Ett eller flere objekter synkronisere ikke når du bruker verktøyet Azure Active Directory-synkronisering

PROBLEMET

Ett eller flere objekter i Active Directory Domain Services (AD DS) eller attributter synkronisere ikke med Microsoft Azure Active Directory (AD Azure) som forventet. Når Active Directory-synkroniseringen kjøres, et objekt som ikke synkroniseres, og ett av følgende symptomer oppstå:
  • Du får en feilmelding som sier at attributtet har like verdier.
  • Du får en feilmelding som sier at ett eller flere attributter bryte formatering krav som for eksempel tegnsett eller tegnlengden.
  • Du får ikke en feilmelding, og katalogsynkronisering ser ut til å være fullført. Imidlertid er ikke noen objekter eller -attributter oppdatert som forventet.
Noen eksempler på feilmeldingen som du kan motta, omfatter følgende:
  • En synkronisert objekt med samme proxy-adressen finnes allerede i katalogen for Microsoft Online Services.
  • Kan ikke oppdatere dette objektet fordi bruker-IDen ikke finnes.
  • Kan ikke oppdatere dette objektet i Microsoft Online Services fordi følgende attributter som er knyttet til dette objektet har verdier som allerede er knyttet til et annet objekt i den lokale mappen.

ÅRSAK

Dette problemet oppstår hvis ett av følgende årsaker:
  • Domeneverdien som brukes av AD DS-attributter som ikke er godkjent.
  • Én eller flere objektattributter som krever en unik verdi har en duplisert attributt-verdi (for eksempel physicalDeliveryOfficeName -attributtet eller attributtet UserPrincipalName ) i en eksisterende brukerkonto.
  • Ett eller flere objektattributter bryter formatering krav som begrenser tegnene og tegnlengden av attributtverdier.
  • Ett eller flere objektattributter i samsvar med regler for utelukkelse for katalogsynkronisering.

    Tabellen nedenfor viser standard synkroniseringen definisjonsområdet regler:
    ObjekttypeAttributtnavnTilstanden til attributtet når synkroniseringen mislykkes
    KontaktDisplayNameInneholder "MSOL"
    msExchHideFromAddressListsEr satt til "True"
    Sikkerhetsaktivert gruppeisCriticalSystemObjectEr satt til "True"
    E-post-grupper
    (Sikkerhet gruppe- eller liste)
    physicalDeliveryOfficeName

    og

    e-post
    Har ingen "SMTP:" adresse oppføring

    og

    finnes ikke
    E-post kontakterphysicalDeliveryOfficeName

    og

    e-post
    Har ingen "SMTP:" adresse oppføring

    og

    finnes ikke
    iNetOrgPersonsAMAccountNameFinnes ikke
    isCriticalSystemObjectEr til stede
    BrukermailNickNameStarter med "SystemMailbox"
    mailNickNameStarter med "CAS_"

    og

    inneholder "{"
    sAMAccountNameStarter med "CAS_"

    og

    inneholder "}"
    sAMAccountNameEr lik "SUPPORT_388945a0"
    sAMAccountNameEr lik "MSOL_AD_Sync"
    sAMAccountNameFinnes ikke
    isCriticalSystemObjectEr satt til "True"
  • Brukerhovednavnet (UPN) ble endret etter den innledende synkroniseringen og må oppdateres manuelt.
  • Exchange Online SMTP Simple Mail Transfer Protocol ()-adressene for synkroniserte brukere ikke er fylt ut riktig i det lokale Active Directory-skjemaet.

LØSNING

Hvis du vil løse dette problemet, kan du bruke én av følgende metoder, avhengig av situasjonen.

Løsning 1: Kjør IdFix for å se etter duplikater, manglende attributter og brudd

Bruk IdFix DirSync feil utbedring verktøyet til å finne objekter og feil som forhindrer synkronisering til Azure AD.
  • Hvis du ser "Tomt" i kolonnen feil når du kjører IdFix, kan du se følgende artikkel i Microsoft Knowledge Base:
    2857349 "Tomt" vises i kolonnen feil for ett eller flere objekter når du kjører IdFix-verktøyet
  • Hvis du ser "Format" i kolonnen feil når du kjører IdFix, kan du se følgende artikkel i Microsoft Knowledge Base:
    2857351 "Format" vises i kolonnen feil for ett eller flere objekter når du kjører IdFix-verktøyet
  • Hvis du ser "ordet tegn" i kolonnen feil når du kjører IdFix, kan du se følgende artikkel i Microsoft Knowledge Base:
    2857352 "Tegn" vises i kolonnen feil for ett eller flere objekter når du kjører IdFix-verktøyet
  • Hvis du ser "Kopi" i kolonnen feil når du kjører IdFix, kan du se følgende artikkel i Microsoft Knowledge Base:
    2857385 "Like" vises i kolonnen feil for ett eller flere objekter når du kjører IdFix-verktøyet

