Средство синхронизации Azure Active Directory не синхронизирует один или несколько объектов

  • Статья

В этой статье устранена проблема, из-за чего один или несколько атрибутов объекта доменные службы Active Directory (AD DS) не синхронизируются с Microsoft Entra ID с помощью средства синхронизации Azure Active Directory.

Исходная версия продукта: Облачные службы (веб-роли или рабочие роли), Microsoft Entra ID, Microsoft Intune, Azure Backup, управление удостоверениями Office 365
Исходный номер базы знаний: 2643629

Примечание.

Эта статья оказалась полезной? Ваш вклад важен для нас. Используйте кнопку Отзыв на этой странице, чтобы сообщить нам, насколько хорошо эта статья работает для вас или как мы можем ее улучшить.

Симптомы

Один или несколько объектов или атрибутов AD DS не синхронизируются с Microsoft Entra ID должным образом. При выполнении синхронизации Active Directory объект не синхронизируется, и возникает один из следующих симптомов:

  • Появляется сообщение об ошибке с сообщением о том, что атрибут имеет повторяющееся значение.
  • Появляется сообщение об ошибке с сообщением о том, что один или несколько атрибутов нарушают требования к форматированию, такие как набор символов или длина символов.
  • Сообщение об ошибке не отображается, и синхронизация каталогов, кажется, завершена. Однако некоторые объекты или атрибуты не обновляются должным образом.

Некоторые примеры сообщения об ошибке, которое вы можете получить:

Синхронизированный объект с тем же адресом прокси-сервера уже существует в каталоге Microsoft Online Services.

Не удалось обновить этот объект, так как идентификатор пользователя не найден.

Не удалось обновить этот объект в Microsoft Online Services, так как следующие атрибуты, связанные с этим объектом, имеют значения, которые уже могут быть связаны с другим объектом в локальном каталоге.

Причина

Эта проблема возникает по одной из следующих причин:

  • Значение домена, используемое атрибутами AD DS, не проверено.

  • Один или несколько атрибутов объекта, для которых требуется уникальное значение, имеют повторяющееся значение атрибута (например, атрибут proxyAddresses или атрибут U serPrincipalName) в существующей учетной записи пользователя.

  • Один или несколько атрибутов объекта нарушают требования к форматированию, ограничивающие символы и длину символов значений атрибутов.

  • Один или несколько атрибутов объекта соответствуют правилам исключения для синхронизации каталогов.

    В следующей таблице показаны правила определения области синхронизации по умолчанию:

    Тип объектов Имя атрибута Условие атрибута при сбое синхронизации
    Контакт DisplayName Содержит "MSOL"
    msExchHideFromAddressLists Задано значение True.
    Группа с поддержкой безопасности isCriticalSystemObject Задано значение True.
    Группы с включенной поддержкой почты
    (группа безопасности или список рассылки)    		 proxyAddresses

    и

    mail;    		 Не содержит записи адреса SMTP:.

    и

    отсутствует
    Контакты с включенной поддержкой почты proxyAddresses

    и

    mail;    		 Не содержит записи адреса SMTP:.

    и

    отсутствует
    Inetorgperson Samaccountname Отсутствует
    isCriticalSystemObject Присутствует
    Пользователь mailNickName Начинается с "SystemMailbox"
    mailNickName Начинается с CAS_

    и

    содержит "}"
    Samaccountname Начинается с CAS_

    и

    содержит "}"
    Samaccountname Равно "SUPPORT_388945a0"
    Samaccountname Равно "MSOL_AD_Sync"
    Samaccountname Отсутствует
    isCriticalSystemObject Задано значение True.

  • Имя субъекта-пользователя (UPN) было изменено после начальной синхронизации и должно быть обновлено вручную.

  • Exchange Online SMTP-адреса синхронизированных пользователей не заполняются надлежащим образом в схеме локальная служба Active Directory.

Разрешение

Чтобы устранить эту проблему, используйте один из следующих методов в соответствии с вашей ситуацией.

Запустите IdFix, чтобы проверка повторяющихся данных, отсутствующих атрибутов и нарушений правил.

