Een of meer objecten worden niet gesynchroniseerd wanneer u het hulpprogramma Azure Active Directory-synchronisatie gebruikt

  • Artikel

In dit artikel wordt een probleem opgelost waarbij een of meer Active Directory Domain Services (AD DS)-objectkenmerken niet worden gesynchroniseerd met Microsoft Entra ID via het hulpprogramma Azure Active Directory Sync.

Oorspronkelijke productversie: Cloud Services (webrollen/werkrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Origineel KB-nummer: 2643629

Opmerking

Was dit artikel nuttig? Uw inbreng is belangrijk voor ons. Gebruik de knop Feedback op deze pagina om ons te laten weten hoe goed dit artikel voor u heeft gewerkt of hoe we het kunnen verbeteren.

Symptomen

Een of meer AD DS-objecten of -kenmerken worden niet gesynchroniseerd met Microsoft Entra ID zoals verwacht. Wanneer Active Directory-synchronisatie wordt uitgevoerd, wordt een object niet gesynchroniseerd en ervaart u een van de volgende symptomen:

  • U ontvangt een foutbericht met de melding dat een kenmerk een dubbele waarde heeft.
  • U ontvangt een foutbericht waarin wordt aangegeven dat een of meer kenmerken in strijd zijn met de opmaakvereisten, zoals tekenset of tekenlengte.
  • U ontvangt geen foutbericht en de adreslijstsynchronisatie lijkt te zijn voltooid. Sommige objecten of kenmerken worden echter niet bijgewerkt zoals verwacht.

Enkele voorbeelden van het foutbericht dat u mogelijk ontvangt:

Er bestaat al een gesynchroniseerd object met hetzelfde proxyadres in uw Microsoft Online Services-adreslijst.

Kan dit object niet bijwerken omdat de gebruikers-id niet is gevonden.

Kan dit object niet bijwerken in Microsoft Online Services omdat de volgende kenmerken die aan dit object zijn gekoppeld waarden bevatten die mogelijk al zijn gekoppeld aan een ander object in uw lokale map.

Oorzaak

Dit probleem doet zich voor om een van de volgende redenen:

  • De domeinwaarde die wordt gebruikt door AD DS-kenmerken, is niet geverifieerd.

  • Een of meer objectkenmerken waarvoor een unieke waarde is vereist, hebben een dubbele kenmerkwaarde (zoals het kenmerk proxyAddresses of het kenmerk U serPrincipalName) in een bestaand gebruikersaccount.

  • Een of meer objectkenmerken zijn in strijd met opmaakvereisten die de tekens en de tekenlengte van kenmerkwaarden beperken.

  • Een of meer objectkenmerken komen overeen met uitsluitingsregels voor adreslijstsynchronisatie.

    In de volgende tabel ziet u de standaard synchronisatiebereikregels:

    Objecttype Kenmerknaam Voorwaarde van kenmerk wanneer synchronisatie mislukt
    Contactpersoon Displayname Bevat "MSOL"
    msExchHideFromAddressLists Is ingesteld op 'True'
    Groep waarvoor beveiliging is ingeschakeld isCriticalSystemObject Is ingesteld op 'True'
    Groepen waarvoor e-mail is ingeschakeld
    (beveiligingsgroep of distributielijst)    		 Proxyadressen

    en

    e-mail    		 Heeft geen SMTP:-adresvermelding

    en

    is niet aanwezig
    Contactpersonen met e-mail Proxyadressen

    en

    e-mail    		 Heeft geen SMTP:-adresvermelding

    en

    is niet aanwezig
    Inetorgperson Samaccountname Is niet aanwezig
    isCriticalSystemObject Is aanwezig
    Gebruiker mailNickName Begint met SystemMailbox
    mailNickName Begint met 'CAS_'

    en

    bevat "}"
    Samaccountname Begint met 'CAS_'

    en

    bevat "}"
    Samaccountname Is gelijk aan 'SUPPORT_388945a0'
    Samaccountname Is gelijk aan 'MSOL_AD_Sync'
    Samaccountname Is niet aanwezig
    isCriticalSystemObject Is ingesteld op 'True'

  • De USER Principal Name (UPN) is gewijzigd na de eerste synchronisatie en moet handmatig worden bijgewerkt.

  • Exchange Online SMTP-adressen (Simple Mail Transfer Protocol) van gesynchroniseerde gebruikers niet correct worden ingevuld in het on-premises Active Directory-schema.

Oplossing

U kunt dit probleem oplossen door een van de volgende methoden te gebruiken, afhankelijk van uw situatie.

Voer IdFix uit om te controleren op duplicaten, ontbrekende kenmerken en regelschendingen

Gebruik het Hulpprogramma voor foutherstel van IdFix DirSync om objecten en fouten te vinden die synchronisatie met Microsoft Entra ID verhinderen.

