使用 Azure 活动目录同步工具时不同步的一个或多个对象

文章翻译 文章翻译
文章编号: 2643629 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

问题

一个或多个 活动目录(AD) 域服务 (AD DS) 对象或属性不同步 toMicrosoft Azure 活动目录(AD) (Azure AD),如预期的那样。Active Directory 同步运行时,对象并不同步,并且您会遇到下列症状之一:
  • 您会收到一条错误消息,指出某一特性有一个重复的值。
  • 您会收到一条错误消息,指出一个或多个属性与冲突 (如一组字符或字符长度的格式要求。
  • 您未收到错误消息,并且目录同步完成看起来。但是,某些对象或属性的更新有像预期的那样。
您可能会收到错误消息的一些示例包括:
  • 微软在线服务 目录中已存在具有相同的代理服务器地址同步的对象。
  • 无法更新此对象,因为找不到该用户 ID。
  • 无法在 微软在线服务 中更新此对象,因为与此对象关联的下列属性有可能已经与另一个本地目录中的对象相关联。

原因

此问题是以下原因之一:
  • 尚未验证属性使用的 AD DS 域值。
  • 需要一个唯一的值的一个或多个对象属性具有重复的属性值 (如 proxyAddresses 属性或 UserPrincipalName 属性) 中现有的用户帐户。
  • 一个或多个对象属性违反限制字符和字符长度的属性值的格式要求。
  • 一个或多个对象的属性与目录同步的排除规则相匹配。

    下表显示了默认同步范围规则:
    收起该表格展开该表格
    对象类型属性名称同步失败时的属性的条件
    联系人displayName包含"MSOL"
    msExchHideFromAddressLists设置为"True"
    启用安全的组isCriticalSystemObject设置为"True"
    已启用邮件的组
    (安全组或通讯组列表)
    proxyAddresses



    mail
    不具有"SMTP:"地址条目



    不存在
    已启用邮件的联系人proxyAddresses



    mail
    不具有"SMTP:"地址条目



    不存在
    iNetOrgPersonsAMAccountName不存在
    isCriticalSystemObject存在
    用户mailNickName"SystemMailbox"开头
    mailNickName"CAS_"开头



    包含"{"
    sAMAccountName"CAS_"开头



    包含"}"
    sAMAccountName等于"SUPPORT_388945a0"
    sAMAccountName等于"MSOL_AD_Sync"
    sAMAccountName不存在
    isCriticalSystemObject设置为"True"
  • 用户主体名称 (UPN) 在初始同步后已更改,必须手动更新。
  • 同步用户的 Exchange 在线简单邮件传输协议 (SMTP) 地址不是适当地在内部部署 活动目录(AD) 架构中填充的。

本地

若要解决此问题,请根据您的具体情况使用下列方法之一。

解决方法 1: 运行 IdFix 来检查重复项、 缺少的特性和规则冲突

使用 IdFix 目录同步错误修正工具若要查找对象并妨碍到 Azure AD 同步错误。
  • 如果您看到"空"中的错误列在您运行 IdFix,请参阅下面的 Microsoft 知识库文章:
    2857349 "空白"列中显示错误的一个或多个对象后运行 IdFix 工具
  • 如果您运行 IdFix 后,错误列中看到"格式",请参阅下面的 Microsoft 知识库文章:
    2857351 运行 IdFix 工具后,显示"格式"中的一个或多个对象错误列
  • 如果您运行 IdFix 后,错误列中看到"字符",请参阅下面的 Microsoft 知识库文章:
    2857352 运行 IdFix 工具后,显示"字符"中的一个或多个对象错误列
  • 如果您运行 IdFix 后,错误列中看到"重复",请参阅下面的 Microsoft 知识库文章:
    2857385 "重复"列中显示错误的一个或多个对象后运行 IdFix 工具

解决方法 2: 使用 Office 365 OnRamp 工具

若要使用 Office 365 OnRamp 工具来获取有关无效属性的信息,请执行以下步骤:
  1. 在加入域的计算机中,转至下面的 Microsoft 网站,然后按照页面上的说明:
    https://onramp.office365.com/OnRamp/
  2. 在报告中,找到用户和组部分,若要查看属性的问题,可能会导致同步问题的详细信息。下面的屏幕快照显示了报告的多项环境检查部分的一个示例:

    收起这个图片展开这个图片
    多项环境检查报告的屏幕抓图

本地 3: 使用 微软在线服务 Diagnostics and Logging (MOSDAL) 支持工具包

若要通过使用 MOSDAL 支持工具包 获得有关无效属性的信息,请执行以下步骤:
  1. 下载并安装 MOSDAL 支持 Toolkit,从 Microsoft 下载中心:
    MOSDAL (Microsoft Online Services 诊断程序和日志记录) 支持工具包
  2. 运行 MOSDAL 支持 Toolkit、 选择单点登录 (SSO),然后单击下一步
  3. 系统提示时输入您的凭据,请输入您的用户 ID,然后单击下一步。您的密码不会保存,仅用来模拟一个身份验证请求并将结果记录。
  4. 在重现问题的步骤屏幕中,单击下一步
  5. 报告完成后,在 Documents\MOSDAL 库中找到 MOSDALREPORT.zip 文件。报表文件包含无效属性信息位于以下文件中:
    MOSDALREPORT\Admin_Applications\Directory_Synchronization_Tool\DirSyncObjects.xml
确定由不需要通过目录同步的 Azure AD 中创建的对象的属性冲突

