Een of meer objecten worden niet gesynchroniseerd wanneer u het hulpprogramma Azure Active Directory-synchronisatie gebruikt
In dit artikel wordt een probleem opgelost waarbij een of meer Active Directory Domain Services (AD DS)-objectkenmerken niet worden gesynchroniseerd met Microsoft Entra ID via het hulpprogramma Azure Active Directory Sync.
Oorspronkelijke productversie: Cloud Services (webrollen/werkrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Origineel KB-nummer: 2643629
Opmerking
Was dit artikel nuttig? Uw inbreng is belangrijk voor ons. Gebruik de knop Feedback op deze pagina om ons te laten weten hoe goed dit artikel voor u heeft gewerkt of hoe we het kunnen verbeteren.
Symptomen
Een of meer AD DS-objecten of -kenmerken worden niet gesynchroniseerd met Microsoft Entra ID zoals verwacht. Wanneer Active Directory-synchronisatie wordt uitgevoerd, wordt een object niet gesynchroniseerd en ervaart u een van de volgende symptomen:
- U ontvangt een foutbericht met de melding dat een kenmerk een dubbele waarde heeft.
- U ontvangt een foutbericht waarin wordt aangegeven dat een of meer kenmerken in strijd zijn met de opmaakvereisten, zoals tekenset of tekenlengte.
- U ontvangt geen foutbericht en de adreslijstsynchronisatie lijkt te zijn voltooid. Sommige objecten of kenmerken worden echter niet bijgewerkt zoals verwacht.
Enkele voorbeelden van het foutbericht dat u mogelijk ontvangt:
Er bestaat al een gesynchroniseerd object met hetzelfde proxyadres in uw Microsoft Online Services-adreslijst.
Kan dit object niet bijwerken omdat de gebruikers-id niet is gevonden.
Kan dit object niet bijwerken in Microsoft Online Services omdat de volgende kenmerken die aan dit object zijn gekoppeld waarden bevatten die mogelijk al zijn gekoppeld aan een ander object in uw lokale map.
Oorzaak
Dit probleem doet zich voor om een van de volgende redenen:
De domeinwaarde die wordt gebruikt door AD DS-kenmerken, is niet geverifieerd.
Een of meer objectkenmerken waarvoor een unieke waarde is vereist, hebben een dubbele kenmerkwaarde (zoals het kenmerk proxyAddresses of het kenmerk U serPrincipalName) in een bestaand gebruikersaccount.
Een of meer objectkenmerken zijn in strijd met opmaakvereisten die de tekens en de tekenlengte van kenmerkwaarden beperken.
Een of meer objectkenmerken komen overeen met uitsluitingsregels voor adreslijstsynchronisatie.
In de volgende tabel ziet u de standaard synchronisatiebereikregels:
Objecttype Kenmerknaam Voorwaarde van kenmerk wanneer synchronisatie mislukt Contactpersoon Displayname Bevat "MSOL" msExchHideFromAddressLists Is ingesteld op 'True' Groep waarvoor beveiliging is ingeschakeld isCriticalSystemObject Is ingesteld op 'True' Groepen waarvoor e-mail is ingeschakeld
(beveiligingsgroep of distributielijst)Proxyadressen
en
e-mailHeeft geen SMTP:-adresvermelding
en
is niet aanwezigContactpersonen met e-mail Proxyadressen
en
e-mailHeeft geen SMTP:-adresvermelding
en
is niet aanwezigInetorgperson Samaccountname Is niet aanwezig isCriticalSystemObject Is aanwezig Gebruiker mailNickName Begint met SystemMailbox mailNickName Begint met 'CAS_'
en
bevat "}"Samaccountname Begint met 'CAS_'
en
bevat "}"Samaccountname Is gelijk aan 'SUPPORT_388945a0' Samaccountname Is gelijk aan 'MSOL_AD_Sync' Samaccountname Is niet aanwezig isCriticalSystemObject Is ingesteld op 'True' De USER Principal Name (UPN) is gewijzigd na de eerste synchronisatie en moet handmatig worden bijgewerkt.
Exchange Online SMTP-adressen (Simple Mail Transfer Protocol) van gesynchroniseerde gebruikers niet correct worden ingevuld in het on-premises Active Directory-schema.
Oplossing
U kunt dit probleem oplossen door een van de volgende methoden te gebruiken, afhankelijk van uw situatie.
Voer IdFix uit om te controleren op duplicaten, ontbrekende kenmerken en regelschendingen
Gebruik het Hulpprogramma voor foutherstel van IdFix DirSync om objecten en fouten te vinden die synchronisatie met Microsoft Entra ID verhinderen.
