Duplicerade eller ogiltiga attribut förhindrar katalogsynkronisering i Microsoft 365

  • Artikel
  • Gäller för:
    Azure Active Directory, Microsoft 365

Symptom

I Microsoft 365 får en administratör följande e-postmeddelandevarning när katalogsynkroniseringen är klar:

From: [MSOnlineServicesTeam@MicrosoftOnline.com](mailto:msonlineservicesteam@microsoftonline.com)Subject: Directory Synchronization Error Report

Felrapporten i e-postmeddelandet kan innehålla ett eller flera av följande felmeddelanden:

  • Det finns redan ett synkroniserat objekt med samma proxyadress i katalogen Microsoft Online Services.
  • Det gick inte att uppdatera det här objektet eftersom användar-ID:t inte hittades.
  • Det går inte att uppdatera det här objektet i Microsoft Online Services eftersom följande attribut som är associerade med det här objektet har värden som kanske redan är associerade med ett annat objekt i din lokala katalog.
  • Det gick inte att uppdatera det här objektet eftersom följande attribut som är associerade med det här objektet har värden som kanske redan är associerade med ett annat objekt i dina lokala katalogtjänster: [UserPrincipalName john@contoso.com;]. Korrigera eller ta bort dubblettvärdena i din lokala katalog.
  • Det går inte att uppdatera det här objektet eftersom följande attribut som är associerade med det här objektet har värden som kanske redan är associerade med ett annat objekt i dina lokala katalogtjänster: [ProxyAddresses SMTP:john@contoso.com;]. Korrigera eller ta bort dubblettvärdena i din lokala katalog.

Om du kör Microsoft Entra ID (Connect) Sync Service loggas dessutom en instans av händelse-ID 6941 som innehåller något av följande felmeddelanden i Loggboken för programinloggning:

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error. 

Error Name: AttributeValueMustBeUnique
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [UserPrincipalName john@contoso.com;]. Correct or remove the duplicate values in your local directory. Please refer to https://support.microsoft.com/kb/2647098 for more information on identifying objects with duplicate attribute values.

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error.

Error Name: InvalidSoftMatch
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [ProxyAddresses SMTP:john@contoso.com;]. Correct or remove the duplicate values in your local directory.

Orsak

Det här problemet kan inträffa om användarobjekt i lokal Active Directory Domain Services-schemat (AD DS) har dubbla eller ogiltiga aliasvärden, och om dessa användarobjekt inte synkroniseras från AD DS-schemat till Microsoft 365 korrekt under katalogsynkronisering.

Alla aliasvärden i Microsoft 365 måste vara unika för en viss organisation. Även om du har flera unika suffix efter at sign (@) i SMTP-adressen (Simple Mail Transfer Protocol) måste alla aliasvärden vara unika.

I en lokal miljö kan du ha aliasvärden som är samma så länge de är unika baserat på suffixen efter vid inloggningen (@) i SMTP-adressen.

Om du skapar objekt som har dubbla aliasvärden i molnet för Microsoft 365 har ett alias ett unikt nummer tillagt för att göra aliasen unika. (Om dubblettaliasvärdena till exempel är "Albert" blir en av dem "Albert2" automatiskt. Om "Albert2" redan används blir aliaset "Albert3" och så vidare.) Men om objekt som har dubbla aliasvärden skapas i din lokala AD DS uppstår en objektkollision när katalogsynkroniseringen körs och objektsynkroniseringen misslyckas.

Lösning

Lös problemet genom att fastställa duplicerade värden och värden som är i konflikt med andra AD DS-objekt. Om du vill göra det använder du någon av följande metoder.

Metod 1: Använd IdFix-Microsoft Entra synkroniseringsverktyg för felreparationsverktyg

Använd verktyget IdFix Microsoft Entra Synchronization Tool Error Remediation för att identifiera duplicerade eller ogiltiga attribut. Information om hur du löser dubbletter av attribut med hjälp av IdFix-verktyget finns i följande artikel i Microsoft Knowledge Base:

2857385 "Duplicera" visas i kolumnen ERROR för två eller flera objekt när du har kört IdFix-verktyget

Metod 2: Mappa en befintlig lokal användare till en Microsoft Entra användare

Det gör du genom att läsa följande artikel i Microsoft Knowledge Base:

2641663 Så här använder du SMTP-matchning för att matcha lokala användarkonton med Microsoft 365-användarkonton för katalogsynkronisering

Metod 3: Fastställa attributkonflikter som orsakas av objekt som inte har skapats i Microsoft Entra ID via katalogsynkronisering

Följ dessa steg för att fastställa attributkonflikter som orsakas av användarobjekt som har skapats med hjälp av Microsoft 365-hanteringsverktyg (och som inte skapades i Microsoft Entra ID via katalogsynkronisering):