  • Als u 'Leeg' ziet in de kolom ERROR nadat u IdFix hebt uitgevoerd, is het kenmerk displayName van het object niet gedefinieerd. U kunt dit probleem oplossen door een waarde op te geven voor het kenmerk displayName van het object met behulp van de volgende stappen:
  1. Typ in de kolom UPDATE voor het object de naam van het kenmerk displayName.
  2. Klik in de kolom ACTIE op BEWERKEN en klik vervolgens op Toepassen.
  3. Herhaal stap 1 en 2 voor elk object met een lege vermelding in de kolom ERROR.
  4. Voer IdFix opnieuw uit om te zoeken naar meer objectfouten.
  • Als u 'Dupliceren' ziet in de kolom ERROR nadat u IdFix hebt uitgevoerd, hebben twee of meer objecten hetzelfde e-mailadres. U kunt dit probleem oplossen door een uniek e-mailadres voor het object op te geven met behulp van de volgende stappen:
  1. Typ in de kolom UPDATE voor het object een e-mailadres dat nog niet wordt gebruikt.
  2. Klik in de kolom ACTIE op BEWERKEN en klik vervolgens op Toepassen.
  3. Voer IdFix opnieuw uit om te zoeken naar meer objectfouten.

Kenmerkconflicten bepalen die worden veroorzaakt door objecten die niet zijn gemaakt in Microsoft Entra ID via adreslijstsynchronisatie

Voer de volgende stappen uit om kenmerkconflicten te bepalen die worden veroorzaakt door gebruikersobjecten die zijn gemaakt met behulp van beheerhulpprogramma's (en die niet zijn gemaakt in Microsoft Entra ID via adreslijstsynchronisatie):

  1. Bepaal de unieke kenmerken van het on-premises AD DS-gebruikersaccount. Voer hiervoor de volgende stappen uit op een computer waarop Windows-ondersteuningshulpprogramma's zijn geïnstalleerd:

    1. Selecteer Start, selecteer Uitvoeren, typ ldp.exe en selecteer vervolgens OK.

    2. Selecteer Verbinding, selecteer Verbinding maken, typ de computernaam van een AD DS-domeincontroller en selecteer vervolgens OK.

    3. Selecteer Verbinding, selecteer Binden en selecteer vervolgens OK.

    4. Selecteer Weergave, selecteer Structuurweergave, selecteer het AD DS-domein in de vervolgkeuzelijst BaseDN en selecteer vervolgens OK.

    5. Zoek in het navigatiedeelvenster het object dat niet correct wordt gesynchroniseerd en dubbelklik erop. Het detailvenster aan de rechterkant van het venster bevat alle objectkenmerken. In het volgende voorbeeld ziet u de objectkenmerken:

      Schermopname van het navigatie- en detailvenster van de Windows-ondersteuningshulpprogramma's met alle objectkenmerken.

    6. Noteer de waarden van het kenmerk userPrincipalName en elk SMTP-adres in het kenmerk proxyAddresses met meerdere waarden. U hebt deze waarden later nodig.

      Kenmerknaam Voorbeeld Opmerkingen
      Proxyadressen proxyAddresses (3): x500:/o=Exchange/ou=Exchange-beheergroep (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. Het getal dat tussen haakjes naast het kenmerklabel wordt weergegeven, geeft het aantal proxyadreswaarden in het kenmerk met meerdere waarden aan.

      2. Elke waarde van het proxyadres wordt aangegeven met een puntkomma (;).

      3. De waarde van het primaire SMTP-proxyadres wordt aangegeven met hoofdletters 'SMTP:'
      userPrincipalName 7628376@contoso.com

      Opmerking

      Ldp.exe is opgenomen in Windows Server 2008 en in de Ondersteuningshulpprogramma's voor Windows Server 2003. De Windows Server 2003-ondersteuningshulpprogramma's zijn opgenomen in de Windows Server 2003-installatiemedia. Als u de ondersteuningshulpprogramma's wilt verkrijgen, gaat u naar de volgende Microsoft-website: Windows Server 2003 Service Pack 2 32-bits ondersteuningshulpprogramma's

  2. Maak verbinding met Microsoft Entra ID met behulp van de Azure Active Directory-module voor Windows PowerShell. Ga voor meer informatie naar Microsoft Entra ID beheren met behulp van Windows PowerShell.

    Laat het consolevenster geopend. U moet deze gebruiken in de volgende stap.

