Server 2003. Aby uzyskać narzędzia pomocy technicznej, przejdź do następującej witryny internetowej firmy Microsoft: Windows Server 2003 Service Pack 2 32-bitowe narzędzia pomocy technicznej

2. Połącz się z Tożsamość Microsoft Entra przy użyciu modułu usługi Azure Active Directory dla Windows PowerShell. Aby uzyskać więcej informacji, przejdź do tematu Zarządzanie Tożsamość Microsoft Entra przy użyciu Windows PowerShell.

   Pozostaw otwarte okno konsoli. Musisz go użyć w następnym kroku.

3. Sprawdź, czy nie ma zduplikowanych atrybutów userPrincipalName.

   W połączeniu konsoli, które zostało otwarte w kroku 2, wpisz następujące polecenia w kolejności, w jakiej są prezentowane. Naciśnij klawisz Enter po każdym poleceniu:

   $userUPN = "<search UPN>"
   

   Uwaga

   W tym poleceniu symbol zastępczy "<wyszukaj nazwę UPN>" reprezentuje atrybut UserPrincipalName, który został zapisany w kroku 1f.

   Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
   

   Uwaga

   Moduły programu PowerShell Azure AD i MSOnline są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy w migracji do zestawu Microsoft Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

   Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z Tożsamość Microsoft Entra (dawniej Azure AD). Aby uzyskać typowe pytania dotyczące migracji, zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: W wersjach 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

   Pozostaw otwarte okno konsoli. Użyjesz go ponownie w następnym kroku.

4. Sprawdź, czy nie ma zduplikowanych atrybutów proxyAddresses. W połączeniu konsoli, które zostało otwarte w kroku 2, uruchom następujące polecenie:

   Import-Module ExchangeOnlineManagement
   

5. Dla każdego wpisu adresu serwera proxy zarejestrowanego w kroku 1f wpisz następujące polecenia w kolejności, w jakiej są one prezentowane. Naciśnij klawisz Enter po każdym poleceniu:

   $proxyAddress = "<search proxyAddress>"
   

   Uwaga

   W tym poleceniu symbol zastępczy "<search proxyAddress>" reprezentuje wartość atrybutu proxyAddresses zarejestrowanego w kroku 1f.

   Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}
   

Elementy zwracane po uruchomieniu poleceń w kroku 3 i 4 reprezentują obiekty użytkownika, które nie zostały utworzone w ramach synchronizacji katalogów i które mają atrybuty powodujące konflikt z obiektem, który nie jest poprawnie synchronizowany.

Aktualizowanie atrybutów usług AD DS w celu usunięcia duplikatów, naruszeń reguł i wykluczeń określających zakres

Zidentyfikuj określone atrybuty, które uniemożliwiają synchronizację, na podstawie następujących informacji:

• Administracyjne wiadomości e-mail
• Raport z danych wyjściowych narzędzia Office 365 Deployment Readiness Tool
• Domyślne reguły określania zakresu synchronizacji katalogów i reguły niestandardowe

Po zidentyfikowaniu określonej wartości atrybutu edytuj wartość atrybutu przy użyciu jednej z następujących metod:

• Użyj narzędzia Użytkownicy i komputery usługi Active Directory, aby edytować wartość atrybutu.

1. Otwórz Użytkownicy i komputery usługi Active Directory, a następnie wybierz węzeł główny domeny usług AD DS.
2. Wybierz pozycję Widok, a następnie upewnij się, że wybrano opcję Funkcje zaawansowane .
3. W okienku nawigacji po lewej stronie znajdź obiekt użytkownika, kliknij go prawym przyciskiem myszy, a następnie wybierz pozycję Właściwości.
4. Na karcie Redaktor obiektu znajdź odpowiedni atrybut. Wybierz pozycję Edytuj, a następnie edytuj wartość atrybutu do żądanej wartości.
5. Kliknij dwa razy przycisk OK.

• Użyj funkcji Edytuj interfejsy usługi Active Directory (ADSI), aby zaktualizować atrybuty obiektów w usługach AD DS. Edycję adsi można pobrać i zainstalować w ramach zestawu narzędzi systemu Windows Server. Aby edytować atrybuty za pomocą narzędzia ADSI Edit, wykonaj następujące kroki.