Используйте средство исправления ошибок IdFix DirSync для поиска объектов и ошибок, которые препятствуют синхронизации с Microsoft Entra ID.

  • Если после запуска IdFix в столбце ERROR отображается "Пустое", атрибут displayName объекта не определен. Чтобы устранить эту проблему, укажите значение атрибута displayName объекта, выполнив следующие действия:
  1. В столбце UPDATE для объекта введите имя его атрибута displayName.
  2. В столбце ДЕЙСТВИЕ нажмите кнопку ИЗМЕНИТЬ, а затем нажмите кнопку Применить.
  3. Повторите шаги 1 и 2 для каждого объекта, имеющего "пустую" запись в столбце ERROR.
  4. Запустите IdFix еще раз, чтобы найти дополнительные ошибки объекта.
  • Если после запуска IdFix в столбце ERROR отображается сообщение "Дублировать", два или более объектов имеют одинаковый адрес электронной почты. Чтобы устранить эту проблему, укажите уникальный адрес электронной почты для объекта, выполнив следующие действия:
  1. В столбце UPDATE для объекта введите адрес электронной почты, который еще не использовался.
  2. В столбце ДЕЙСТВИЕ нажмите кнопку ИЗМЕНИТЬ, а затем нажмите кнопку Применить.
  3. Запустите IdFix еще раз, чтобы найти дополнительные ошибки объекта.

Определение конфликтов атрибутов, вызванных объектами, которые не были созданы в Microsoft Entra ID с помощью синхронизации каталогов

Чтобы определить конфликты атрибутов, вызванные пользовательскими объектами, созданными с помощью средств управления (и не созданными в Microsoft Entra ID с помощью синхронизации каталогов), выполните следующие действия:

  1. Определите уникальные атрибуты локальной учетной записи пользователя AD DS. Для этого на компьютере с установленными средствами поддержки Windows выполните следующие действия.

    1. Нажмите кнопку Пуск, выберите Выполнить, введите ldp.exe, а затем нажмите кнопку ОК.

    2. Выберите Подключение, выберите Подключить, введите имя компьютера контроллера домена AD DS, а затем нажмите кнопку ОК.

    3. Выберите Подключение, привязать, а затем нажмите кнопку ОК.

    4. Выберите Вид, выберите Представление в виде дерева, выберите домен AD DS в раскрывающемся списке BaseDN , а затем нажмите кнопку ОК.

    5. В области навигации найдите и дважды щелкните объект, который не синхронизируется правильно. В области Сведения в правой части окна перечислены все атрибуты объекта. В следующем примере показаны атрибуты объекта:

      Снимок экрана: панель навигации и сведений средства поддержки Windows со списком всех атрибутов объекта.

    6. Запишите значения атрибута userPrincipalName и каждого SMTP-адреса в многозначном атрибуте proxyAddresses. Эти значения потребуются позже.

      Имя атрибута Пример Заметки
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. Число, отображаемое в скобках рядом с меткой атрибута, указывает количество значений прокси-адресов в многозначном атрибуте.

      2. Каждое отдельное значение прокси-адреса указывается точкой с запятой (;).

      3. Значение основного адреса прокси-сервера SMTP указывается в верхнем регистре "SMTP:"
      userPrincipalName. 7628376@contoso.com

      Примечание.

      Ldp.exe входит в состав Windows Server 2008 и средств поддержки Windows Server 2003. Средства поддержки Windows Server 2003 включены в установочный носитель Windows Server 2003. Или, чтобы получить средства поддержки, перейдите на следующий веб-сайт Майкрософт: 32-разрядные средства поддержки Windows Server 2003 с пакетом обновления 2 (SP2).

  2. Подключитесь к Microsoft Entra ID с помощью модуля Azure Active Directory для Windows PowerShell. Дополнительные сведения см. в статье Управление Microsoft Entra ID с помощью Windows PowerShell.

    Оставьте окно консоли открытым. Его необходимо будет использовать на следующем шаге.

  3. Проверьте наличие повторяющихся атрибутов userPrincipalName.

    В подключении к консоли, которое вы открыли на шаге 2, введите следующие команды в том порядке, в котором они представлены. Нажмите клавишу ВВОД после каждой команды:

    $userUPN = "<search UPN>"

    Примечание.