若要确定由通过使用管理工具创建 (和,不通过目录同步的 Azure AD 中创建) 的用户对象的属性冲突,请执行以下步骤:
  1. 确定内部部署的唯一特性 AD DS 用户帐户。为此,请在已安装Windows 支持工具的计算机上,按照下列步骤操作:
    1. 单击开始,然后单击运行,类型 ldp.exe然后单击确定
    2. 单击连接连接键入计算机名称的 AD DS 域控制器,和,然后单击确定
    3. 单击连接,单击绑定,然后单击确定
    4. 单击查看树视图BaseDN下拉列表中,选择的 AD DS 域和,然后单击确定
    5. 在导航窗格中,找到并双击未正确同步的对象。在窗口的右侧详细信息窗格列出了所有的对象属性。下面的示例演示对象属性:

      收起这个图片展开这个图片
      对象属性的屏幕抓图
    6. 记录的ProxyAddresses的多值属性中的用户名属性和每个 SMTP 地址的值。稍后,您将需要这些值。
      收起该表格展开该表格
      属性名称 示例 注释
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376;smtp:7628376@service.contoso.com;SMTP:7628376@contoso.com;
      • 属性标签旁边的括号中显示的数字表示代理地址的多值属性中的值的数量。
      • 每个不同的代理服务器地址值由分号 (;) 隔开。
      • 主要 SMTP 代理地址的值由大写"SMTP:"表示
      用户名 7628376@contoso.com
      注意Ldp.exe 包含在 Windows Server 2008 和 Windows Server 2003 支持工具中。Windows Server 2003 支持工具都包括在 Windows Server 2003 安装介质中。或者,若要获得支持工具,请转到下面的 Microsoft 网站:
      Windows 服务器 2003 Service Pack 2 32 位支持工具
  2. 通过使用 Azure 活动目录模块用于 Windows PowerShell 连接到 Azure 的广告。有关详细信息,请转到管理 Azure 使用 Windows PowerShell 的广告.

    使控制台窗口保持打开状态。您将需要在下一步中使用它。
  3. 检查重复的用户名属性。

    在您在步骤 2 中打开该控制台连接,请键入以下命令的顺序,它们都显示,并在每个命令之后按 enter 键:
    • $userUPN = "<search UPN>"
      注意在此命令中,占位符"<search upn="">"表示您在步骤 1f 中记录的UserPrincipalName特性。<b00> </b00> </search>
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    使控制台窗口保持打开状态。您将在下一步中再次使用它。
  4. 检查重复proxyAddresses属性。在您在步骤 2 中打开该控制台连接,请键入以下命令的顺序,它们都显示,并在每个命令之后按 enter 键:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. 为您在步骤 1f 中记录每个代理服务器地址条目,它们都显示,并在每个命令之后按 enter 键的顺序中键入以下命令:
    • $proxyAddress = "<search proxyAddress>" 
      注意在此命令中,占位符"<search proxyaddress="">"表示步骤 1f 中所记录的ProxyAddresses属性的值。<b00> </b00> </search>
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}} 
您在步骤 3 和 4 中运行命令后,将返回的项目代表了用户对象,不通过目录同步创建,并具有与未正确同步的对象发生冲突的特性。

本地 4: 更新 AD DS 属性删除重复项、 规则冲突和作用域的排除项

根据以下信息,确定阻止同步的特定属性:
  • 管理电子邮件
  • 该报表从 Office 365 部署准备工具的输出结果
  • 默认目录同步作用域规则和自定义规则
在确定特定属性值后,使用 活动目录(AD) 用户和计算机工具来编辑属性值。若要执行此操作,请执行以下步骤:
  1. 打开 活动目录(AD) 用户和计算机,然后选择 AD DS 域的根节点。
  2. 单击视图中, ,然后确保选中高级功能 选项。
  3. 在左侧的导航窗格中,找到的用户对象,用鼠标右键单击它,然后单击属性
  4. 对象编辑器选项卡上找到您需要的属性,单击编辑,然后改为所需的值。
  5. 单击确定 两次。
或者,您可以使用活动目录服务接口 (ADSI) 编辑器更新 AD DS 中的对象属性。您可以下载并安装作为Windows 服务器 Toolkit 一部分的 ADSI 编辑器。若要使用 ADSI 编辑来编辑属性,请执行以下步骤。

