Ett eller flera objekt synkroniseras inte när du använder Azure Active Directory Sync-verktyget

  • Artikel

Den här artikeln löser ett problem med att ett eller flera Active Directory Domain Services-objektattribut (AD DS) inte synkroniseras till Microsoft Entra ID via Azure Active Directory Sync-verktyget.

Ursprunglig produktversion: Cloud Services (webbroller/arbetsroller), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprungligt KB-nummer: 2643629

Obs!

Var den här artikeln användbar? Dina indata är viktiga för oss. Använd knappen Feedback på den här sidan för att berätta hur bra den här artikeln fungerade för dig eller hur vi kan förbättra den.

Symptom

Ett eller flera AD DS-objekt eller attribut synkroniseras inte till Microsoft Entra ID som förväntat. När Active Directory-synkroniseringen körs synkroniseras inte ett objekt, och du får något av följande symptom:

  • Du får ett felmeddelande om att ett attribut har ett duplicerat värde.
  • Du får ett felmeddelande om att ett eller flera attribut strider mot formateringskrav som teckenuppsättning eller teckenlängd.
  • Du får inget felmeddelande och katalogsynkroniseringen verkar vara slutförd. Vissa objekt eller attribut uppdateras dock inte som förväntat.

Några exempel på felmeddelandet som du kan få:

Det finns redan ett synkroniserat objekt med samma proxyadress i katalogen Microsoft Online Services.

Det gick inte att uppdatera det här objektet eftersom användar-ID:t inte hittades.

Det går inte att uppdatera det här objektet i Microsoft Online Services eftersom följande attribut som är associerade med det här objektet har värden som kanske redan är associerade med ett annat objekt i din lokala katalog.

Orsak

Det här problemet kan uppstå på grund av följande orsaker:

  • Domänvärdet som används av AD DS-attribut har inte verifierats.

  • Ett eller flera objektattribut som kräver ett unikt värde har ett duplicerat attributvärde (till exempel attributet proxyAddresses eller attributet U serPrincipalName) i ett befintligt användarkonto.

  • Ett eller flera objektattribut strider mot formateringskrav som begränsar tecknen och teckenlängden för attributvärden.

  • Ett eller flera objektattribut matchar undantagsregler för katalogsynkronisering.

    I följande tabell visas standardreglerna för synkroniseringsomfång:

    Objekttyp Attributnamn Villkor för attribut när synkroniseringen misslyckas
    Kontakt Displayname Innehåller "MSOL"
    msExchHideFromAddressLists Är inställt på "True"
    Säkerhetsaktiverad grupp isCriticalSystemObject Är inställt på "True"
    E-postaktiverade grupper
    (säkerhetsgrupp eller distributionslista)    		 Proxyaddresses

    och

    mail    		 Har ingen "SMTP:"-adresspost

    och

    finns inte
    E-postaktiverade kontakter Proxyaddresses

    och

    mail    		 Har ingen "SMTP:"-adresspost

    och

    finns inte
    Inetorgperson sAMAccountName Finns inte
    isCriticalSystemObject Finns
    Användare mailNickName Börjar med "SystemMailbox"
    mailNickName Börjar med "CAS_"

    och

    innehåller "}"
    sAMAccountName Börjar med "CAS_"

    och

    innehåller "}"
    sAMAccountName Är lika med "SUPPORT_388945a0"
    sAMAccountName Är lika med "MSOL_AD_Sync"
    sAMAccountName Finns inte
    isCriticalSystemObject Är inställt på "True"

  • Användarens huvudnamn (UPN) ändrades efter den första synkroniseringen och måste uppdateras manuellt.

  • Exchange Online SMTP-adresser (Simple Mail Transfer Protocol) för synkroniserade användare fylls inte på rätt sätt i lokal Active Directory schemat.

Åtgärd

Lös problemet genom att använda någon av följande metoder, beroende på vad som är lämpligt för din situation.

Kör IdFix för att söka efter dubbletter, attribut som saknas och regelöverträdelser

Använd IdFix DirSync Error Remediation Tool för att hitta objekt och fel som förhindrar synkronisering till Microsoft Entra ID.

  • Om du ser "Tom" i kolumnen ERROR när du har kört IdFix definieras inte objektets displayName-attribut. Lös problemet genom att ange ett värde för attributet displayName för objektet med hjälp av följande steg:
  1. I kolumnen UPDATE för objektet skriver du namnet på dess displayName-attribut.
  2. I kolumnen ACTION klickar du på REDIGERA och sedan på Använd.
  3. Upprepa steg 1 och 2 för varje objekt som har en "tom" post i kolumnen ERROR.
  4. Kör IdFix igen för att leta efter fler objektfel.
  • Om du ser "Duplicera" i kolumnen ERROR när du har kört IdFix har två eller flera objekt samma e-postadress. Lös problemet genom att ange en unik e-postadress för objektet med hjälp av följande steg:
  1. I kolumnen UPDATE för objektet skriver du en e-postadress som inte redan används.
  2. I kolumnen ACTION klickar du på REDIGERA och sedan på Använd.
  3. Kör IdFix igen för att leta efter fler objektfel.

Fastställa attributkonflikter som orsakas av objekt som inte har skapats i Microsoft Entra ID via katalogsynkronisering

Följ dessa steg för att fastställa attributkonflikter som orsakas av användarobjekt som har skapats med hjälp av hanteringsverktyg (och som inte skapades i Microsoft Entra ID via katalogsynkronisering):

  1. Fastställ de unika attributen för det lokala AD DS-användarkontot. Gör det genom att följa dessa steg på en dator som har Windows Support Tools installerat:

    1. Välj Start, välj Kör, skriv ldp.exe och välj sedan OK.

    2. Välj Anslutning, välj Anslut, skriv datornamnet på en AD DS-domänkontrollant och välj sedan OK.

    3. Välj Anslutning, bind och sedan OK.

    4. Välj Visa, välj Trädvy, välj AD DS-domänen i listrutan BaseDN och välj sedan OK.

    5. Leta upp och dubbelklicka på objektet som inte synkroniseras korrekt i navigeringsfönstret. I fönstret Information till höger i fönstret visas alla objektattribut. I följande exempel visas objektattributen:

      Skärmbild av navigerings- och informationsfönstret i Windows Support Tools som listade alla objektattribut.

    6. Registrera värdena för attributet userPrincipalName och varje SMTP-adress i attributet proxyAddresses med flera värden. Du behöver dessa värden senare.

      Attributnamn Exempel Anteckningar
      Proxyaddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. Talet som visas inom parentes bredvid attributetiketten anger antalet proxyadressvärden i flervärdesattributet.

      2. Varje distinkt proxyadressvärde anges med semikolon (;).

      3. Det primära SMTP-proxyadressvärdet anges med versaler som "SMTP:"
      userPrincipalName 7628376@contoso.com

      Obs!

      Ldp.exe ingår i Windows Server 2008 och i Windows Server 2003 Support Tools. Windows Server 2003 Support Tools ingår i installationsmediet för Windows Server 2003. Om du vill hämta supportverktygen går du till följande Microsoft-webbplats: Windows Server 2003 Service Pack 2 32-bitars supportverktyg

  2. Anslut till Microsoft Entra ID med hjälp av Azure Active Directory-modulen för Windows PowerShell. Mer information finns i Hantera Microsoft Entra ID med hjälp av Windows PowerShell.

    Låt konsolfönstret vara öppet. Du måste använda den i nästa steg.

  3. Sök efter de duplicerade userPrincipalName-attributen.

    I konsolanslutningen som du öppnade i steg 2 skriver du följande kommandon i den ordning de visas. Tryck på Retur efter varje kommando:

    $userUPN = "<search UPN>"

    Obs!