  3. Controleer op de dubbele userPrincipalName-kenmerken.

    Typ in de consoleverbinding die u in stap 2 hebt geopend de volgende opdrachten in de volgorde waarin ze worden weergegeven. Druk na elke opdracht op Enter:

    $userUPN = "<search UPN>"

    Opmerking

    In deze opdracht vertegenwoordigt de tijdelijke aanduiding '<SEARCH UPN>' het kenmerk UserPrincipalName dat u hebt vastgelegd in stap 1f.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Opmerking

    Azure AD- en MSOnline PowerShell-modules zijn afgeschaft vanaf 30 maart 2024. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot hulp bij migratie naar Microsoft Graph PowerShell SDK en beveiligingspatches. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

    U wordt aangeraden te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: Versies 1.0.x van MSOnline kunnen na 30 juni 2024 worden onderbroken.

    Laat het consolevenster geopend. U gebruikt deze opnieuw in de volgende stap.

  4. Controleer op dubbele proxyAddresses-kenmerken. Voer in de consoleverbinding die u in stap 2 hebt geopend de volgende opdracht uit:

    Import-Module ExchangeOnlineManagement

  5. Voor elke proxyadresvermelding die u in stap 1f hebt vastgelegd, typt u de volgende opdrachten in de volgorde waarin ze worden weergegeven. Druk na elke opdracht op Enter:

    $proxyAddress = "<search proxyAddress>"

    Opmerking

    In deze opdracht vertegenwoordigt de tijdelijke aanduiding '<proxyAddress> zoeken' de waarde van een proxyAddresses-kenmerk dat u in stap 1f hebt vastgelegd.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Items die worden geretourneerd nadat u de opdrachten in stap 3 en 4 hebt uitgevoerd, vertegenwoordigen gebruikersobjecten die niet zijn gemaakt via adreslijstsynchronisatie en die kenmerken hebben die conflicteren met het object dat niet correct wordt gesynchroniseerd.

AD DS-kenmerken bijwerken om duplicaten, schendingen van regels en bereikuitsluitingen te verwijderen

Identificeer de specifieke kenmerken die synchronisatie verhinderen op basis van de volgende informatie:

  • E-mailberichten met beheerdersrechten
  • Het rapport uit de uitvoer van het hulpprogramma voor implementatiegereedheid van Office 365
  • Standaardbereikregels voor adreslijstsynchronisatie en aangepaste regels

Nadat een specifieke kenmerkwaarde is geïdentificeerd, bewerkt u de kenmerkwaarde met een van deze methoden:

  • Gebruik het hulpprogramma Active Directory: gebruikers en computers om de kenmerkwaarde te bewerken.
  1. Open Active Directory: gebruikers en computers en selecteer vervolgens het hoofdknooppunt van het AD DS-domein.
  2. Selecteer Weergave en zorg ervoor dat de optie Geavanceerde functies is geselecteerd.
  3. Zoek in het linkernavigatiedeelvenster het gebruikersobject, klik er met de rechtermuisknop op en selecteer vervolgens Eigenschappen.
  4. Zoek op het tabblad Object Editor het gewenste kenmerk. Selecteer Bewerken en bewerk vervolgens de kenmerkwaarde tot de gewenste waarde.
  5. Selecteer tweemaal OK.
  • Active Directory Service Interfaces (ADSI) Bewerken gebruiken om objectkenmerken in AD DS bij te werken. U kunt ADSI Edit downloaden en installeren als onderdeel van de Windows Server Toolkit. Als u ADSI Bewerken wilt gebruiken om kenmerken te bewerken, volgt u deze stappen.

Waarschuwing

Voor deze procedure is ADSI Edit vereist. Als u ADSI Edit onjuist gebruikt, kan dit ernstige problemen veroorzaken waardoor u uw besturingssysteem mogelijk opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die het gevolg zijn van het onjuiste gebruik van ADSI Edit, kunnen worden opgelost. Gebruik ADSI Bewerken op eigen risico.

  1. Selecteer Start, selecteer Uitvoeren, typ ADSIEdit.msc en selecteer vervolgens OK.
  2. Klik met de rechtermuisknop op ADSI Bewerken in het navigatiedeelvenster, selecteer Verbinding maken met en selecteer vervolgens OK om de domeinpartitie te laden.
  3. Zoek het gebruikersobject, klik er met de rechtermuisknop op en selecteer vervolgens Eigenschappen.
  4. Zoek in de lijst Kenmerken het gewenste kenmerk. Selecteer Bewerken en bewerk vervolgens de kenmerkwaarde tot de gewenste waarde.
  5. Selecteer twee keer OK en sluit ADSI Bewerken af.

Een nieuwe groep maken en deze toevoegen aan de ingebouwde groep die niet wordt gesynchroniseerd

Als u het probleem in het scenario wilt oplossen dat sommige ingebouwde groepen (zoals de groep Domeingebruikers) niet worden gesynchroniseerd, maakt u een nieuwe groep die alle toepasselijke leden en de juiste machtigingen van de ingebouwde groep bevat. Voeg vervolgens die groep toe als lid van de ingebouwde groep die niet is gesynchroniseerd. Gebruik de nieuwe groep in plaats van de ingebouwde groep om leden te beheren. Met deze methode beheert u nog steeds slechts één groep.

