Office 365 ディレクトリ同期を妨げる重複または無効な属性を検出する方法

文書翻訳 文書翻訳
文書番号: 2647098 - 対象製品

アップグレード前後、どちらの Office 365 を使用しているか確認するには、以下の Microsoft Web サイトを参照してください。
すべて展開する | すべて折りたたむ

現象?

ディレクトリ同期後、Microsoft Office 365 の管理者に次のような警告メッセージが電子メールで送られてきます。
送信元: MSOnlineServicesTeam@MicrosoftOnline.com
件名: Directory Synchronization Error Report (ディレクトリ同期エラー レポート)
このエラー レポートには、以下のエラー メッセージが1 つ以上含まれている場合があります。
  • “A synchronized object with the same proxy address already exists in your Microsoft Online Services directory.” (参考訳: 同じプロキシ アドレスの同期オブジェクトは、Microsoft Online Services ディレクトリに既に存在します。)
  • “Unable to update this object because the user ID is not found.” (参考訳: ユーザー ID が見つからないためオブジェクトを更新できません。)
  • “Unable to update this object in Microsoft Online Services because the following attributes associated with this object have values that may already be associated with another object in your local directory.” (参考訳: このオブジェクトに紐づく次の属性値はローカル ディレクトリで既に他のオブジェクトに紐付けられているため、Microsoft Online Services でこのオブジェクトを更新できません。)

原因?

この問題は、オンプレミス Active Directory ドメイン サービス (AD DS) スキーマ内のユーザー オブジェクトに、重複または無効なエイリアス値が存在し、ディレクトリ同期中、これらのユーザー オブジェクトが AD DS スキーマから Office 365 に正常に同期されない場合に発生します。

Office 365 のすべてのエイリアス値は、対象の組織で一意の値である必要があります。簡易メール転送プロトコル (SMTP) アドレス内の @ マークの後ろは、複数の一意のサフィックスであっても、すべてのエイリアス値は一意の値である必要があります。

オンプレミス環境では、SMTP アドレス内の @ マークの後ろのサフィックスが一意である限り、同じエイリアス値も使用できます。

重複するエイリアス値を持つオブジェクトを、Office 365 クラウドで作成する場合は、それぞれを一意のエイリアスにするためには、1 つのエイリアスに一意の番号を付記します (例: 重複のエイリアス値が “Albert” とすると、他のエイリアスは、自動的に “Albert2” となります。”Albert2” が既に使われている場合は “Albert3” となり、それ以降の処理は同様)。ただし、重複するエイリアス値を持つオブジェクトをオンプレミス AD DS で作成すると、ディレクトリ同期の実行時、オブジェクトの不一致が生じるため、オブジェクト同期は失敗します。?

解決方法?

問題を解決するには、次の手順を用いて重複している値や他の AD DS オブジェクトと矛盾する値を特定します。これを行うには、IdFix DirSync Error Remediation ツールまたは Microsoft Online Services Diagnostics and Logging (MOSDAL) サポート ツールキットを使用します。

方法 1?: IdFix DirSync エラー修正ツールを使用する

IdFix DirSync エラー修正ツールを使用して重複属性値または無効な属性値を特定します。IdFix ツールを使用して属性値の重複を解決するには、以下の Microsoft Knowledge Base 資料を確認してください。
2857385: IdFix ツール実行後、エラー欄に "Duplicate" と表示される
IdFix ツールの詳細については、「IdFix DirSync エラー修正ツール」 (英語) を参照してください。
?

方法 2 : MOSDAL サポートツールキットを使用する

MOSDAL サポート ツールを使用して無効な属性値の情報を得るには、以下の手順を実行します。

  1. 以下の Microsoft Web サイトより、MOSDAL サポート ツールキットをダウンロードします。

    http://www.microsoft.com/download/en/details.aspx?id=626
  2. MOSDAL ツールキットを実行し、O365 タブ内のリストから [シングルサインオン (ID フェデレーション)] を選択します。その後、[次へ] をクリックします。
  3. 資格情報の入力画面が表示されたら、Office 365 ユーザー ID またはサインインアドレスを入力します。この場合、パスワードは保存されません (認証をシミュレーションし、結果を記録する際に使用されます)。
  4. [問題の再現] 画面で、[次へ] をクリックします。
  5. レポートの作成が完了したら、ドキュメント ライブラリより MOSDAL REPORT.zip ファイルを特定します。[MOSDALREPORT\Admin_Applications\Directory_Synchronization_Tool] サブ フォルダー内にある問題のある属性値レポートを開きます。