- Als u 'Leeg' ziet in de kolom ERROR nadat u IdFix hebt uitgevoerd, is het kenmerk displayName van het object niet gedefinieerd. U kunt dit probleem oplossen door een waarde op te geven voor het kenmerk displayName van het object met behulp van de volgende stappen:
- Typ in de kolom UPDATE voor het object de naam van het kenmerk displayName.
- Klik in de kolom ACTIE op BEWERKEN en klik vervolgens op Toepassen.
- Herhaal stap 1 en 2 voor elk object met een lege vermelding in de kolom ERROR.
- Voer IdFix opnieuw uit om te zoeken naar meer objectfouten.
- Als u 'Dupliceren' ziet in de kolom ERROR nadat u IdFix hebt uitgevoerd, hebben twee of meer objecten hetzelfde e-mailadres. U kunt dit probleem oplossen door een uniek e-mailadres voor het object op te geven met behulp van de volgende stappen:
- Typ in de kolom UPDATE voor het object een e-mailadres dat nog niet wordt gebruikt.
- Klik in de kolom ACTIE op BEWERKEN en klik vervolgens op Toepassen.
- Voer IdFix opnieuw uit om te zoeken naar meer objectfouten.
Kenmerkconflicten bepalen die worden veroorzaakt door objecten die niet zijn gemaakt in Microsoft Entra ID via adreslijstsynchronisatie
Voer de volgende stappen uit om kenmerkconflicten te bepalen die worden veroorzaakt door gebruikersobjecten die zijn gemaakt met behulp van beheerhulpprogramma's (en die niet zijn gemaakt in Microsoft Entra ID via adreslijstsynchronisatie):
Bepaal de unieke kenmerken van het on-premises AD DS-gebruikersaccount. Voer hiervoor de volgende stappen uit op een computer waarop Windows-ondersteuningshulpprogramma's zijn geïnstalleerd:
Selecteer Start, selecteer Uitvoeren, typ ldp.exe en selecteer vervolgens OK.
Selecteer Verbinding, selecteer Verbinding maken, typ de computernaam van een AD DS-domeincontroller en selecteer vervolgens OK.
Selecteer Verbinding, selecteer Binden en selecteer vervolgens OK.
Selecteer Weergave, selecteer Structuurweergave, selecteer het AD DS-domein in de vervolgkeuzelijst BaseDN en selecteer vervolgens OK.
Zoek in het navigatiedeelvenster het object dat niet correct wordt gesynchroniseerd en dubbelklik erop. Het detailvenster aan de rechterkant van het venster bevat alle objectkenmerken. In het volgende voorbeeld ziet u de objectkenmerken:
Noteer de waarden van het kenmerk userPrincipalName en elk SMTP-adres in het kenmerk proxyAddresses met meerdere waarden. U hebt deze waarden later nodig.
Kenmerknaam Voorbeeld Opmerkingen Proxyadressen proxyAddresses (3): x500:/o=Exchange/ou=Exchange-beheergroep (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp: 7628376@service.contoso.com
; SMTP:7628376@contoso.com
;
1. Het getal dat tussen haakjes naast het kenmerklabel wordt weergegeven, geeft het aantal proxyadreswaarden in het kenmerk met meerdere waarden aan.
2. Elke waarde van het proxyadres wordt aangegeven met een puntkomma (;).
3. De waarde van het primaire SMTP-proxyadres wordt aangegeven met hoofdletters 'SMTP:'userPrincipalName 7628376@contoso.com
Opmerking
Ldp.exe is opgenomen in Windows Server 2008 en in de Ondersteuningshulpprogramma's voor Windows Server 2003. De Windows Server 2003-ondersteuningshulpprogramma's zijn opgenomen in de Windows Server 2003-installatiemedia. Als u de ondersteuningshulpprogramma's wilt verkrijgen, gaat u naar de volgende Microsoft-website: Windows Server 2003 Service Pack 2 32-bits ondersteuningshulpprogramma's
Maak verbinding met Microsoft Entra ID met behulp van de Azure Active Directory-module voor Windows PowerShell. Ga voor meer informatie naar Microsoft Entra ID beheren met behulp van Windows PowerShell.
Laat het consolevenster geopend. U moet deze gebruiken in de volgende stap.
Controleer op de dubbele userPrincipalName-kenmerken.
Typ in de consoleverbinding die u in stap 2 hebt geopend de volgende opdrachten in de volgorde waarin ze worden weergegeven. Druk na elke opdracht op Enter:
$userUPN = "<search UPN>"
Opmerking
In deze opdracht vertegenwoordigt de tijdelijke aanduiding '<SEARCH UPN>' het kenmerk UserPrincipalName dat u hebt vastgelegd in stap 1f.
Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
Opmerking
Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.
U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.
Laat het consolevenster geopend. U gebruikt deze opnieuw in de volgende stap.
Controleer op dubbele proxyAddresses-kenmerken. Voer in de consoleverbinding die u in stap 2 hebt geopend de volgende opdracht uit:
Import-Module ExchangeOnlineManagement
Voor elke proxyadresvermelding die u in stap 1f hebt vastgelegd, typt u de volgende opdrachten in de volgorde waarin ze worden weergegeven. Druk na elke opdracht op Enter:
$proxyAddress = "<search proxyAddress>"
Opmerking
In deze opdracht vertegenwoordigt de tijdelijke aanduiding '<proxyAddress> zoeken' de waarde van een proxyAddresses-kenmerk dat u in stap 1f hebt vastgelegd.
Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}
Items die worden geretourneerd nadat u de opdrachten in stap 3 en 4 hebt uitgevoerd, vertegenwoordigen gebruikersobjecten die niet zijn gemaakt via adreslijstsynchronisatie en die kenmerken hebben die conflicteren met het object dat niet correct wordt gesynchroniseerd.
AD DS-kenmerken bijwerken om duplicaten, schendingen van regels en bereikuitsluitingen te verwijderen
Identificeer de specifieke kenmerken die synchronisatie verhinderen op basis van de volgende informatie:
- E-mailberichten met beheerdersrechten
- Het rapport uit de uitvoer van het hulpprogramma voor implementatiegereedheid van Office 365
- Standaardbereikregels voor adreslijstsynchronisatie en aangepaste regels
Nadat een specifieke kenmerkwaarde is geïdentificeerd, bewerkt u de kenmerkwaarde met een van deze methoden:
- Gebruik het hulpprogramma Active Directory: gebruikers en computers om de kenmerkwaarde te bewerken.
- Open Active Directory: gebruikers en computers en selecteer vervolgens het hoofdknooppunt van het AD DS-domein.
- Selecteer Weergave en zorg ervoor dat de optie Geavanceerde functies is geselecteerd.
- Zoek in het linkernavigatiedeelvenster het gebruikersobject, klik er met de rechtermuisknop op en selecteer vervolgens Eigenschappen.
- Zoek op het tabblad Object Editor het gewenste kenmerk. Selecteer Bewerken en bewerk vervolgens de kenmerkwaarde tot de gewenste waarde.
- Selecteer tweemaal OK.
- Active Directory Service Interfaces (ADSI) Bewerken gebruiken om objectkenmerken in AD DS bij te werken. U kunt ADSI Edit downloaden en installeren als onderdeel van de Windows Server Toolkit. Als u ADSI Bewerken wilt gebruiken om kenmerken te bewerken, volgt u deze stappen.
Waarschuwing
Voor deze procedure is ADSI Edit vereist. Als u ADSI Edit onjuist gebruikt, kan dit ernstige problemen veroorzaken waardoor u uw besturingssysteem mogelijk opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die het gevolg zijn van het onjuiste gebruik van ADSI Edit, kunnen worden opgelost. Gebruik ADSI Bewerken op eigen risico.
- Selecteer Start, selecteer Uitvoeren, typ ADSIEdit.msc en selecteer vervolgens OK.
- Klik met de rechtermuisknop op ADSI Bewerken in het navigatiedeelvenster, selecteer Verbinding maken met en selecteer vervolgens OK om de domeinpartitie te laden.
- Zoek het gebruikersobject, klik er met de rechtermuisknop op en selecteer vervolgens Eigenschappen.
- Zoek in de lijst Kenmerken het gewenste kenmerk. Selecteer Bewerken en bewerk vervolgens de kenmerkwaarde tot de gewenste waarde.
- Selecteer twee keer OK en sluit ADSI Bewerken af.
Een nieuwe groep maken en deze toevoegen aan de ingebouwde groep die niet wordt gesynchroniseerd
Als u het probleem in het scenario wilt oplossen dat sommige ingebouwde groepen (zoals de groep Domeingebruikers) niet worden gesynchroniseerd, maakt u een nieuwe groep die alle toepasselijke leden en de juiste machtigingen van de ingebouwde groep bevat. Voeg vervolgens die groep toe als lid van de ingebouwde groep die niet is gesynchroniseerd. Gebruik de nieuwe groep in plaats van de ingebouwde groep om leden te beheren. Met deze methode beheert u nog steeds slechts één groep.
U wilt de kenmerken van de ingebouwde groep niet wijzigen of de bereikregels van het apparaat voor identiteitssynchronisatie wijzigen, zodat kritieke systeemobjecten kunnen worden gesynchroniseerd. Dit kan ander onverwacht gedrag veroorzaken.