U wilt de kenmerken van de ingebouwde groep niet wijzigen of de bereikregels van het apparaat voor identiteitssynchronisatie wijzigen, zodat kritieke systeemobjecten kunnen worden gesynchroniseerd. Dit kan ander onverwacht gedrag veroorzaken.

SMTP-matching gebruiken om ervoor te zorgen dat een on-premises gebruikersobject wordt gesynchroniseerd met een bestaand gebruikersobject

Zie SMTP-overeenkomsten gebruiken om on-premises gebruikersaccounts te koppelen aan Office 365 gebruikersaccounts voor adreslijstsynchronisatie voor meer informatie.

UPN van een gebruikersaccount handmatig bijwerken

Voer de volgende stappen uit om een UPN van een gebruikersaccount bij te werken die is gelicentieerd nadat de eerste adreslijstsynchronisatie is uitgevoerd:

  1. Installeer Azure Active Directory v2 PowerShell-module. Zie Azure Active Directory v2 PowerShell-module voor meer informatie.

  2. Voer de volgende cmdlets uit bij de PowerShell-prompt van Azure Active Directory v2:

    $cred = get-credential

    Opmerking

    Wanneer u hierom wordt gevraagd, voert u uw beheerdersreferenties in.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

SMTP-adressen van gebruikers bijwerken met behulp van on-premises Active Directory-kenmerken

Wanneer SMTP-kenmerken niet op een verwachte manier met Exchange Online worden gesynchroniseerd, moet u mogelijk de on-premises Active Directory kenmerken bijwerken. Als u on-premises Active Directory kenmerken wilt bijwerken zodat het juiste e-mailadres wordt weergegeven in Exchange Online, gebruikt u Oplossing 2 om de kenmerken in de volgende tabel te bewerken.

Naam van on-premises Active Directory-kenmerk Voorbeeld van on-premises Active Directory-kenmerkwaarde Voorbeeld van Exchange Online e-mailadressen
Proxyadressen SMTP:user1@contoso.com Primaire SMTP: user1@contoso.com
Secundaire SMTP: user1@contoso.onmicrosoft.com
Proxyadressen Smtp:user1@contoso.com Primaire SMTP: user1@contoso.onmicrosoft.com secundaire SMTP: user1@contoso.com
Proxyadressen SMTP:user1@contoso.com
Smtp:user1@sub.contoso.com		 Primaire SMTP: user1@contoso.com
Secundaire SMTP: user1@sub.contoso.com
Secundaire SMTP: user1@contoso.onmicrosoft.com
e-mail User1@contoso.com Primaire SMTP: user1@contoso.com
Secundaire SMTP: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com Primaire SMTP: user1@contoso.com
Secundaire SMTP: user1@contoso.onmicrosoft.com

De vermelding Microsoft Online Email Routing Address (MOERA) die is gekoppeld aan het standaarddomein (zoals user1@contoso.onmicrosoft.com) is een geïnterpreteerde waarde die is gebaseerd op de alias van een gebruikersaccount. Dit speciale e-mailadres is onlosmakelijk gekoppeld aan elke Exchange Online ontvanger. U kunt geen extra MOERA-adressen voor geadresseerden beheren, verwijderen of maken. Het MOERA-adres kan echter overschreven worden als het primaire SMTP-adres met behulp van de kenmerken in het on-premises Active Directory gebruikersobject.

Opmerking

De aanwezigheid van gegevens in het kenmerk proxyAddresses maskert gegevens in het kenmerk e-mail volledig voor Exchange Online e-mailadrespopulatie.

Opmerking

De aanwezigheid van gegevens in het kenmerk proxyAddresses, het e-mailkenmerk of beide kenmerken maskeren userPrincipalName-gegevens volledig voor Exchange Online e-mailadrespopulatie. De UPN kan worden gebruikt voor het beheren van e-mailadressen. Een beheerder kan echter besluiten het e-mailadres en de UPN afzonderlijk te beheren door proxyAddresses of e-mailkenmerken in te vullen.

We raden u ten zeerste aan om een van deze kenmerken consistent te gebruiken voor het beheren van Exchange Online e-mailadressen voor gesynchroniseerde gebruikers.

Meer informatie

Voor de Windows PowerShell opdrachten die in dit artikel worden vermeld, is de Azure Active Directory-module voor Windows PowerShell vereist. Zie het volgende artikel voor meer informatie over de Azure Active Directory-module voor Windows PowerShell:
Beheer Microsoft Entra ID met Windows PowerShell.

Zie het volgende Microsoft TechNet-wikiartikel voor meer informatie over het filteren van adreslijstsynchronisatie op kenmerken:
Lijst met kenmerken die worden gesynchroniseerd met het Azure Active Directory-synchronisatieprogramma

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.