  1. Fastställ de unika attributen för det lokala AD DS-användarkontot. Det gör du genom att följa dessa steg på en dator som har Windows Support Tools installerat:

    1. Klicka på Start, klicka på Kör, skriv ldp.exe och klicka sedan på OK.

    2. Klicka på Anslutning, klicka på Anslut, skriv datornamnet på en AD DS-domänkontrollant och klicka sedan på OK.

    3. Klicka på Anslutning, klicka på Bind och klicka sedan på OK.

    4. Klicka på Visa, klicka på Trädvy, välj AD DS-domänen i listrutan BaseDN och klicka sedan på OK.

    5. Leta upp och dubbelklicka på objektet som inte synkroniseras korrekt i navigeringsfönstret. I fönstret Information till höger i fönstret visas alla objektattribut. I följande exempel visas objektattributen:

      Skärmbild som visar ett exempel på objektattribut.

    6. Registrera värdena för attributet userPrincipalName och varje SMTP-adress i attributet proxyAddresses med flera värden. Du behöver dessa värden senare.

      Attributnamn Exempel Anteckningar
      Proxyaddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (GroupName)/cn=Recipients/cn=GUID; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com; Talet som visas inom parentes bredvid attributetiketten anger antalet proxyadressvärden i flervärdesattributet. Varje distinkt proxyadressvärde anges med semikolon (;). Det primära SMTP-proxyadressvärdet anges med versaler som "SMTP:"
      userPrincipalName 7628376@contoso.com

      Obs!

      Ldp.exe ingår i Windows Server 2008 och i Windows Server 2003 Support Tools. Windows Server 2003 Support Tools ingår i installationsmediet för Windows Server 2003. Om du vill hämta verktyget går du till följande Microsoft-webbplats: Windows Server 2003 Service Pack 2 32-bitars supportverktyg

  2. Anslut till Microsoft 365 med hjälp av Azure Active Directory-modulen för Windows PowerShell. Gör så här:

    1. Klicka på Start, klicka på Alla program, klicka på Microsoft Entra ID och klicka sedan på Azure Active Directory-modulen för Windows PowerShell.

    2. Skriv följande kommandon i den ordning de visas och tryck på Retur efter varje kommando:

      $cred = get-credential

      Obs!

      När du uppmanas att göra det anger du dina autentiseringsuppgifter för Microsoft 365-administratören.

      Connect-MSOLService –credential $cred

      Obs!

      Azure AD- och MSOnline PowerShell-modulerna är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med den 30 mars 2025.

      Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Observera: Version 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

      Låt konsolfönstret vara öppet. Du måste använda den i nästa steg.

  3. Sök efter de duplicerade userPrincipalName-attributen i Microsoft 365.

    I konsolanslutningen som du öppnade i steg 2 skriver du följande kommandon i den ordning de visas och trycker på Retur efter varje kommando:

    $userUPN = "<search UPN>"

    Obs!

    I det här kommandot representerar platshållaren "search UPN" attributet UserPrincipalName som du registrerade i steg 1f.

    get-msoluser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Låt konsolfönstret vara öppet. Du använder den igen i nästa steg.

  4. Sök efter duplicerade proxyAddressesattributes. I konsolanslutningen som du öppnade i steg 2 skriver du följande kommandon i den ordning de visas och trycker på Retur efter varje kommando:

    $UserCredential = Get-Credential
Connect-ExchangeOnline -Credential $UserCredential

  5. För varje proxyadresspost som du registrerade i steg 1f skriver du följande kommandon i den ordning de visas och trycker på Retur efter varje kommando:

    $proxyAddress = "<search proxyAddress>"

    Obs!

    I det här kommandot representerar platshållaren "search proxyAddress" värdet för ett proxyAddresses-attribut som du registrerade i steg 1f.

    Get-EXOMailbox | Where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MsolUser -ObjectID $_.ExternalDirectoryObjectId | Where {($_.LastDirSyncTime -eq $null)}}

Objekt som returneras när du har kört kommandona i steg 3 och 4 representerar användarobjekt som inte har skapats via katalogsynkronisering och som har attribut som står i konflikt med objektet som inte synkroniseras korrekt.

När du har fastställt motstridiga eller ogiltiga attributvärden kan du felsöka problemet genom att följa stegen i följande Microsoft Knowledge Base-artikel:

2643629 Ett eller flera objekt synkroniseras inte när Azure Active Directory Sync-verktyget används

Mer information

De Windows PowerShell kommandona i den här artikeln kräver Azure Active Directory-modulen för Windows PowerShell. Mer information om Azure Active Directory-modulen för Windows PowerShell finns på följande Microsoft-webbplats:

Microsoft Entra cmdletar

Behöver du fortfarande hjälp? Gå till Microsoft Community.