Azure Active Directory Eşitleme aracı kullanılırken bir veya daha fazla nesne eşitlenmiyor

  • Makale

Bu makalede, bir veya daha fazla Active Directory Domain Services (AD DS) nesne özniteliğinin Azure Active Directory Eşitleme aracı aracılığıyla Microsoft Entra ID eşitlenmemeye neden olan bir sorun giderilir.

Özgün ürün sürümü: Cloud Services (Web rolleri/Çalışan rolleri), Microsoft Entra ID, Microsoft Intune, Azure Backup Office 365 Kimlik Yönetimi
Özgün KB numarası: 2643629

Not

Bu makale yardımcı oldu mu? Girdileriniz bizim için önemlidir. Bu makalenin sizin için ne kadar iyi çalıştığını veya nasıl geliştirebileceğimizi bize bildirmek için lütfen bu sayfadaki Geri Bildirim düğmesini kullanın.

Belirtiler

Bir veya daha fazla AD DS nesnesi veya özniteliği beklendiği gibi Microsoft Entra ID eşitlenmiyor. Active Directory eşitlemesi çalıştırıldığında, bir nesne eşitlenmez ve aşağıdaki belirtilerden biriyle karşılaşırsınız:

  • Bir özniteliğin yinelenen bir değeri olduğunu belirten bir hata iletisi alırsınız.
  • Bir veya daha fazla özniteliğin karakter kümesi veya karakter uzunluğu gibi biçimlendirme gereksinimlerini ihlal ettiğini belirten bir hata iletisi alırsınız.
  • Hata iletisi almazsınız ve dizin eşitlemesi tamamlanmış gibi görünüyor. Ancak, bazı nesneler veya öznitelikler beklendiği gibi güncelleştirilmez.

Alabileceğiniz hata iletisine bazı örnekler:

Microsoft Online Services dizininizde aynı proxy adresine sahip eşitlenmiş bir nesne zaten var.

Kullanıcı kimliği bulunamadığından bu nesne güncelleştirilemiyor.

Bu nesneyle ilişkilendirilmiş aşağıdaki öznitelikler yerel dizininizdeki başka bir nesneyle zaten ilişkili olabilecek değerlere sahip olduğundan, Microsoft Online Services'da bu nesne güncelleştirilemiyor.

Neden

Bu sorun aşağıdaki nedenlerden biriyle oluşur:

  • AD DS öznitelikleri tarafından kullanılan etki alanı değeri doğrulanmadı.

  • Benzersiz bir değer gerektiren bir veya daha fazla nesne özniteliğinin var olan bir kullanıcı hesabında yinelenen öznitelik değeri (proxyAddresses özniteliği veya U serPrincipalName özniteliği gibi) vardır.

  • Bir veya daha fazla nesne özniteliği, öznitelik değerlerinin karakterlerini ve karakter uzunluğunu kısıtlayan biçimlendirme gereksinimlerini ihlal eder.

  • Bir veya daha fazla nesne özniteliği, dizin eşitlemesi için dışlama kurallarıyla eşleşmektedir.

    Aşağıdaki tabloda varsayılan eşitleme kapsam kuralları gösterilmektedir:

    Nesne türü Öznitelik adı Eşitleme başarısız olduğunda özniteliğin koşulu
    Kişi Displayname "MSOL" içerir
    msExchHideFromAddressLists "True" olarak ayarlanır
    Güvenlik özellikli grup isCriticalSystemObject "True" olarak ayarlanır
    Posta etkin gruplar
    (güvenlik grubu veya dağıtım listesi)    		 Proxyaddresses

    ve

    posta    		 "SMTP:" adres girdisi yok

    ve

    yok
    Posta etkin kişiler Proxyaddresses

    ve

    posta    		 "SMTP:" adres girdisi yok

    ve

    yok
    ınetorgperson Samaccountname Mevcut değil
    isCriticalSystemObject Var mı?
    Kullanıcı Mailnickname "SystemMailbox" ile başlar
    Mailnickname "CAS_" ile başlar

    ve

    "}" içeriyor
    Samaccountname "CAS_" ile başlar

    ve

    "}" içeriyor
    Samaccountname Eşittir "SUPPORT_388945a0"
    Samaccountname Eşittir "MSOL_AD_Sync"
    Samaccountname Mevcut değil
    isCriticalSystemObject "True" olarak ayarlanır