    I det här kommandot representerar platshållaren "<search UPN>" attributet UserPrincipalName som du registrerade i steg 1f.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Obs!

    Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

    Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

    Låt konsolfönstret vara öppet. Du använder den igen i nästa steg.

  4. Sök efter duplicerade proxyAddresses-attribut. Kör följande kommando i konsolanslutningen som du öppnade i steg 2:

    Import-Module ExchangeOnlineManagement

  5. För varje proxyadresspost som du registrerade i steg 1f skriver du följande kommandon i den ordning som de visas. Tryck på Retur efter varje kommando:

    $proxyAddress = "<search proxyAddress>"

    Obs!

    I det här kommandot representerar platshållaren "<search proxyAddress>" värdet för ett proxyAddresses-attribut som du registrerade i steg 1f.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Objekt som returneras när du har kört kommandona i steg 3 och 4 representerar användarobjekt som inte har skapats via katalogsynkronisering och som har attribut som står i konflikt med objektet som inte synkroniseras korrekt.

Uppdatera AD DS-attribut för att ta bort dubbletter, regelöverträdelser och omfångsundantag

Identifiera de specifika attribut som förhindrar synkronisering baserat på följande information:

  • Administrativa e-postmeddelanden
  • Rapporten från utdata från Office 365 distributionsberedskapsverktyget
  • Standardregler för katalogsynkronisering och anpassade regler

När ett visst attributvärde har identifierats redigerar du attributvärdet med någon av följande metoder:

  • Använd verktyget Active Directory - användare och datorer för att redigera attributvärdet.
  1. Öppna Active Directory - användare och datorer och välj sedan rotnoden för AD DS-domänen.
  2. Välj Visa och kontrollera sedan att alternativet Avancerade funktioner är markerat.
  3. Leta upp användarobjektet i det vänstra navigeringsfönstret, högerklicka på det och välj sedan Egenskaper.
  4. Leta upp det attribut som du vill använda på fliken Objekt Editor. Välj Redigera och redigera sedan attributvärdet till önskat värde.
  5. Klicka två gånger på OK.
  • Använd Active Directory Service Interfaces (ADSI) Edit för att uppdatera objektattribut i AD DS. Du kan ladda ned och installera ADSI Edit som en del av Windows Server Toolkit. Följ dessa steg om du vill använda ADSI-redigering för att redigera attribut.

Varning

Den här proceduren kräver ADSI-redigering. Om du använder ADSI Edit felaktigt kan det orsaka allvarliga problem som kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att problem som beror på felaktig användning av ADSI-redigering kan lösas. Använd ADSI Edit på egen risk.

  1. Välj Start, välj Kör, skriv ADSIEdit.msc och välj sedan OK.
  2. Högerklicka på ADSI Redigera i navigeringsfönstret, välj Anslut till och välj sedan OK för att läsa in domänpartitionen.
  3. Leta upp användarobjektet, högerklicka på det och välj sedan Egenskaper.
  4. Leta upp det attribut som du vill använda i listan Attribut . Välj Redigera och redigera sedan attributvärdet till önskat värde.
  5. Välj OK två gånger och avsluta sedan ADSI-redigering.

Skapa en ny grupp och lägg till den i den inbyggda gruppen som inte synkroniseras

Lös problemet i scenariot att vissa inbyggda grupper (till exempel gruppen Domänanvändare) inte synkroniseras genom att skapa en ny grupp som innehåller alla tillämpliga medlemmar och lämpliga behörigheter för den inbyggda gruppen. Lägg sedan till gruppen som medlem i den inbyggda gruppen som inte är synkroniserad. Använd den nya gruppen i stället för den inbyggda gruppen för att hantera medlemmar. Med den här metoden hanterar du fortfarande bara en grupp.

Du vill inte ändra attributen för den inbyggda gruppen eller ändra omfångsreglerna för identitetssynkroniseringsinstallationen så att kritiska systemobjekt kan synkroniseras. Det kan utlösa annat oväntat beteende.