注意:此过程要求 ADSI 编辑。不正确地使用 ADSI 编辑命令可能会导致严重的问题,可能需要您重新安装操作系统。Microsoft 不能保证所产生的不正确使用 ADSI 编辑的问题能够得到解决。使用 ADSI 编辑需要您自担风险。
  1. 单击开始,然后单击运行,类型 ADSIEdit.msc然后单击确定
  2. 用鼠标右键单击ADSI 编辑 在导航窗格中,单击连接到,然后单击确定 加载的域分区。
  3. 找到的用户对象,用鼠标右键单击它,然后单击属性
  4. 属性 列表中,查找您希望加密的文件,请单击编辑,然后编辑所需的值的属性值的属性。
  5. 单击确定 两次,然后退出 ADSI 编辑。

本地 5: 使用 SMTP 匹配来使内部用户对象来同步到一个现有的用户对象

若要执行此操作,请参阅下面的 Microsoft 知识文章:
2641663 如何使用 SMTP matching将本地用户账户与Office365用户账户匹配以同步目录

本地 6: 手动更新用户帐户 UPN

若要更新在初始目录同步后授权的用户帐户的UPN,请按照下列步骤:
  1. 单击开始,单击所有程序,都单击Windows Azure 活动目录(AD),然后都单击Windows Azure 活动目录模块用于 Windows PowerShell
  2. 在 Windows PowerShell 提示符下运行以下 cmdlet:
    1. $cred = get-credential
      注意当出现提示时,输入管理凭据。
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

本地 7: 使用内部部署 活动目录(AD) 属性来更新用户的 SMTP 地址

当 SMTP 属性不会同步到 Exchange Online,按预期的方式时,您可能需要更新内部部署 活动目录(AD) 特性。若要更新本地Active Directory属性,以便在 Exchange Online显示正确的电子mail地址,使用解决方案 2 操作下表中列出的属性。
收起该表格展开该表格
本地 活动目录(AD) 属性名称示例本地 活动目录(AD) 属性值示例Exchange Online电子mail地址
proxyAddressesSMTP:user1@contoso.com主 SMTP: user1@contoso.com
辅助 SMTP: user1@contoso.onmicrosoft.com
proxyAddressessmtp:user1@contoso.com主 SMTP: user1@contoso.onmicrosoft.com 辅助 SMTP: user1@contoso.com
proxyAddressesSMTP:user1@contoso.com
smtp:user1@sub.contoso.com
主 SMTP: user1@contoso.com
辅助 SMTP: user1@sub.contoso.com
辅助 SMTP: user1@contoso.onmicrosoft.com
mailUser1@contoso.com主 SMTP: user1@contoso.com
辅助 SMTP: user1@contoso.onmicrosoft.com
用户名User1@contoso.com主 SMTP: user1@contoso.com
辅助 SMTP: user1@contoso.onmicrosoft.com
与默认域 (如 user1@contoso.onmicrosoft.com) 有关联的 Microsoft 在线电子邮件路由地址 (MOERA) 项是解释的值基于用户帐户的别名。此专业的电子邮件地址具有无法切断链接到每个联机 Exchange 收件人,并不能对其进行管理、 删除,或为任何收件人创建 MOERA 的其他地址。但是,您可以使用本地 Active Directory(AD) 用户对象中的属性将MOERA 地址覆盖为主 SMTP 地址。

注意ProxyAddresses属性中的数据存在完全屏蔽在线 Exchange 电子邮件地址填充的邮件属性中的数据。

注意ProxyAddresses属性和 / 或邮件属性中的数据存在完全属性掩码UserPrincipalName数据的联机 Exchange 电子邮件地址填充。UPN 可以用于管理电子邮件地址。但是,管理员可以决定通过填充ProxyAddresses邮件属性的单独管理的电子邮件地址和 UPN。

我们强烈建议其中一个属性用于以一致的方式管理 Exchange 联机同步用户的电子邮件地址。

详细信息

这篇文章中提到的 Windows PowerShell 命令要求 Azure 活动目录模块用于 Windows PowerShell。Azure 活动目录模块用于 Windows PowerShell 有关的详细信息,请转到管理 Azure 使用 Windows PowerShell 的广告.

有关筛选目录同步由属性的详细信息,请参阅 followingMicrosoft TechNet wiki 文章:
通过 Azure 活动目录(AD) 同步工具同步的属性列表
仍需要帮助吗?请转到 Office 365 社区网站或Azure 的 活动目录(AD) 论坛 网站。

属性

文章编号: 2643629 - 最后修改: 2014年7月2日 - 修订: 21.0
这篇文章中的信息适用于:
  • Microsoft Azure
  • Microsoft Office 365
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Windows Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Office 365 Identity Management
关键字:?
o365 o365a o365022013 after upgrade o365062011 pre-upgrade o365e o365m kbgraphxlink kbgraphic kbmt KB2643629 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2643629
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com