ディレクトリ同期によって Windows Azure AD?内に作成されていないオブジェクが原因となり引き起こされた属性の対立を識別する方法

Office 365 管理ツールを使用して作成されたユーザー オブジェクト (および、ディレクトリ同期を使用して Windows Azure AD に作成されたユーザー オブジェクト) によって引き起こされた属性の対立を識別するには、以下の手順に従ってください。
  1. AD DS ユーザー アカウントの独自の属性を判断します。これを行うには、Windows Support ツールがインストールされているコンピューターで、以下の手順に従って実行してください:
    1. [スタート] をクリックして、[ファイル名を指定して実行] に、ldp.exe」と入力してから、[OK] をクリックします。
    2. [Connection] (接続)、[Connect] (接続する) をクリックします。AD DS ドメイン コントローラーのコンピューター名を入力してから、[OK] をクリックします 。
    3. [Connection] (接続)、[Bind] (バインド)、[OK] の順にクリックします 。
    4. [View] (表示)、[Tree View] (ツリー表示) の順にクリックし、 [BaseDN] ドロップダウン リストから AD DS ドメインを選択し、[OK] をクリックします 。
    5. ナビゲーション ウィンドウで、正しく同期がされないオブジェクトを探し、ダブルクリックします。ウィンドウの右側にある詳細画面では、すべてのオブジェクト属性値が表示されます。以下の例はオブジェクトの属性値を示すものです。

      元に戻す画像を拡大する
      2648985
    6. 「UserPrincipalName」 属性値および、複数値におよぶproxyAddresses」属性値内の各 SMTP アドレスを記録します。これらの値は、後ほど必要となります。
      元に戻す全体を表示する
      属性名備考
      proxyAddressesproxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com; § 属性ラベルの隣に括弧で表示されている番号は、複数値属性のプロキシ アドレス値の番号を表します。

      § 明確な各プロキシ アドレス値は、セミコロン (;) で表示されます。

      § プライマリ SMTP プロキシ アドレスの値は、大文字 ”SMTP:” を用いて表示されます。
      userPrincipalName7628376@contoso.com
      注: 「Ldp.exe」は、Windows Server 2008 および Windows Server 2003 Support Tools に含まれています。Windows Server 2003 Support Tools は、 Windows Server 2003 インストール メディアに含まれています。また、ツールをダウンロードするには、以下の Microsoft Web サイトから利用できます。
      http://go.microsoft.com/fwlink/?LinkId=100114
  2. Windows PowerShell 用Windows Azure Active Directory モジュールを使用して、Office 365 テナントに接続をします。これを行うには、以下の手順に従ってください。?
    1. [スタート][すべてのプログラム][Windows Azure Active Directory] の順にクリックしてから、[Windows PowerShell 用Windows Azure Active Directory モジュール] をクリックします 。
    2. 表示されている順に以下のコマンドを入力して、各コマンドの入力後に Enter を押します。
      • $cred = get-credential

        注: 要求があれば、Office 365 管理者の資格情報を入力します。
      • Connect-MSOLService ?credential $cred
      次の手順で、使用するため、コンソール画面を開いた状態にします 。
  3. Office 365 テナントの「UserPrincipalName」属性値が重複していないか確認します。

    手順 2 で開いた状態のコンソールで、表示されている順に以下のコマンドを入力して、各コマンドの入力後に Enter を押します。
    • $userUPN = "<search UPN>"

      注: このコマンド中の、"<search UPN>" は、手順 1 の F で記録したUserPrincipalName属性値が入ります。
    • get-MSOLUser ?UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
    次の手順で使用するため、コンソール画面を開いたままにします 。
  4. 「proxyAddresses」属性が重複していないか確認をします。手順 2 で開いた状態のコンソールで、以下のコマンドを入力します。表示されている順に以下のコマンドを入力して、各コマンドの入力後に Enter を押します。
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic ?AllowRedirection
      ?
    • Import-PSSession $sessionExO -prefix:Cloud

  5. 手順 1 の F でメモを取った各プロキシ アドレスについて、表示されている順に以下のコマンドを入力して、各コマンドの入力後に Enter を押します 。
    • $proxyAddress = "<search proxyAddress>"


      注: このコマンド中の、"<search proxyAddress>" には、手順 F で記録したproxyAddresses」属性が入ります。
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}
手順 3 と手順 4 におけるコマンドを実行した後に返された項目は、ディレクトリ同期を経由して作成されていないユーザー オブジェクトを表示し、その属性は同期が正常に実行されないオブジェクと競合しない属性を持つことを意味します。

属性の値の不一致または無効性を認識した場合は、以下の Microsoft Knowledge Base 中の資料に従って、問題をトラブルシューティングしてください。
2643629? 「個々の Active Directory 同期が Office 365 で Windows Azure AD に同期されない」

追加情報?

本資料に記載されている Windows PowerShell コマンドを使用するには、Windows PowerShell 用 Windows Azure Active Directory モジュールが必要です。

Windows PowerShell 用Windows Azure Active Directory モジュールの詳細は、以下の Microsoft web サイトを参照してください。

Windows PowerShell?
追加情報が必要な場合は Office 365 コミュニティ Web サイトを参照してください。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。

プロパティ

文書番号: 2647098 - 最終更新日: 2013年12月25日 - リビジョン: 18.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
キーワード:?
o365 mosdal4.5 o365a o365022013 after upgrade o365m o365e o365062011 pre-upgrade kbgraphxlink KB2647098
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com