Nav sinhronizēt vienu vai vairākus objektus, lietojot rīku Azure Active Directory sinhronizēšana

SVARĪGI! Šis raksts ir tulkots, izmantojot Microsoft mašīntulkošanas programmatūru, un, iespējams, labots, izmantojot tehnoloģiju Community Translation Framework (CTF). Korporācija Microsoft publicē gan ar mašīntulkošanas programmatūru tulkotus rakstus, ko pēc tam rediģējuši kopienas pārstāvji, gan arī tulkotāju tulkotus rakstus, lai visi zināšanu bāzes raksti būtu pieejami vairākās valodās. Ar mašīntulkošanas programmatūru tulkotajos un kopienas pārstāvju rediģētajos tekstos var būt vārdu izvēles, sintakses un/vai gramatikas kļūdas. Korporācija Microsoft neuzņemas atbildību ne par kādām neprecizitātēm, kļūdām vai kaitējumu, kas radies nepareiza satura tulkojuma vai tā izmantošanas dēļ. Papildinformācija par CTF ir pieejama šeit: http://support.microsoft.com/gp/machine-translation-corrections/lv.

Noklikšķiniet šeit, lai skatītu šī raksta versiju angļu valodā: 2643629
PROBLĒMAS
Vienam vai vairākiem domēna pakalpojumā Active Directory (AD DS) objektiem vai atribūti nav sinhronizēt Microsoft Azure Active Directory (Azure AD) kā paredzēts. Darbojoties Active Directory sinhronizācijas objekts netiek sinhronizēti un var novērot kādu no šīm pazīmēm:
  • Tiek parādīts kļūdas ziņojums, kurā norādīts, ka atribūts ir vērtību dublikātus.
  • Tiek parādīts kļūdas ziņojums par to, ka viens vai vairāki atribūtu pretrunā tās prasības, piemēram, rakstzīmju kopu vai rakstzīmju garums.
  • Netiek parādīts kļūdas ziņojums, un direktorija sinhronizēšana šķiet pabeigt. Tomēr dažu objektu vai atribūti nav atjaunināts, kā paredzēts.
Daži piemēri kļūdas ziņojums var tikt parādīts šādi:
  • Microsoft Online Services direktorija sinhronizēti objektu ar pašu starpniekservera adrese jau pastāv.
  • Nevar atjaunināt šim objektam, jo nav atrasts lietotāja ID.
  • Nevar atjaunināt šim objektam Microsoft Online Services, jo šādi atribūti, kas saistīti ar šī objekta vērtības, iespējams, jau ir saistīts ar citu objektu lokālajā direktorijā.
IEMESLS
Šo problēmu var izraisīt kāds no šiem iemesliem:
  • Domēna vērtība, ko izmanto AD DS atribūti nav pārbaudīta.
  • Vienu vai vairākus objekta atribūti, kas nepieciešama unikāla vērtība ir dublēti atribūta vērtība (piemēram, proxyAddresses atribūtu vai UserPrincipalName atribūta) lietotāja konts.
  • Vienu vai vairākus objekta atribūti pretrunā tās prasības, kas ierobežotu rakstzīmes un atribūtu vērtības rakstzīmi ilgumu.
  • Vienu vai vairākus objekta atribūti atbilst izslēgšanas kārtulas direktoriju.

    Tālāk redzamajā tabulā ir noklusētais sinhronizācijas tvēruma kārtulas:
    objekta tipsAtribūta vārds un uzvārdsAtribūtu, sinhronizācija neizdodas stāvoklis
    kontaktpersonaDisplayNameSatur "MSOL"
    msExchHideFromAddressListsIr iestatīts kā "True"
    Iespējota drošības grupaisCriticalSystemObjectIr iestatīts kā "True"
    Pasta grupas
    (drošības grupu vai adresātu saraksts)
    proxyAddresses

    un

    pasta
    Nav "SMTP:" adreses ieraksts

    un

    nav
    Pasta kontaktpersonasproxyAddresses

    un

    pasta
    Nav "SMTP:" adreses ieraksts

    un

    nav
    iNetOrgPersonsAMAccountNameNav
    isCriticalSystemObjectIr vīruss
    LietotājsmailNickNameSākas ar "SystemMailbox"
    mailNickNameSākas ar "CAS_"