    В этой команде заполнитель "<search UPN>" представляет атрибут UserPrincipalName, записанный на шаге 1f.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Примечание.

    модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.

    Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции. Примечание: В версиях 1.0.x MSOnline может возникнуть сбой после 30 июня 2024 г.

    Оставьте окно консоли открытым. Вы снова будете использовать его на следующем шаге.

  4. Проверьте наличие повторяющихся атрибутов proxyAddresses. В подключении к консоли, которое вы открыли на шаге 2, выполните следующую команду:

    Import-Module ExchangeOnlineManagement

  5. Для каждой записи адреса прокси-сервера, записанной на шаге 1f, введите следующие команды в том порядке, в котором они представлены. Нажмите клавишу ВВОД после каждой команды:

    $proxyAddress = "<search proxyAddress>"

    Примечание.

    В этой команде заполнитель search< proxyAddress> представляет значение атрибута proxyAddresses, записанное на шаге 1f.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Элементы, возвращаемые после выполнения команд на шагах 3 и 4, представляют объекты пользователей, которые не были созданы с помощью синхронизации каталогов и имеют атрибуты, конфликтующие с объектом, который не синхронизируется правильно.

Обновление атрибутов AD DS для удаления дубликатов, нарушений правил и исключений области

Определите конкретные атрибуты, которые препятствуют синхронизации на основе следующих сведений:

  • Административные сообщения электронной почты
  • Отчет из выходных данных средства проверки готовности к развертыванию Office 365
  • Правила определения области синхронизации каталогов по умолчанию и настраиваемые правила

После определения определенного значения атрибута измените значение атрибута, используя один из следующих методов:

  • Используйте средство Пользователи и компьютеры Active Directory для изменения значения атрибута.
  1. Откройте Пользователи и компьютеры Active Directory, а затем выберите корневой узел домена AD DS.
  2. Выберите Вид, а затем убедитесь, что выбран параметр Дополнительные функции .
  3. В области навигации слева найдите объект пользователя, щелкните его правой кнопкой мыши и выберите пункт Свойства.
  4. На вкладке Объектная Редактор найдите нужный атрибут. Выберите Изменить, а затем измените значение атрибута на нужное значение.
  5. Нажмите кнопку ОК два раза.
  • Используйте изменение интерфейсов служб Active Directory (ADSI) для обновления атрибутов объектов в AD DS. Вы можете скачать и установить ADSI Edit в составе набора средств Windows Server. Чтобы использовать редактор ADSI для редактирования атрибутов, выполните следующие действия.

Предупреждение

Для выполнения этой процедуры требуется изменение ADSI. Неправильное использование редактирования ADSI может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что проблемы, возникающие в результате неправильного использования редактора ADSI, могут быть устранены. Используйте редактирование ADSI на свой страх и риск.

  1. Нажмите кнопку Пуск, выберите Выполнить, введите ADSIEdit.msc, а затем нажмите кнопку ОК.
  2. Щелкните правой кнопкой мыши элемент Редактирование ADSI в области навигации, выберите Подключиться, а затем нажмите кнопку ОК , чтобы загрузить раздел домена.
  3. Найдите объект пользователя, щелкните его правой кнопкой мыши и выберите пункт Свойства.
  4. В списке Атрибуты найдите нужный атрибут. Выберите Изменить, а затем измените значение атрибута на нужное значение.
  5. Нажмите кнопку ОК два раза, а затем закройте adsI Edit.

Создайте новую группу и добавьте ее во встроенную группу, которая не синхронизируется

Чтобы устранить проблему, связанную с тем, что некоторые встроенные группы (например, группа "Пользователи домена") не синхронизируются, создайте новую группу, содержащую всех применимых участников и соответствующие разрешения встроенной группы. Затем добавьте группу в качестве участника во встроенную группу, которая не синхронизирована. Используйте новую группу вместо встроенной для управления участниками. С помощью этого метода вы по-прежнему управляете только одной группой.

