Dubbele of ongeldige kenmerken voorkomen adreslijstsynchronisatie in Microsoft 365

  • Artikel
  • Van toepassing op:
    Azure Active Directory, Microsoft 365

Symptomen

In Microsoft 365 ontvangt een beheerder het volgende e-mailbericht wanneer adreslijstsynchronisatie is voltooid:

From: [MSOnlineServicesTeam@MicrosoftOnline.com](mailto:msonlineservicesteam@microsoftonline.com)Subject: Directory Synchronization Error Report

Het foutenrapport in het e-mailbericht kan een of meer van de volgende foutberichten bevatten:

  • Er bestaat al een gesynchroniseerd object met hetzelfde proxyadres in uw Microsoft Online Services-adreslijst.
  • Kan dit object niet bijwerken omdat de gebruikers-id niet is gevonden.
  • Kan dit object niet bijwerken in Microsoft Online Services omdat de volgende kenmerken die aan dit object zijn gekoppeld waarden bevatten die mogelijk al zijn gekoppeld aan een ander object in uw lokale map.
  • Kan dit object niet bijwerken omdat de volgende kenmerken die aan dit object zijn gekoppeld waarden hebben die mogelijk al zijn gekoppeld aan een ander object in uw lokale adreslijstservices: [UserPrincipalName john@contoso.com;]. Corrigeer of verwijder de dubbele waarden in uw lokale map.
  • Kan dit object niet bijwerken omdat de volgende kenmerken die aan dit object zijn gekoppeld waarden bevatten die mogelijk al zijn gekoppeld aan een ander object in uw lokale adreslijstservices: [ProxyAddresses SMTP:john@contoso.com;]. Corrigeer of verwijder de dubbele waarden in uw lokale map.

Als u bovendien Microsoft Entra ID (Connect) Sync Service uitvoert, wordt een exemplaar van gebeurtenis-id 6941 met een van de volgende foutberichten vastgelegd in de aanmeldings-Logboeken van de toepassing:

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error. 

Error Name: AttributeValueMustBeUnique
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [UserPrincipalName john@contoso.com;]. Correct or remove the duplicate values in your local directory. Please refer to https://support.microsoft.com/kb/2647098 for more information on identifying objects with duplicate attribute values.

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error.

Error Name: InvalidSoftMatch
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [ProxyAddresses SMTP:john@contoso.com;]. Correct or remove the duplicate values in your local directory.

Oorzaak

Dit probleem kan optreden als gebruikersobjecten in het schema on-premises Active Directory Domeinservices (AD DS) dubbele of ongeldige aliaswaarden hebben en als deze gebruikersobjecten niet correct worden gesynchroniseerd vanuit het AD DS-schema met Microsoft 365 tijdens adreslijstsynchronisatie.

Alle aliaswaarden in Microsoft 365 moeten uniek zijn voor een bepaalde organisatie. Zelfs als u meerdere unieke achtervoegsels hebt na het at-teken (@) in het SMTP-adres (Simple Mail Transfer Protocol), moeten alle aliaswaarden uniek zijn.

In een on-premises omgeving kunt u aliaswaarden hebben die hetzelfde zijn als ze uniek zijn op basis van de achtervoegsels na het at-teken (@) in het SMTP-adres.

Als u objecten maakt met dubbele aliaswaarden in de cloud voor Microsoft 365, wordt aan één alias een uniek nummer toegevoegd om de aliassen uniek te maken. (Als de dubbele aliaswaarden bijvoorbeeld 'Albert' zijn, wordt een van deze waarden automatisch 'Albert2'. Als 'Albert2' al wordt gebruikt, wordt de alias 'Albert3', enzovoort.) Als er echter objecten met dubbele aliaswaarden worden gemaakt in uw on-premises AD DS, treedt er een objectconflict op wanneer adreslijstsynchronisatie wordt uitgevoerd en objectsynchronisatie mislukt.

Oplossing

U kunt dit probleem oplossen door dubbele waarden en waarden te bepalen die conflicteert met andere AD DS-objecten. Gebruik hiervoor een van de volgende methoden.

Methode 1: Het hulpprogramma voor foutherstel van idfix Microsoft Entra synchronisatieprogramma gebruiken

Gebruik het Hulpprogramma voor foutherstel van idFix Microsoft Entra synchronisatieprogramma om dubbele of ongeldige kenmerken te identificeren. Zie het volgende Microsoft Knowledge Base-artikel om dubbele kenmerken op te lossen met behulp van het hulpprogramma IdFix:

2857385 'Dupliceren' wordt weergegeven in de kolom ERROR voor twee of meer objecten nadat u het hulpprogramma IdFix hebt uitgevoerd

Methode 2: Een bestaande on-premises gebruiker toewijzen aan een Microsoft Entra gebruiker

Raadpleeg hiervoor het volgende Microsoft Knowledge Base-artikel:

2641663 SMTP-matching gebruiken om on-premises gebruikersaccounts te koppelen aan Microsoft 365-gebruikersaccounts voor adreslijstsynchronisatie

Methode 3: Kenmerkconflicten vaststellen die worden veroorzaakt door objecten die niet zijn gemaakt in Microsoft Entra ID via adreslijstsynchronisatie

Voer de volgende stappen uit om kenmerkconflicten te bepalen die worden veroorzaakt door gebruikersobjecten die zijn gemaakt met behulp van Microsoft 365-beheerprogramma's (en die niet zijn gemaakt in Microsoft Entra ID via adreslijstsynchronisatie):

  1. Bepaal de unieke kenmerken van het on-premises AD DS-gebruikersaccount. Voer hiervoor de volgende stappen uit op een computer waarop Windows-ondersteuningshulpprogramma's is geïnstalleerd:

    1. Klik op Start, klik op Uitvoeren, typ ldp.exe en klik vervolgens op OK.

    2. Klik op Verbinding, klik op Verbinding maken, typ de computernaam van een AD DS-domeincontroller en klik vervolgens op OK.