  • İlk eşitlemeden sonra kullanıcı asıl adı (UPN) değiştirildi ve el ile güncelleştirilmelidir.

  • Exchange Online Eşitlenen kullanıcıların Basit Posta Aktarım Protokolü (SMTP) adresleri şirket içi Active Directory şemasında uygun şekilde doldurulmuyor.

Çözüm

Bu sorunu çözmek için, durumunuz için uygun olan aşağıdaki yöntemlerden birini kullanın.

Yinelenenleri, eksik öznitelikleri ve kural ihlallerini denetlemek için IdFix'i çalıştırın

Microsoft Entra ID eşitlemeyi engelleyen nesneleri ve hataları bulmak için IdFix DirSync Hata Düzeltme Aracı'nı kullanın.

  • IdFix'i çalıştırdıktan sonra ERROR sütununda "Boş" ifadesini görürseniz, nesnenin displayName özniteliği tanımlanmamıştır. Bu sorunu çözmek için aşağıdaki adımları kullanarak nesnenin displayName özniteliği için bir değer belirtin:
  1. Nesnenin UPDATE sütununa displayName özniteliğinin adını yazın.
  2. EYLEM sütununda DÜZENLE'ye ve ardından Uygula'ya tıklayın.
  3. ERROR sütununda "boş" girişi olan her nesne için 1. ve 2. adımları yineleyin.
  4. Daha fazla nesne hatası aramak için IdFix'i yeniden çalıştırın.
  • IdFix'i çalıştırdıktan sonra ERROR sütununda "Çoğalt" ifadesini görürseniz, iki veya daha fazla nesne aynı e-posta adresine sahiptir. Bu sorunu çözmek için şu adımları kullanarak nesne için benzersiz bir e-posta adresi belirtin:
  1. Nesnenin UPDATE sütununa, önceden kullanılmayan bir e-posta adresi yazın.
  2. EYLEM sütununda DÜZENLE'ye ve ardından Uygula'ya tıklayın.
  3. Daha fazla nesne hatası aramak için IdFix'i yeniden çalıştırın.

dizin eşitlemesi aracılığıyla Microsoft Entra ID oluşturulmamış nesnelerin neden olduğu öznitelik çakışmalarını belirleme

Yönetim araçları kullanılarak oluşturulan (ve dizin eşitlemesi aracılığıyla Microsoft Entra ID oluşturulmamış) kullanıcı nesnelerinin neden olduğu öznitelik çakışmalarını belirlemek için şu adımları izleyin:

  1. Şirket içi AD DS kullanıcı hesabının benzersiz özniteliklerini belirleyin. Bunu yapmak için, Windows Destek Araçları'nın yüklü olduğu bir bilgisayarda şu adımları izleyin:

    1. Başlat'ı seçin, Çalıştır'ı seçin, ldp.exe yazın ve tamam'ı seçin.

    2. Bağlantı'yı seçin, Bağlan'ı seçin, ad DS etki alanı denetleyicisinin bilgisayar adını yazın ve tamam'ı seçin.

    3. Bağlantı'yı seçin, Bağla'yı ve ardından Tamam'ı seçin.

    4. Görünüm'ü seçin, Ağaç Görünümü'nü seçin, BaseDN açılan listesinde AD DS etki alanını seçin ve ardından Tamam'ı seçin.

    5. Gezinti bölmesinde, doğru eşitlenmemiş nesneyi bulup çift tıklatın. Pencerenin sağ tarafındaki Ayrıntılar bölmesi tüm nesne özniteliklerini listeler. Aşağıdaki örnekte nesne öznitelikleri gösterilmektedir:

      Tüm nesne özniteliklerini listeleyen Windows Destek Araçları'nın gezinti ve ayrıntılar bölmesinin ekran görüntüsü.