Вы не хотите изменять атрибуты встроенной группы или изменять правила определения области для синхронизации удостоверений (модуль), чтобы разрешить синхронизацию критически важных системных объектов. Это может привести к другому непредвиденному поведению.

Использование сопоставления SMTP для синхронизации локального объекта пользователя с существующим объектом пользователя

Дополнительные сведения см. в статье Использование сопоставления SMTP для сопоставления локальных учетных записей пользователей с Office 365 учетными записями пользователей для синхронизации каталогов.

Обновление имени участника-пользователя для учетной записи пользователя вручную

Чтобы обновить имя участника-пользователя учетной записи пользователя, которое было лицензировано после начальной синхронизации каталогов, выполните следующие действия.

  1. Установите модуль PowerShell azure Active Directory версии 2. Дополнительные сведения см. в статье Модуль PowerShell Azure Active Directory версии 2.

  2. Выполните следующие командлеты в командной строке PowerShell для Azure Active Directory версии 2:

    $cred = get-credential

    Примечание.

    При появлении запроса введите учетные данные администратора.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

Обновление SMTP-адресов пользователей с помощью атрибутов локальная служба Active Directory

Если атрибуты SMTP не синхронизируются с Exchange Online ожидаемым образом, может потребоваться обновить атрибуты локальная служба Active Directory. Чтобы обновить атрибуты локальная служба Active Directory, чтобы в Exchange Online отображались правильные адреса электронной почты, используйте разрешение 2 для управления атрибутами, приведенными в следующей таблице.

Имя локального атрибута Active Directory Пример значения атрибута Локальной службы Active Directory Примеры Exchange Online адресов электронной почты
proxyAddresses SMTP:user1@contoso.com Основной SMTP: user1@contoso.com
Дополнительный SMTP: user1@contoso.onmicrosoft.com
proxyAddresses Smtp:user1@contoso.com Основной SMTP: user1@contoso.onmicrosoft.com вторичный SMTP: user1@contoso.com
proxyAddresses SMTP:user1@contoso.com
Smtp:user1@sub.contoso.com		 Основной SMTP: user1@contoso.com
Дополнительный SMTP: user1@sub.contoso.com
Дополнительный SMTP: user1@contoso.onmicrosoft.com
mail; User1@contoso.com Основной SMTP: user1@contoso.com
Дополнительный SMTP: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com Основной SMTP: user1@contoso.com
Дополнительный SMTP: user1@contoso.onmicrosoft.com

Запись Microsoft Online Email Routing Address (MOERA), связанная с доменом по умолчанию (напримерuser1@contoso.onmicrosoft.com, ) является интерпретируемым значением, основанным на псевдониме учетной записи пользователя. Этот специализированный адрес электронной почты неразрывно связан с каждым Exchange Online получателем. Вы не можете управлять, удалять или создавать дополнительные адреса MOERA для любого получателя. Однако адрес MOERA можно переназначить в качестве основного SMTP-адреса с помощью атрибутов в объекте пользователя локальная служба Active Directory.

Примечание.

Наличие данных в атрибуте proxyAddresses полностью маскирует данные в атрибуте mail для Exchange Online адреса электронной почты.

Примечание.

Наличие данных в атрибуте proxyAddresses, атрибуте mail или обоих атрибутах полностью маскирует данные UserPrincipalName для Exchange Online адреса электронной почты. Имя участника-пользователя можно использовать для управления адресами электронной почты. Однако администратор может решить управлять адресом электронной почты и имени участника-пользователя отдельно, заполнив proxyAddresses или атрибуты почты.

Мы настоятельно рекомендуем использовать один из этих атрибутов для управления Exchange Online адресами электронной почты для синхронизированных пользователей.

Дополнительная информация

Командам Windows PowerShell, упомянутым в этой статье, требуется модуль Azure Active Directory для Windows PowerShell. Дополнительные сведения о модуле Azure Active Directory для Windows PowerShell см. в следующей статье:
Управление Microsoft Entra ID с помощью Windows PowerShell.

Дополнительные сведения о фильтрации синхронизации каталогов по атрибутам см. в следующей вики-статье Microsoft TechNet:
Список атрибутов, синхронизированных средством синхронизации Azure Active Directory

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.