Løsning 2: Angi attributtet konflikter som følge av objekter som ikke ble opprettet i Azure AD gjennom katalogsynkronisering

Hvis du vil fastslå attributtet konflikter som følge av user-objekter som er opprettet ved hjelp av verktøy for systemadministrasjon (og som ikke var opprettet i Azure AD gjennom katalogsynkronisering), gjør du følgende:
  1. Fastslå unike attributtene for lokalene brukerkontoen i AD DS. Hvis du vil gjøre dette, på en datamaskin som har Windows-støtteverktøy er installert, gjør du følgende:
    1. Klikk Start, klikk Kjør, Skriv inn ldp.exeog klikk deretter OK.
    2. Klikk koble til tilkobling, skriver du inn navnet på en domenekontroller med AD DS, og klikk deretter OK.
    3. Klikk tilkoblingen, klikker du binde, og klikk deretter OK.
    4. Klikk Vis, velg Trevisningen, og velg AD DS-domenet i rullegardinlisten BaseDN .
    5. I navigasjonsruten, Finn og dobbeltklikk deretter objekt som ikke er synkronisert på riktig måte. Detaljer-ruten til høyre i vinduet viser alle objektattributter. Følgende eksempel viser objektattributtene:

      Screen shot of the object attributes
    6. Registrere verdier for attributtet userPrincipalName og hver SMTP-adressen i attributtet physicalDeliveryOfficeName for flere verdier. Du trenger disse verdiene senere.
      AttributtnavnEksempelNotater
      physicalDeliveryOfficeNamephysicalDeliveryOfficeName (3): x500: / o = Exchange/ou = Exchange administrativ gruppe (FYDIBOHF23SPDLT) / cn = mottakere/cn = 1ae75fca0d3a4303802cea9ca50fcd4f-7628376; SMTP:7628376@Service.contoso.com; SMTP:7628376@contoso.com;
      • Tallet som vises i parentes ved siden av etiketten attributt angir hvor mange verdier for proxy-adressen i attributtet for flere verdier.
      • Hver verdi for forskjellige proxy-adresse er angitt med et semikolon (;).
      • Den primære SMTP proxy-adresse-verdien angis av store "SMTP:"
      userPrincipalName7628376@contoso.com
      Obs! LDP.exe er inkludert i Windows Server 2008 og Windows Server 2003-støtteverktøyene. Windows Server 2003-støtteverktøyene er inkludert i Windows Server 2003-installasjonsmediet. Eller hvis du vil skaffe deg støtteverktøyene, går du til følgende Microsoft-webområde:
  2. Koble til Azure AD ved hjelp av Azure Active Directory-modul for Windows PowerShell. For mer informasjon, går du til Behandle Azure AD ved hjelp av Windows PowerShell.

    La konsollvinduet åpent. Du må bruke den i neste trinn.
  3. Se etter dupliserte userPrincipalName -attributter.

    I forbindelse konsoll du åpnet i trinn 2, skriver du inn kommandoene nedenfor i rekkefølgen de presenteres der, og trykk deretter Enter etter hver kommando:
    • $userUPN = "<search UPN>" 
      Obs! I denne kommandoen representerer plassholderen "< UPN for søk >" attributtet UserPrincipalName som du registrerte i trinn 1f.
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}  
    La konsollvinduet åpent. Du skal bruke den på nytt i neste trinn.
  4. Se etter dupliserte physicalDeliveryOfficeName attributter. I forbindelse konsoll du åpnet i trinn 2, skriver du inn kommandoene nedenfor i rekkefølgen de presenteres der, og trykk deretter Enter etter hver kommando:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection 
    • Import-PSSession $sessionExO -prefix:Cloud  
  5. For hver enkelt proxy-adresse oppføring som du registrerte i trinn 1f, skriver du inn kommandoene nedenfor i rekkefølgen de presenteres der, og trykk deretter Enter etter hver kommando:
    • $proxyAddress = "<search proxyAddress>"  
      Obs! I denne kommandoen representerer plassholderen "< Søk proxyAddress >" verdien av et physicalDeliveryOfficeName -attributt som du registrerte i trinn 1f.
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}
Elementer som returneres når du kjører kommandoene i trinn 3 og 4 representerer user-objekter som ikke ble opprettet gjennom katalogsynkronisering og som har attributter som er i konflikt med objekter som ikke er synkronisert på riktig måte.