    un

    satur "{"
    sAMAccountNameSākas ar "CAS_"

    un

    satur "}"
    sAMAccountNameVienāds ar "SUPPORT_388945a0"
    sAMAccountNameVienāds ar "MSOL_AD_Sync"
    sAMAccountNameNav
    isCriticalSystemObjectIr iestatīts kā "True"
  • Pamatnosaukums (UPN) tika mainīta pēc sākotnējās sinhronizācijas un jāatjaunina manuāli.
  • Exchange Online (Simple Mail Transfer Protocol — SMTP) adreses sinhronizēta lietotājiem nav aizpildīts atbilstoši lokālā Active Directory shēmas.
RISINĀJUMS
Lai novērstu šo problēmu, atbilstoši situācijai izmantojiet kādu no tālāk minētajām metodēm.

1. risinājums: Run IdFix meklēt dublikātus, trūkst rekvizīti un noteikumu pārkāpumi

Izmantošana IdFix DirSync kļūdu labošanas rīks lai atrastu objekti un kļūdas, kas neļauj Azure AD sinhronizāciju.
  • Ja "Tukša" ERROR kolonnā pēc palaist IdFix, skatiet šo Microsoft zināšanu bāze rakstu:
    2857349 "Tukšs" ir parādīts kolonnā kļūda vienam vai vairākiem objektiem pēc IdFix rīka palaišanas
  • Ja "Formāts" kļūdas kolonnā pēc IdFix, skatiet šo Microsoft zināšanu bāze rakstu:
    2857351 "Formāts" tiek parādīts kolonnā kļūda vienam vai vairākiem objektiem pēc IdFix rīka palaišanas
  • Ja "Rakstzīme" kļūdas kolonnā pēc IdFix, skatiet šo Microsoft zināšanu bāze rakstu:
    2857352 "Rakstzīme" tiek parādīts kolonnā kļūda vienam vai vairākiem objektiem pēc IdFix rīka palaišanas
  • Ja "Dublikāts" ERROR kolonnā pēc IdFix, skatiet šo Microsoft zināšanu bāze rakstu:
    2857385 "Dublēt" tiek parādīts kolonnā kļūda vienam vai vairākiem objektiem pēc IdFix rīka palaišanas

2. risinājums: Noteiktu atribūtu konfliktus, kas izraisa objekti, kas netika izveidots Azure AD ar direktorija sinhronizēšana

Lai noteiktu atribūtu konfliktus, kas izraisa lietotāja objekti, kas izstrādātas, izmantojot pārvaldības rīki (un, kas nav izveidota Azure AD direktorija sinhronizēšana ar), rīkojieties šādi:
  1. Noteikt unikālu atribūtu lokālajā AD DS lietotāja kontu. Lai to izdarītu, datorā, kurā ir instalēta Windows atbalsta rīku, rīkojieties šādi:
    1. Noklikšķiniet uz Sākt, izpildīt, ierakstiet LdP.exe, un pēc tam noklikšķiniet uz Labi.
    2. Noklikšķiniet uz savienojuma, noklikšķiniet uz izveidot savienojumu, ierakstiet AD DS domēna kontrollera datora nosaukumu un pēc tam noklikšķiniet uz Labi.
    3. Noklikšķiniet uz savienojuma, noklikšķiniet uz saistītun pēc tam noklikšķiniet uz Labi.
    4. Noklikšķiniet uz Skats, Hierarhisku, BaseDN nolaižamajā sarakstā atlasiet domēna AD DS un noklikšķiniet uz Labi.
    5. Navigācijas rūtī atrodiet un pēc tam veiciet dubultklikšķi uz objektu, kas nav pareizi veikt sinhronizāciju. Detalizētas informācijas rūtī loga labajā pusē ir norādītas visas objekta atribūtus. Šajā piemērā parādīts objekta atribūti:

      ekrānuzņēmums objekta atribūti
    6. Vairākvērtību proxyAddresses atribūtu A ieraksts katrai no SMTP adresēm un userPrincipalName atribūtu vērtības. Jums vajadzēs šīs vērtības vēlāk.
      Atribūta vārds un uzvārds Piemērs Piezīmes
      proxyAddresses proxyAddresses (3): x 500: / o Exchange/ou = = Exchange administratīvās grupas (FYDIBOHF23SPDLT) / cn adresātiem/cn = = 1ae75fca0d3a4303802cea9ca50fcd4f 7628376; SMTP:7628376@Service.contoso.com; SMTP:7628376@contoso.com;
      • Iekavās blakus etiķetei atribūtu parādīto skaitlis norāda cik starpniekservera adrese vairākvērtību atribūtu vērtības.
      • Katra vērtība atšķiras starpniekservera adrese ir apzīmēts ar semikolu (;).
      • Primārā SMTP starpniekservera adrese vērtības norāda lielo burtu "SMTP:"
      userPrincipalName 7628376@contoso.com
      Piezīme. LdP.exe ir iekļauta sistēmā Windows Server 2008 un Windows Server 2003 atbalsta rīkos. Windows Server 2003 instalācijas datu nesējā ir iekļauti Windows Server 2003 atbalsta rīkos. Vai, lai iegūtu atbalsta rīki, apmeklējiet šo Microsoft vietni:
  2. Azure AD savienojumu, izmantojot Azure Active Directory modulis Windows PowerShell. Lai iegūtu papildinformāciju, dodieties uz Pārvaldība, izmantojot Windows PowerShell Azure AD.

    Atstājiet atvērtu konsoles logu. Jums vajadzēs izmantot nākamās darbības.
  3. Pārbaudiet, vai nav dublikātu userPrincipalName atribūtus.

    Konsoles savienojumā, kuru atvērāt, veicot 2. darbību, ierakstiet šādas komandas tādā secībā, kādā tie tiek piedāvāti, un pēc katras komandas nospiediet taustiņu Enter:
    • $userUPN = "<search UPN>"
      Piezīme. Šajā komandā vietturis "<search upn="">" nozīmē UserPrincipalName atribūtu, kas tiek reģistrēts darbību 1 f.<b00> </b00> </search>
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    Atstājiet atvērtu konsoles logu. Varēsiet izmantot atkal nākamajā darbībā.
  4. Pārbaudiet, vai nav dublikātu proxyAddresses atribūtu. Konsoles savienojumā, kuru atvērāt, veicot 2. darbību, ierakstiet šādas komandas tādā secībā, kādā tie tiek piedāvāti, un pēc katras komandas nospiediet taustiņu Enter:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. Katram starpniekservera adrese ieraksts, kas tiek ierakstīts 1 f darbību, ierakstiet šādas komandas tādā secībā, kādā tie tiek piedāvāti, un pēc katras komandas nospiediet taustiņu Enter:
    • $proxyAddress = "<search proxyAddress>" 
      Piezīme. Šajā komandā vietturis "<search proxyaddress="">" vērtībai proxyAddresses atribūtu, kas tiek reģistrēts darbību 1 f.<b00> </b00> </search>
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)<AngularNoBind>}}</AngularNoBind> 
Vienumi, kas tiek atgriezti pēc komandas 3. un 4. darbībā norāda lietotāja objektiem, nav izveidots, izmantojot direktorija sinhronizēšana un kuriem ir atribūti, kas konfliktē ar objektu, kas nav pareizi veikt sinhronizāciju.

3. risinājums: Atjauninājumu AD DS atribūtu noņemt dublikātus noteikumu pārkāpumiem un tvēruma izņēmumi