    6. userPrincipalName özniteliğinin ve her SMTP adresinin değerlerini çok değerli proxyAddresses özniteliğine kaydedin. Bu değerlere daha sonra ihtiyacınız olacak.

      Öznitelik adı Örnek Notlar
      Proxyaddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Yönetim Grubu (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. Öznitelik etiketinin yanında parantez içinde görüntülenen sayı, çok değerli öznitelikteki proxy adresi değerlerinin sayısını gösterir.

      2. Her ayrı proxy adresi değeri noktalı virgülle (;)) gösterilir.

      3. Birincil SMTP proxy adresi değeri büyük harf "SMTP:" ile gösterilir
      Userprincipalname 7628376@contoso.com

      Not

      Ldp.exe, Windows Server 2008'e ve Windows Server 2003 Destek Araçları'na dahildir. Windows Server 2003 Destek Araçları, Windows Server 2003 yükleme medyasında yer alır. Veya Destek Araçları'nı edinmek için şu Microsoft web sitesine gidin: Windows Server 2003 Service Pack 2 32 bit Destek Araçları

  2. Windows PowerShell için Azure Active Directory modülünü kullanarak Microsoft Entra ID bağlanın. Daha fazla bilgi için Windows PowerShell kullanarak Microsoft Entra ID yönetme bölümüne gidin.

    Konsol penceresini açık bırakın. Sonraki adımda bunu kullanmanız gerekir.

  3. Yinelenen userPrincipalName özniteliklerini denetleyin.

    2. adımda açtığınız konsol bağlantısında, aşağıdaki komutları sunuldukları sırayla yazın. Her komut sonrasında Enter tuşuna basın:

    $userUPN = "<search UPN>"

    Not

    Bu komutta, "<search UPN>" yer tutucusu 1f. adımda kaydettiğiniz UserPrincipalName özniteliğini temsil eder.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Not

    Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

    Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

    Konsol penceresini açık bırakın. Sonraki adımda yeniden kullanacaksınız.

  4. Yinelenen proxyAddresses özniteliklerini denetleyin. 2. adımda açtığınız konsol bağlantısında aşağıdaki komutu çalıştırın:

    Import-Module ExchangeOnlineManagement

  5. 1f. adımda kaydettiğiniz her proxy adresi girdisi için, aşağıdaki komutları sunuldukları sırayla yazın. Her komut sonrasında Enter tuşuna basın:

    $proxyAddress = "<search proxyAddress>"

    Not

    Bu komutta, "<search proxyAddress>" yer tutucusu, 1f. adımda kaydettiğiniz proxyAddresses özniteliğinin değerini temsil eder.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

3. ve 4. adımda komutları çalıştırdıktan sonra döndürülen öğeler, dizin eşitlemesi aracılığıyla oluşturulmamış ve doğru eşitlenmemiş nesneyle çakışan özniteliklere sahip kullanıcı nesnelerini temsil eder.

Yinelenenleri, kural ihlallerini ve kapsam belirleme dışlamalarını kaldırmak için AD DS özniteliklerini güncelleştirme

Aşağıdaki bilgilere dayanarak eşitlemeyi engelleyen belirli öznitelikleri belirleyin:

  • Yönetim e-posta iletileri
  • Office 365 Dağıtım Hazırlığı Aracı'nın çıktısından gelen rapor
  • Varsayılan dizin eşitleme kapsam kuralları ve özel kurallar

Belirli bir öznitelik değeri tanımlandıktan sonra, öznitelik değerini şu yöntemlerden birini kullanarak düzenleyin:

  • Öznitelik değerini düzenlemek için Active Directory Kullanıcıları ve Bilgisayarları aracını kullanın.
  1. Active Directory Kullanıcıları ve Bilgisayarları açın ve AD DS etki alanının kök düğümünü seçin.
  2. Görünüm'ü seçin ve Gelişmiş Özellikler seçeneğinin belirlendiğinden emin olun.
  3. Sol gezinti bölmesinde kullanıcı nesnesini bulun, sağ tıklayın ve özellikler'i seçin.
  4. Nesne Düzenleyici sekmesinde, istediğiniz özniteliği bulun. Düzenle'yi seçin ve öznitelik değerini istediğiniz değerle düzenleyin.
  5. İki kez Tamam'ı seçin.
  • AD DS'deki nesne özniteliklerini güncelleştirmek için Active Directory Hizmet Arabirimleri (ADSI) Düzenleme'yi kullanın. ADSI Düzenleme'yi Windows Server Araç Seti'nin bir parçası olarak indirip yükleyebilirsiniz. Öznitelikleri düzenlemek için ADSI Düzenle'yi kullanmak için şu adımları izleyin.

Uyarı

Bu yordam ADSI Düzenleme gerektirir. ADSI Düzenleme'nin yanlış kullanılması, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilir. Microsoft, ADSI Düzenleme'nin yanlış kullanımından kaynaklanan sorunların çözülebileceğini garanti edemez. ADSI Düzenleme'yi kendi riskinizle kullanın.

  1. Başlat'ı seçin, Çalıştır'ı seçin, ADSIEdit.msc yazın ve tamam'ı seçin.
  2. Gezinti bölmesinde ADSI Düzenle'ye sağ tıklayın, Bağlan'ı seçin ve ardından Tamam'ı seçerek etki alanı bölümünü yükleyin.
  3. Kullanıcı nesnesini bulun, sağ tıklayın ve özellikler'i seçin.
  4. Öznitelikler listesinde, istediğiniz özniteliği bulun. Düzenle'yi seçin ve öznitelik değerini istediğiniz değerle düzenleyin.
  5. İki kez Tamam'ı seçin ve adsi düzenlemeden çıkın.

Yeni bir grup oluşturun ve bunu eşitlenmeyen yerleşik gruba ekleyin

Bazı yerleşik grupların (Etki Alanı Kullanıcıları grubu gibi) eşitlenmediği senaryodaki sorunu çözmek için, tüm geçerli üyeleri ve yerleşik grubun uygun izinlerini içeren yeni bir grup oluşturun. Ardından, bu grubu eşitlenmemiş yerleşik gruba üye olarak ekleyin. Üyeleri yönetmek için yerleşik grup yerine yeni grubu kullanın. Bu yöntemi kullanarak yalnızca bir grubu yönetmeye devam edebilirsiniz.

Yerleşik grubun özniteliklerini değiştirmek veya kritik sistem nesnelerinin eşitlenmesine izin vermek için kimlik eşitleme aletinin kapsam kurallarını değiştirmek istemezsiniz. Diğer beklenmeyen davranışları tetikleyebilir.

Şirket içi kullanıcı nesnesinin mevcut bir kullanıcı nesnesiyle eşitlenmesine neden olmak için SMTP eşleştirmesini kullanma

Daha fazla bilgi için bkz. Şirket içi kullanıcı hesaplarını dizin eşitlemesi için kullanıcı hesaplarıyla Office 365 eşleştirmek için SMTP eşleştirmeyi kullanma.

Kullanıcı hesabı UPN'sini el ile güncelleştirme

İlk dizin eşitlemesi gerçekleştikten sonra lisanslanan bir kullanıcı hesabı UPN'sini güncelleştirmek için şu adımları izleyin:

  1. Azure Active Directory v2 PowerShell Modülünü yükleyin. Daha fazla bilgi için bkz. Azure Active Directory v2 PowerShell Modülü.