Använd SMTP-matchning för att få ett lokalt användarobjekt att synkronisera till ett befintligt användarobjekt

Mer information finns i Så här använder du SMTP-matchning för att matcha lokala användarkonton för att Office 365 användarkonton för katalogsynkronisering.

Uppdatera ett upn-konto manuellt

Följ dessa steg om du vill uppdatera ett UPN för användarkontot som har licensierats efter att den inledande katalogsynkroniseringen har inträffat:

  1. Installera Azure Active Directory v2 PowerShell-modulen. Mer information finns i Azure Active Directory v2 PowerShell-modulen.

  2. Kör följande cmdletar i Azure Active Directory v2 PowerShell-prompten:

    $cred = get-credential

    Obs!

    När du uppmanas att göra det anger du dina administratörsautentiseringsuppgifter.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

Uppdatera SMTP-adresser för användare med hjälp av lokal Active Directory attribut

När SMTP-attribut inte synkroniseras till Exchange Online på ett förväntat sätt kan du behöva uppdatera lokal Active Directory attributen. Om du vill uppdatera lokal Active Directory attribut så att rätt e-postadress visas i Exchange Online använder du Lösning 2 för att ändra attributen i följande tabell.

Lokalt Active Directory-attributnamn Exempel på lokalt Active Directory-attributvärde Exempel Exchange Online e-postadresser
Proxyaddresses SMTP:user1@contoso.com Primär SMTP: user1@contoso.com
Sekundär SMTP: user1@contoso.onmicrosoft.com
Proxyaddresses Smtp:user1@contoso.com Primär SMTP: user1@contoso.onmicrosoft.com Sekundär SMTP: user1@contoso.com
Proxyaddresses SMTP:user1@contoso.com
Smtp:user1@sub.contoso.com		 Primär SMTP: user1@contoso.com
Sekundär SMTP: user1@sub.contoso.com
Sekundär SMTP: user1@contoso.onmicrosoft.com
mail User1@contoso.com Primär SMTP: user1@contoso.com
Sekundär SMTP: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com Primär SMTP: user1@contoso.com
Sekundär SMTP: user1@contoso.onmicrosoft.com

Posten Microsoft Online Email Routing Address (MOERA) som är associerad med standarddomänen (till exempel user1@contoso.onmicrosoft.com) är ett tolkat värde som baseras på ett användarkontos alias. Den här special e-postadressen är oupplösligt länkad till varje Exchange Online mottagare. Du kan inte hantera, ta bort eller skapa ytterligare MOERA-adresser för någon mottagare. MOERA-adressen kan dock överdrivas som den primära SMTP-adressen med hjälp av attributen i lokal Active Directory användarobjekt.

Obs!

Förekomsten av data i attributet proxyAddresses maskerar helt data i e-postattributet för Exchange Online e-postadresspopulation.

Obs!

Förekomsten av data i attributet proxyAddresses, e-postattributet eller båda attributen maskerar userPrincipalName-data helt för Exchange Online e-postadresspopulation. UPN kan användas för att hantera e-postadresser. En administratör kan dock välja att hantera e-postadressen och UPN separat genom att fylla i proxyAddresses eller e-postattribut.

Vi rekommenderar starkt att ett av dessa attribut används konsekvent för att hantera Exchange Online e-postadresser för synkroniserade användare.

Mer information

De Windows PowerShell kommandon som nämns i den här artikeln kräver Azure Active Directory-modulen för Windows PowerShell. Mer information om Azure Active Directory-modulen för Windows PowerShell finns i följande artikel:
Hantera Microsoft Entra ID med hjälp av Windows PowerShell.

Mer information om hur du filtrerar katalogsynkronisering efter attribut finns i följande Microsoft TechNet wiki-artikel:
Lista över attribut som synkroniseras av Synkroniseringsverktyget för Azure Active Directory

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.