    3. Klik op Verbinding, klik op Binden en klik vervolgens op OK.

    4. Klik op Weergave, klik op Structuurweergave, selecteer het AD DS-domein in de vervolgkeuzelijst BaseDN en klik vervolgens op OK.

    5. Zoek in het navigatiedeelvenster het object dat niet correct wordt gesynchroniseerd en dubbelklik erop. Het detailvenster aan de rechterkant van het venster bevat alle objectkenmerken. In het volgende voorbeeld ziet u de objectkenmerken:

      Schermopname van een voorbeeld van objectkenmerken.

    6. Noteer de waarden van het kenmerk userPrincipalName en elk SMTP-adres in het kenmerk proxyAddresses met meerdere waarden. U hebt deze waarden later nodig.

      Kenmerknaam Voorbeeld Opmerkingen
      Proxyadressen proxyAddresses (3): x500:/o=Exchange/ou=Exchange-beheergroep (GroupName)/cn=Recipients/cn=GUID; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com; Het getal dat tussen haakjes naast het kenmerklabel wordt weergegeven, geeft het aantal proxyadreswaarden in het kenmerk met meerdere waarden aan. Elke afzonderlijke proxyadreswaarde wordt aangegeven met een puntkomma (;). De waarde van het primaire SMTP-proxyadres wordt aangegeven met hoofdletters 'SMTP:'
      userPrincipalName 7628376@contoso.com

      Opmerking

      Ldp.exe is opgenomen in Windows Server 2008 en in de Ondersteuningshulpprogramma's voor Windows Server 2003. De Windows Server 2003-ondersteuningshulpprogramma's zijn opgenomen in de Windows Server 2003-installatiemedia. Als u het hulpprogramma wilt downloaden, gaat u naar de volgende Microsoft-website: Windows Server 2003 Service Pack 2 32-bits ondersteuningsprogramma's

  2. Maak verbinding met Microsoft 365 met behulp van de Azure Active Directory-module voor Windows PowerShell. Ga hiervoor als volgt te werk:

    1. Klik op Start, klik op Alle programma's, klik op Microsoft Entra ID en klik vervolgens op Azure Active Directory-module voor Windows PowerShell.

    2. Typ de volgende opdrachten in de volgorde waarin ze worden weergegeven en druk na elke opdracht op Enter:

      $cred = get-credential

      Opmerking

      Wanneer u hierom wordt gevraagd, voert u uw Microsoft 365-beheerdersreferenties in.

      Connect-MSOLService –credential $cred

      Opmerking

      Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

      U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

      Laat het consolevenster geopend. U moet deze gebruiken in de volgende stap.

  3. Controleer op de dubbele userPrincipalName-kenmerken in Microsoft 365.

    Typ in de consoleverbinding die u in stap 2 hebt geopend de volgende opdrachten in de volgorde waarin ze worden weergegeven en druk na elke opdracht op Enter:

    $userUPN = "<search UPN>"

    Opmerking

    In deze opdracht vertegenwoordigt de tijdelijke aanduiding 'SEARCH UPN' het kenmerk UserPrincipalName dat u hebt vastgelegd in stap 1f.

    get-msoluser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Laat het consolevenster geopend. U gebruikt deze opnieuw in de volgende stap.

  4. Controleer op dubbele proxyAddressesattributes. Typ in de consoleverbinding die u in stap 2 hebt geopend de volgende opdrachten in de volgorde waarin ze worden weergegeven en druk na elke opdracht op Enter:

    $UserCredential = Get-Credential
Connect-ExchangeOnline -Credential $UserCredential

  5. Voor elke proxyadresvermelding die u in stap 1f hebt vastgelegd, typt u de volgende opdrachten in de volgorde waarin ze worden weergegeven en drukt u na elke opdracht op Enter:

    $proxyAddress = "<search proxyAddress>"

    Opmerking

    In deze opdracht vertegenwoordigt de tijdelijke aanduiding 'proxyAddress zoeken' de waarde van een proxyAddresses-kenmerk dat u in stap 1f hebt vastgelegd.

    Get-EXOMailbox | Where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MsolUser -ObjectID $_.ExternalDirectoryObjectId | Where {($_.LastDirSyncTime -eq $null)}}

Items die worden geretourneerd nadat u de opdrachten in stap 3 en 4 hebt uitgevoerd, vertegenwoordigen gebruikersobjecten die niet zijn gemaakt via adreslijstsynchronisatie en die kenmerken hebben die conflicteren met het object dat niet correct wordt gesynchroniseerd.

Nadat u conflicterende of ongeldige kenmerkwaarden hebt vastgesteld, kunt u het probleem oplossen door de stappen in het volgende Microsoft Knowledge Base-artikel te volgen:

2643629 Een of meer objecten worden niet gesynchroniseerd wanneer het hulpprogramma Azure Active Directory-synchronisatie wordt gebruikt

Meer informatie

Voor de Windows PowerShell opdrachten in dit artikel is de Azure Active Directory-module vereist voor Windows PowerShell. Ga naar de volgende Microsoft-website voor meer informatie over de Azure Active Directory-module voor Windows PowerShell:

cmdlets Microsoft Entra

Meer hulp nodig? Ga naar Microsoft Community.