Norādiet konkrētu atribūti, kas neļauj sinhronizāciju, pamatojoties uz šādu informāciju:
  • Administratora e-pasta ziņojumi
  • Ziņojumu no komandas Office 365 izvietošanas gatavības rīks
  • pēc noklusējuma direktorija sinhronizēšana tvēruma kārtulas un pielāgotas kārtulas
Pēc identificēt konkrēto atribūta vērtība, izmantojiet rīku Active Directory lietotāji un datori Rediģēt atribūta vērtība. Lai to izdarītu, izpildiet tālāk norādītās darbības.
  1. Atveriet Active Directory lietotāji un datori un pēc tam atlasiet AD DS domēna saknes mezglu.
  2. Noklikšķiniet uz skatu, un pēc tam pārbaudiet, vai papildu līdzekļi ir atlasīta opcija.
  3. Kreisajā navigācijas rūtī atrodiet LIETOTĀJA objekts, ar peles labo pogu noklikšķiniet uz tā un pēc tam noklikšķiniet uz Rekvizīti.
  4. Cilnē Objektu redaktorā atrodiet atribūtu, kuru vēlaties, noklikšķiniet uz Rediģētun pēc tam rediģējiet vērtību atribūta vērtība.
  5. Noklikšķiniet uz OK divas reizes.
Vai rediģēt pakalpojuma Active Directory interfeisu (ADSI) var izmantot, lai atjauninātu AD DS objekta atribūti. Varat lejupielādēt un instalēt ADSI rediģēšanas kā daļa no Windows Server komplektam. Lai izmantot priekšrocību ADSI rediģēšanas rediģēt atribūtus, veiciet tālāk norādītās darbības.

Brīdinājums Šai procedūrai ir nepieciešami ADSI rediģēšanas rīku. Nepareizi lietojot ADSI rediģēšanas rīku, var rasties nopietnas problēmas, kuru dēļ var nākties atkārtoti instalēt operētājsistēmu. Korporācija Microsoft nevar garantēt, ka var atrisināt problēmas, kas radušās nepareizas izmantošanas ADSI rediģēšanas. Jūs uzņematies atbildību izmantot ADSI rediģēšanas rīku.
  1. Noklikšķiniet uz Sākt, izpildīt, ierakstiet ADSIEdit.msc, un pēc tam noklikšķiniet uz Labi.
  2. Ar peles labo pogu noklikšķiniet uz ADSI rediģēšanas navigācijas rūtī noklikšķiniet uz izveidot savienojumu, un pēc tam noklikšķiniet uz OK ielādēt domēna nodalījumu.
  3. Atrodiet LIETOTĀJA objekts, ar peles labo pogu noklikšķiniet uz tā un pēc tam noklikšķiniet uz Rekvizīti.
  4. Ar atribūti sarakstu, atrodiet atribūtu, kuru vēlaties, noklikšķiniet uz Rediģētun pēc tam rediģējiet vērtību atribūta vērtība.
  5. Noklikšķiniet uz OK divas reizes un pēc tam aizveriet ADSI rediģēšanas rīku.

4. risinājums: Izveidot Jauna grupa un pievienot iebūvēta grupa, kas nav sinhronizētas

Lai atrisinātu problēmu gadījumā, ja dažus iebūvēto grupas (piemēram, domēna lietotāju grupa) netiek sinhronizētas, Izveidot Jauna grupa gadījumā dalībnieki un atbilstīgas atļaujas iebūvēta grupa. Iebūvēta grupa, kas nav sinhronizētas, pievienojiet grupas dalībnieks. Iebūvēta grupa vietā izmantojiet jaunās grupas locekļi pārvaldīt. Tā rīkojoties, jūs joprojām pārvaldīt tikai vienu grupu.

Nevēlaties mainīt iebūvēto grupas atribūti vai tvēruma kārtulas identitātes sinhronizācijas ierīces ļauj kritisko sistēmas objektiem sinhronizētas, jo tas var izraisīt citas neparedzētas darbības.

Izšķirtspēja 5: Lietot SMTP izraisa lokālā LIETOTĀJA objekts atbilst sinhronizēšanai ar esošo LIETOTĀJA objekts

Lai to izdarītu, skatiet šo Microsoft Knowledge rakstu:
2641663 Kā lietot SMTP neatbilst ievadītajai lokālas lietotāju konti Office 365 lietotāju kontiem directory sinhronizācija

Resolution 6: Manuāli atjaunināt lietotāja kontu (UPN)

Lai atjauninātu lietotāja kontu (UPN), kas ir licencēta pēc sākotnējās directory sinhronizācija ir radusies, rīkojieties šādi:
  1. Noklikšķiniet uz Sākt, noklikšķiniet uz Visas programmas, noklikšķiniet uz Windows Azure Active Directoryun pēc tam noklikšķiniet uz Windows Azure Active Directory modulis Windows PowerShell.
  2. Windows PowerShell uzvednē izpildiet šādu cmdlet:
    1. $cred = get-credential
      Piezīme. Kad tiek parādīta uzvedne, ievadiet administratora akreditācijas datus.
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