Løsning 3: Oppdatering AD DS-attributter til å fjerne duplikater, brudd på regler og områdemaskinen Utelukkelser

Identifisere bestemte attributter som hindrer at synkroniseringen basert på følgende informasjon:
  • Administrative e-postmeldinger
  • Rapporten fra utdataene for verktøyet for systemoppdateringsberedskap for Office 365-distribusjon
  • Standard og egendefinerte regler for regler for definisjonsområde til directory-synkronisering
Når en bestemt attributtverdi er identifisert, kan du bruke verktøyet for Active Directory-brukere og datamaskiner til å redigere attributtverdien. Følg disse trinnene:
  1. Åpne Active Directory-brukere og -datamaskiner, og velg deretter rotnoden i AD DS-domenet.
  2. Klikk Vis, og kontroller at det er merket av for alternativet Avanserte funksjoner .
  3. Finn brukerobjektet i den venstre navigasjonsruten, høyreklikker du den, og deretter klikker du Egenskaper.
  4. Finn attributtet du vil bruke, klikk Rediger, og rediger deretter attributtverdien til verdien du vil bruke i kategorien Redigering .
  5. Klikk OK to ganger.
Eller du kan bruke Rediger Active Directory Service Interfaces (ADSI) til å oppdatere objektattributter i AD DS. Du kan laste ned og installere ADSI-redigering som en del av Windows Server-Toolkit. Hvis du vil bruke ADSI-redigering til å redigere attributter, følger du denne fremgangsmåten.

Advarsel Denne fremgangsmåten krever ADSI-redigering. Ved hjelp av ADSI Edit feil, kan det forårsake alvorlige problemer som gjør at du må installere operativsystemet på nytt. Microsoft garanterer ikke at problemer som er forårsaket av feil bruk av ADSI-redigering, kan løses. Bruk ADSI-redigering på egen risiko.
  1. Klikk Start, klikk Kjør, Skriv inn ADSIEdit.mscog klikk deretter OK.
  2. Høyreklikk ADSI-redigering i navigasjonsruten, klikker du koble tilog klikk deretter OK for å laste inn domene-partisjonen.
  3. Finn brukerobjektet, høyreklikker du den, og klikk deretter Egenskaper.
  4. Finn attributtet du vil bruke, klikk Rediger, og rediger deretter attributtverdien til verdien du vil bruke, i listen attributter .
  5. Klikk OK to ganger, og avslutt deretter ADSI-redigering.

Løsning 4: Opprette en ny gruppe, og legger den til den innebygde gruppen som ikke er synkronisert

Hvis du vil løse problemet i scenariet der noen innebygde grupper (for eksempel domenebrukere-gruppen) ikke er synkronisert, opprette en ny gruppe som inneholder alle aktuelle medlemmer og tillatelser for den innebygde gruppen. Deretter legger du til gruppen som medlem til den innebygde gruppen som ikke er synkronisert. Bruk den nye gruppen i stedet for den innebygde gruppen til å administrere medlemmer. På denne måten kan du fremdeles behandle bare én gruppe.

Du vil ikke endre attributtene til den innebygde gruppen eller endre regler for Definisjonsområde for identitet synkronisering appliance slik at kritiske systemobjekter skal synkroniseres, fordi dette kan utløse annen uventet virkemåte.

Løsning 5: Bruk SMTP tilsvarende for å få en lokale brukerobjektet å synkronisere til en eksisterende brukerobjekt

Hvis du vil gjøre dette, kan du se følgende artikkel i Microsoft Knowledge:
2641663 hvordan du bruker SMTP tilsvarende for å samsvare med lokale brukerkontoer til Office 365-brukerkontoer for katalogsynkronisering

Løsning 6: Oppdatere manuelt en brukerkonto UPN

Følg denne fremgangsmåten for å oppdatere en brukerkonto UPN ble lisensiert etter at første katalogsynkronisering har skjedd:
  1. Klikk Start, klikk Alle programmer, klikk Windows Azure Active Directory, og deretter Windows Azure Active Directory modul for Windows PowerShell.
  2. Kjør følgende cmdleter i Windows PowerShell-ledeteksten:
    1. $cred = get-credential 
      Obs! Når du blir bedt om det, må du angi legitimasjonen admin.
    2. Connect-MSOLService 
    3. Set-AzureADUser -ObjectId [CurrentUPN] -NewUserPrincipalName [NewUPN] 

Løsning 7: Oppdatere bruker SMTP-adresser ved hjelp av lokale Active Directory-attributter

Når SMTP-attributter ikke er synkronisert med Exchange Online på en måte som forventet, må du kanskje oppdatere de lokale Active Directory-attributtene. Hvis du vil oppdatere attributter for lokale Active Directory slik at riktig e-postadressen du viser i Exchange Online, kan du bruke løsning 2 til å manipulere attributtene som er oppført i følgende tabell.
Navn på lokale Active Directory-attributtEksempel på lokale Active Directory-attributtverdiEksempel Exchange Online e-postadresser
physicalDeliveryOfficeNameSMTP:user1@contoso.comPrimær SMTP: user1@contoso.com
Sekundær SMTP: user1@contoso.onmicrosoft.com
physicalDeliveryOfficeNamesmtp:user1@contoso.comPrimære SMTP: sekundær SMTP user1@contoso.onmicrosoft.com: user1@contoso.com
physicalDeliveryOfficeNameSMTP:user1@contoso.com
smtp:user1@sub.contoso.com
Primær SMTP: user1@contoso.com
Sekundær SMTP: user1@sub.contoso.com
Sekundær SMTP: user1@contoso.onmicrosoft.com
e-postUser1@contoso.comPrimær SMTP: user1@contoso.com
Sekundær SMTP: user1@contoso.onmicrosoft.com
UserPrincipalNameUser1@contoso.comPrimær SMTP: user1@contoso.com
Sekundær SMTP: user1@contoso.onmicrosoft.com
Oppføringen Microsoft Online e-ruting adresse (MOERA) som er knyttet til standarddomene (for eksempel user1@contoso.onmicrosoft.com) er et tolket verdi som er basert på en brukerkonto alias. Denne spesielle e-postadressen er uløselig knyttet til hver mottaker Exchange Online, og du kan ikke administrere, slette eller opprette flere adresser for MOERA for alle mottakere. Imidlertid kan MOERA-adressen være overbelastet ridden som den primære SMTP-adressen ved hjelp av attributtene i det lokale Active Directory-brukerobjektet.

Obs! Hvis finnes data i attributtet physicalDeliveryOfficeName maskerer fullstendig data i attributtet mail for Exchange Online e-postadresse populasjon.

Obs! Hvis finnes data i attributtet physicalDeliveryOfficeName , e-post -attributt, eller begge attributter helt maske UserPrincipalName data for Exchange Online e-postadresse populasjon. UPN kan brukes til å administrere e-postadresser. En administrator kan imidlertid bestemme til å administrere e-postadresse og UPN separat ved hjelp av physicalDeliveryOfficeName eller e-post -attributter.

Vi anbefaler sterkt at ett av disse attributtene brukes konsekvent til å administrere Exchange Online-e-postadresser for synkroniserte brukere.

HVIS DU VIL HA MER INFORMASJON

Windows PowerShell-kommandoene som er nevnt i denne artikkelen krever den Azure Active Directory-modul for Windows PowerShell. Hvis du vil ha mer informasjon om den Azure Active Directory-modul for Windows PowerShell, kan du gå til Behandle Azure AD ved hjelp av Windows PowerShell.

Hvis du vil ha mer informasjon om filtrering av katalogsynkronisering ved attributter, kan du se følgende Microsoft TechNet wiki-artikkel:
Trenger du fortsatt hjelp? Gå til Microsoft-fellesskapet eller webområdet Azure Active Directory-foraene .
Egenskaper

Artikkel-ID: 2643629 – Forrige gjennomgang: 12. feb. 2017 – Revisjon: 1

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

Tilbakemelding