1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz ADSIEdit.msc, a następnie wybierz przycisk OK.
2. Kliknij prawym przyciskiem myszy pozycję ADSI Edytuj w okienku nawigacji, wybierz pozycję Połącz z, a następnie wybierz przycisk OK , aby załadować partycję domeny.
3. Znajdź obiekt użytkownika, kliknij go prawym przyciskiem myszy, a następnie wybierz pozycję Właściwości.
4. Na liście Atrybuty znajdź odpowiedni atrybut. Wybierz pozycję Edytuj, a następnie edytuj wartość atrybutu do żądanej wartości.
5. Dwukrotnie wybierz przycisk OK , a następnie zamknij pozycję ADSI Edit.

Utwórz nową grupę i dodaj ją do wbudowanej grupy, która nie jest synchronizowana

Aby rozwiązać problem w scenariuszu, w którym niektóre wbudowane grupy (takie jak grupa Użytkownicy domeny) nie są synchronizowane, utwórz nową grupę zawierającą wszystkie odpowiednie elementy członkowskie i odpowiednie uprawnienia wbudowanej grupy. Następnie dodaj tę grupę jako członka do wbudowanej grupy, która nie jest synchronizowana. Użyj nowej grupy zamiast wbudowanej grupy do zarządzania członkami. Przy użyciu tej metody nadal zarządzasz tylko jedną grupą.

Nie chcesz zmieniać atrybutów wbudowanej grupy ani zmieniać reguł określania zakresu urządzenia synchronizacji tożsamości, aby umożliwić synchronizację krytycznych obiektów systemowych. Może to spowodować inne nieoczekiwane zachowanie.

Używanie dopasowywania SMTP w celu zsynchronizowania obiektu użytkownika lokalnego z istniejącym obiektem użytkownika

Aby uzyskać więcej informacji, zobacz How to use SMTP matching to match to match on-premises user accounts to Office 365 user accounts for directory synchronization (Jak używać dopasowywania SMTP do kont użytkowników lokalnych w celu Office 365 kont użytkowników na potrzeby synchronizacji katalogów).

Ręczne aktualizowanie nazwy UPN konta użytkownika

Aby zaktualizować nazwę UPN konta użytkownika, która została licencjonowana po początkowej synchronizacji katalogów, wykonaj następujące kroki:

1. Zainstaluj moduł programu PowerShell usługi Azure Active Directory w wersji 2. Aby uzyskać więcej informacji, zobacz Moduł programu PowerShell usługi Azure Active Directory w wersji 2.

2. Uruchom następujące polecenia cmdlet w wierszu polecenia programu PowerShell usługi Azure Active Directory w wersji 2:

   $cred = get-credential
   

   Uwaga

   Po wyświetleniu monitu wprowadź poświadczenia administratora.

   Connect-AzureAD
   

   Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]
   

Aktualizowanie adresów SMTP użytkownika przy użyciu atrybutów lokalna usługa Active Directory

Jeśli atrybuty SMTP nie są synchronizowane z Exchange Online w oczekiwany sposób, może być konieczne zaktualizowanie atrybutów lokalna usługa Active Directory. Aby zaktualizować atrybuty lokalna usługa Active Directory, aby prawidłowy adres e-mail był wyświetlany w Exchange Online, użyj rozwiązania Resolution 2, aby manipulować atrybutami w poniższej tabeli.

Wpis Microsoft Online Email Routing Address (MOERA) skojarzony z domeną domyślną (npuser1@contoso.onmicrosoft.com. ) jest interpretowaną wartością opartą na aliasie konta użytkownika. Ten specjalny adres e-mail jest nierozerwalnie połączony z każdym adresatem Exchange Online. Nie można zarządzać, usuwać ani tworzyć dodatkowych adresów MOERA dla żadnego adresata. Jednak adres MOERA może być zastępowany jako podstawowy adres SMTP przy użyciu atrybutów w obiekcie użytkownika lokalna usługa Active Directory.

Zdecydowanie zalecamy, aby jeden z tych atrybutów był stale używany do zarządzania Exchange Online adresami e-mail synchronizowanych użytkowników.

Więcej informacji

Polecenia Windows PowerShell wymienione w tym artykule wymagają modułu usługi Azure Active Directory dla Windows PowerShell. Aby uzyskać więcej informacji na temat modułu usługi Azure Active Directory dla Windows PowerShell, zobacz następujący artykuł:
Zarządzanie Tożsamość Microsoft Entra przy użyciu Windows PowerShell.

Aby uzyskać więcej informacji na temat filtrowania synchronizacji katalogów według atrybutów, zobacz następujący artykuł w witrynie typu wiki microsoft TechNet:
Lista atrybutów synchronizowanych przez narzędzie synchronizacji usługi Azure Active Directory

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.