7 risinājums: Atjaunināt lietotāju SMTP adreses, izmantojot lokālā Active Directory atribūtu

Ja SMTP atribūti netiek sinhronizētas ar Exchange Online paredzētais veidā, jums, iespējams, jāatjaunina lokālā Active Directory atribūtus. Atjaunināt lokālā Active Directory atribūtus, lai pareizi e-pasta adreses parāda Exchange Online, izmantojiet 2. risinājuma manipulēt atribūti ir norādīti šajā tabulā.
Lokālā Active Directory atribūta vārds un uzvārdsPiemērs lokālā Active Directory atribūta vērtībaPiemēram, Exchange Online e-pasta adreses
proxyAddressesSMTP:user1@contoso.comPrimārā SMTP: user1@contoso.com
Sekundārā SMTP: user1@contoso.onmicrosoft.com
proxyAddressesSMTP:user1@contoso.comPrimārā SMTP: user1@contoso.onmicrosoft.com sekundārā SMTP: user1@contoso.com
proxyAddressesSMTP:user1@contoso.com
SMTP:user1@sub.contoso.com
Primārā SMTP: user1@contoso.com
Sekundārā SMTP: user1@sub.contoso.com
Sekundārā SMTP: user1@contoso.onmicrosoft.com
pastaUser1@contoso.comPrimārā SMTP: user1@contoso.com
Sekundārā SMTP: user1@contoso.onmicrosoft.com
UserPrincipalNameUser1@contoso.comPrimārā SMTP: user1@contoso.com
Sekundārā SMTP: user1@contoso.onmicrosoft.com
Microsoft tiešsaistes e-pasta maršrutēšanas adrese (MOERA) ieraksts, kas ir saistīta ar noklusējuma domēna nosaukums (piemēram, user1@contoso.onmicrosoft.com) tiek interpretēts vērtība, kas ir atkarīgs no lietotāja konta aizstājvārds. Šī speciālā e-pasta adrese ir cieši saistīta ar Exchange Online adresātam, un nevar pārvaldīt, dzēst vai izveidot papildu MOERA adreses jebkurš adresāts. Tomēr MOERA adrese var būt pārāk traucēt kā primārā SMTP adrese, izmantojot lokālā Active Directory lietotāja objekta atribūti.

Piezīme. Klātbūtnes datus atribūtā proxyAddresses pilnībā maskas Exchange Online e-pasta adrešu kopumu pasta atribūtu datus.

Piezīme. Klātbūtnes proxyAddresses atribūtu un/vai pasta atribūtu datu atribūti pilnībā maska UserPrincipalName datus Exchange Online e-pasta adrešu kopumu. UPN var izmantot, lai pārvaldītu e-pasta adreses. Tomēr administrators var pārvaldīt e-pasta adrese un UPN atsevišķi, parādīti proxyAddresses vai pasta atribūtus.

Ļoti ieteicams, ka viens no šiem atribūtiem izmantot konsekventi pārvaldīt Exchange Online sinhronizēta lietotāju e-pasta adreses.
PAPILDINFORMĀCIJA
Šajā rakstā minētie Windows PowerShell komandas pieprasa Azure Active Directory modulis Windows PowerShell. Lai iegūtu papildinformāciju par Azure Active Directory modulis Windows PowerShell, dodieties uz Pārvaldība, izmantojot Windows PowerShell Azure AD.

Lai iegūtu papildinformāciju par filtrēšanas direktorija sinhronizēšana atribūti, skatiet Microsoft TechNet vikivietne raksta:
Vēl arvien ir nepieciešama palīdzība? Dodieties uz Office 365 Kopiena vietnes vai Azure Active Directory Forums tīmekļa vietni.

Brīdinājums: šis raksts ir tulkots automātiski

Rekvizīti

Raksta ID: 2643629. Pēdējo reizi pārskatīts: 11/20/2015 10:03:00. Pārskatījums: 25.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365a o365022013 o365e o365m kbgraphxlink kbgraphic kbmt KB2643629 KbMtlv
Atsauksmes