  2. Azure Active Directory v2 PowerShell isteminde aşağıdaki cmdlet'leri çalıştırın:

    $cred = get-credential

    Not

    İstendiğinde yönetici kimlik bilgilerinizi girin.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

şirket içi Active Directory özniteliklerini kullanarak kullanıcı SMTP adreslerini güncelleştirme

SMTP öznitelikleri Exchange Online beklenen şekilde eşitlenmediğinde, şirket içi Active Directory özniteliklerini güncelleştirmeniz gerekebilir. şirket içi Active Directory özniteliklerini doğru e-posta adresinin Exchange Online görüntülenerek güncelleştirilmesi için, çözüm 2'yi kullanarak aşağıdaki tabloda yer alan öznitelikleri işleyin.

Şirket içi Active Directory öznitelik adı Örnek Şirket İçi Active Directory öznitelik değeri Örnek Exchange Online e-posta adresleri
Proxyaddresses SMTP:user1@contoso.com Birincil SMTP: user1@contoso.com
İkincil SMTP: user1@contoso.onmicrosoft.com
Proxyaddresses Smtp:user1@contoso.com Birincil SMTP: user1@contoso.onmicrosoft.com İkincil SMTP: user1@contoso.com
Proxyaddresses SMTP:user1@contoso.com
Smtp:user1@sub.contoso.com		 Birincil SMTP: user1@contoso.com
İkincil SMTP: user1@sub.contoso.com
İkincil SMTP: user1@contoso.onmicrosoft.com
posta User1@contoso.com Birincil SMTP: user1@contoso.com
İkincil SMTP: user1@contoso.onmicrosoft.com
Userprincipalname User1@contoso.com Birincil SMTP: user1@contoso.com
İkincil SMTP: user1@contoso.onmicrosoft.com

Varsayılan etki alanıyla (örneğinuser1@contoso.onmicrosoft.com) ilişkili Microsoft Online Email Yönlendirme Adresi (MOERA) girişi, kullanıcı hesabının diğer adını temel alan yorumlanmış bir değerdir. Bu özel e-posta adresi, her Exchange Online alıcıya sınırsız olarak bağlanır. Hiçbir alıcı için ek MOERA adreslerini yönetemez, silemez veya oluşturamazsınız. Ancak MOERA adresi, şirket içi Active Directory kullanıcı nesnesindeki öznitelikler kullanılarak birincil SMTP adresi olarak aşırı ridden geçirilebilir.

Not

proxyAddresses özniteliğindeki verilerin varlığı, Exchange Online e-posta adresi popülasyonu için posta özniteliğindeki verileri tamamen maskeler.

Not

proxyAddresses özniteliğinde, posta özniteliğinde veya her iki öznitelikte verilerin varlığı, Exchange Online e-posta adresi popülasyonu için UserPrincipalName verilerini tamamen maskeler. UPN, e-posta adreslerini yönetmek için kullanılabilir. Ancak, bir yönetici proxyAddresses veya posta özniteliklerini doldurarak e-posta adresini ve UPN'yi ayrı ayrı yönetmeye karar verebilir.

Eşitlenen kullanıcılar için Exchange Online e-posta adreslerini yönetmek için bu özniteliklerden birinin tutarlı bir şekilde kullanılmasını kesinlikle öneririz.

Daha fazla bilgi

Bu makalede bahsedilen Windows PowerShell komutları, Windows PowerShell için Azure Active Directory modülünü gerektirir. Windows PowerShell için Azure Active Directory modülü hakkında daha fazla bilgi için aşağıdaki makaleye bakın:
Windows PowerShell kullanarak Microsoft Entra ID yönetin.

Dizin eşitlemesini özniteliklere göre filtreleme hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet wiki makalesine bakın:
Azure Active Directory Eşitleme Aracı tarafından Eşitlenen Özniteliklerin Listesi

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.