SMTP-matching gebruiken om ervoor te zorgen dat een on-premises gebruikersobject wordt gesynchroniseerd met een bestaand gebruikersobject
Zie SMTP-overeenkomsten gebruiken om on-premises gebruikersaccounts te koppelen aan Office 365 gebruikersaccounts voor adreslijstsynchronisatie voor meer informatie.
UPN van een gebruikersaccount handmatig bijwerken
Voer de volgende stappen uit om een UPN van een gebruikersaccount bij te werken die is gelicentieerd nadat de eerste adreslijstsynchronisatie is uitgevoerd:
Installeer Azure Active Directory v2 PowerShell-module. Zie Azure Active Directory v2 PowerShell-module voor meer informatie.
Voer de volgende cmdlets uit bij de PowerShell-prompt van Azure Active Directory v2:
$cred = get-credential
Opmerking
Wanneer u hierom wordt gevraagd, voert u uw beheerdersreferenties in.
Connect-AzureAD
Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]
SMTP-adressen van gebruikers bijwerken met behulp van on-premises Active Directory-kenmerken
Wanneer SMTP-kenmerken niet op een verwachte manier met Exchange Online worden gesynchroniseerd, moet u mogelijk de on-premises Active Directory kenmerken bijwerken. Als u on-premises Active Directory kenmerken wilt bijwerken zodat het juiste e-mailadres wordt weergegeven in Exchange Online, gebruikt u Oplossing 2 om de kenmerken in de volgende tabel te bewerken.
Naam van on-premises Active Directory-kenmerk | Voorbeeld van on-premises Active Directory-kenmerkwaarde | Voorbeeld van Exchange Online e-mailadressen |
---|---|---|
Proxyadressen | SMTP:user1@contoso.com |
Primaire SMTP: user1@contoso.com Secundaire SMTP: user1@contoso.onmicrosoft.com |
Proxyadressen | Smtp:user1@contoso.com |
Primaire SMTP: user1@contoso.onmicrosoft.com secundaire SMTP: user1@contoso.com |
Proxyadressen | SMTP:user1@contoso.com Smtp: user1@sub.contoso.com |
Primaire SMTP: user1@contoso.com Secundaire SMTP: user1@sub.contoso.com Secundaire SMTP: user1@contoso.onmicrosoft.com |
User1@contoso.com |
Primaire SMTP: user1@contoso.com Secundaire SMTP: user1@contoso.onmicrosoft.com |
|
UserPrincipalName | User1@contoso.com |
Primaire SMTP: user1@contoso.com Secundaire SMTP: user1@contoso.onmicrosoft.com |
De vermelding Microsoft Online Email Routing Address (MOERA) die is gekoppeld aan het standaarddomein (zoals user1@contoso.onmicrosoft.com
) is een geïnterpreteerde waarde die is gebaseerd op de alias van een gebruikersaccount. Dit speciale e-mailadres is onlosmakelijk gekoppeld aan elke Exchange Online ontvanger. U kunt geen extra MOERA-adressen voor geadresseerden beheren, verwijderen of maken. Het MOERA-adres kan echter overschreven worden als het primaire SMTP-adres met behulp van de kenmerken in het on-premises Active Directory gebruikersobject.
Opmerking
De aanwezigheid van gegevens in het kenmerk proxyAddresses maskert gegevens in het kenmerk e-mail volledig voor Exchange Online e-mailadrespopulatie.
Opmerking
De aanwezigheid van gegevens in het kenmerk proxyAddresses, het e-mailkenmerk of beide kenmerken maskeren userPrincipalName-gegevens volledig voor Exchange Online e-mailadrespopulatie. De UPN kan worden gebruikt voor het beheren van e-mailadressen. Een beheerder kan echter besluiten het e-mailadres en de UPN afzonderlijk te beheren door proxyAddresses of e-mailkenmerken in te vullen.
We raden u ten zeerste aan om een van deze kenmerken consistent te gebruiken voor het beheren van Exchange Online e-mailadressen voor gesynchroniseerde gebruikers.
Meer informatie
Voor de Windows PowerShell opdrachten die in dit artikel worden vermeld, is de Azure Active Directory-module voor Windows PowerShell vereist. Zie het volgende artikel voor meer informatie over de Azure Active Directory-module voor Windows PowerShell:
Beheer Microsoft Entra ID met Windows PowerShell.
Zie het volgende Microsoft TechNet-wikiartikel voor meer informatie over het filteren van adreslijstsynchronisatie op kenmerken:
Lijst met kenmerken die worden gesynchroniseerd met het Azure Active Directory-synchronisatieprogramma
Contacteer ons voor hulp
Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor