Een of meer objecten synchroniseren niet wanneer het hulpprogramma Active Directory-synchronisatie Azure wordt gebruikt.

BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.

De Engelstalige versie van dit artikel is de volgende: 2643629
PROBLEEM
Een of meer objecten in Active Directory Domain Services (AD DS) of kenmerken synchroniseren niet met Microsoft Azure Active Directory (AD Azure) zoals verwacht. Synchronisatie van Active Directory wordt uitgevoerd, een object niet synchroniseren als u een van de volgende symptomen optreden:
  • U ontvangt een foutbericht waarin wordt gemeld dat een kenmerk een dubbele waarde is.
  • U ontvangt een foutbericht waarin wordt aangegeven dat een of meer kenmerken opmaak vereisten zoals tekenset of tekenlengte schenden.
  • Niet wordt een foutbericht weergegeven en adreslijstsynchronisatie lijkt te worden voltooid. Echter, sommige objecten of -kenmerken worden niet bijgewerkt zoals verwacht.
Enkele voorbeelden van het foutbericht dat wordt weergegeven, zijn de volgende:
  • Een gesynchroniseerde object met dezelfde proxyadres bestaat al in de map Microsoft Online Services.
  • Kan dit object niet bijwerken omdat de gebruikersnaam is niet gevonden.
  • Kan dit object in Microsoft Online Services niet bijwerken omdat de volgende kenmerken die zijn gekoppeld aan dit object zijn waarden die al gekoppeld aan een ander object in uw lokale map zijn.
OORZAAK
Dit probleem doet zich om een van de volgende redenen:
  • De waarde die wordt gebruikt door AD DS-kenmerken is niet gecontroleerd.
  • Een of meer kenmerken van het object waarvoor u een unieke waarde hebben een dubbele waarde (zoals de proxyAddresses kenmerk of de UserPrincipalName het kenmerk) in een bestaande gebruikersaccount.
  • Een of meer kenmerken van het object schenden opmaak eisen dat de tekens en de tekenlengte van kenmerkwaarden beperken.
  • Een of meer kenmerken van het object overeenkomen met uitsluitingsregels voor adreslijstsynchronisatie.

    De volgende tabel toont de standaard synchronisatie scoping regels:
    ObjecttypeNaam van kenmerkVoorwaarde van kenmerk wanneer de synchronisatie mislukt
    ContactDisplayName'MSOL' bevat
    msExchHideFromAddressListsIs ingesteld op "True"
    Groep met ingeschakelde beveiligingisCriticalSystemObjectIs ingesteld op "True"
    E-mailadres groepen
    (security of de distributie lijst)
    proxyAddresses

    en

    e-mail
    Heeft geen ' SMTP: "invoeren

    en

    is niet aanwezig
    Contactpersonen e-mailadresproxyAddresses

    en

    e-mail
    Heeft geen ' SMTP: "invoeren

    en

    is niet aanwezig
    iNetOrgPersonsAMAccountNameIs niet aanwezig
    isCriticalSystemObjectAanwezig is
    GebruikermailNickNameBegint met "SystemMailbox"
    mailNickNameBegint met "CAS_"

    en

    "{" bevat
    sAMAccountNameBegint met "CAS_"

    en

    bevat "}"
    sAMAccountNameResulteert in "SUPPORT_388945a0"
    sAMAccountNameResulteert in "MSOL_AD_Sync"
    sAMAccountNameIs niet aanwezig
    isCriticalSystemObjectIs ingesteld op "True"
  • De UPN (user Principal name) is gewijzigd na de initiële synchronisatie en handmatig moet worden bijgewerkt.
  • Exchange Online Simple Mail Transfer Protocol (SMTP)-adressen van gesynchroniseerde gebruikers zijn niet op de juiste wijze in de Active Directory-schema op de ruimten worden gevuld.
OPLOSSING
Om dit probleem op te lossen gebruikt u een van de volgende methoden, afhankelijk van uw situatie.

Oplossing 1: Run IdFix om te controleren op dubbele en ontbrekende kenmerken regel overtredingen

Gebruik de IdFix DirSync fout herstel Tool zoeken naar objecten en fouten die voorkomen dat de synchronisatie met Azure AD.
  • Als u 'Leeg' in de kolom fout na het uitvoeren van IdFix, Zie het volgende artikel in de Microsoft Knowledge Base:
    2857349 'Leeg' wordt weergegeven in de kolom fout voor een of meer objecten nadat u het hulpprogramma IdFix uitvoeren
  • Als er 'Format' in de kolom fout na het uitvoeren van IdFix, raadpleegt u het volgende artikel in de Microsoft Knowledge Base:
    2857351 'Format' wordt in de kolom fout voor een of meer objecten weergegeven nadat u het hulpprogramma IdFix uitvoeren
  • Als 'Teken' in de kolom fout na het uitvoeren van IdFix, Zie het volgende artikel in de Microsoft Knowledge Base:
    2857352 'Teken' wordt weergegeven in de kolom fout voor een of meer objecten nadat u het hulpprogramma IdFix uitvoeren
  • Als er "Duplicate" in de kolom fout na het uitvoeren van IdFix, raadpleegt u het volgende artikel in de Microsoft Knowledge Base:
    2857385 "Duplicaat" wordt weergegeven in de kolom fout voor een of meer objecten nadat u het hulpprogramma IdFix uitvoeren

Oplossing 2: Kenmerk conflicten die worden veroorzaakt door objecten die niet zijn gemaakt in Azure AD via adreslijstsynchronisatie bepalen

Als u wilt bepalen kenmerk conflicten die worden door user-objecten die zijn gemaakt veroorzaakt met behulp van beheerprogramma's (en die niet zijn gemaakt in Azure AD via adreslijstsynchronisatie), als volgt te werk:
  1. Bepalen van de unieke kenmerken van het pand op AD DS-gebruikersaccount. U doet dit door op een computer met Windows-ondersteuningsprogramma's geïnstalleerd, als volgt te werk:
    1. Klik op Start, uitvoeren, type Ldp.exe, en klik vervolgens op OK.
    2. Klik op verbinding, klikt u op verbindenen typ de naam van een AD DS-domeincontroller klikt u op OK.
    3. Klik op verbindingen klik op verbinden.
    4. Klik op weergave, klikt u op de Structuurweergave, de AD DS-domein te selecteren in de lijst basis-DN en klik op OK.
    5. Zoek in het navigatiedeelvenster en dubbelklik vervolgens op het object dat wordt niet correct gesynchroniseerd. Het detailvenster aan de rechterkant van het venster worden alle kenmerken van het object. In het volgende voorbeeld ziet u de kenmerken van het object:

      Schermafdruk van de kenmerken van het object
    6. De waarden van het kenmerk userPrincipalName en elke SMTP-adres in het kenmerk proxyAddresses voor meerdere waarden wilt opnemen. U moet deze waarden later.
      Naam van kenmerk Voorbeeld Opmerkingen
      proxyAddresses proxyAddresses (3): x 500: / o = Exchange/ou = Exchange Administrative Group (FYDIBOHF23SPDLT) / cn = Geadresseerden/cn = 1ae75fca0d3a4303802cea9ca50fcd4f-7628376; SMTP:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      • Het nummer dat wordt weergegeven tussen haakjes naast de label kenmerk geeft het aantal waarden voor proxy-adres in het kenmerk met meerdere waarden.
      • Elke waarde afzonderlijk proxy-adres wordt aangeduid met een puntkomma (;).
      • De waarde van de primaire SMTP-proxy adres wordt aangeduid met de hoofdletters ' SMTP: "
      userPrincipalName 7628376@contoso.com
      Opmerking Ldp.exe is opgenomen in Windows Server 2008 en Windows Server 2003-ondersteuningsprogramma's. De ondersteuningsprogramma's voor Windows Server 2003 zijn opgenomen in de Windows Server 2003-installatiemedia. Of als u de ondersteuningsprogramma's, gaat u naar de volgende Microsoft-website:
  2. Verbinding maken met Azure AD via de Azure Active Directory-Module voor Windows PowerShell. Ga voor meer info naar Azure AD met Windows PowerShell beheren.

    Laat het consolevenster geopend. U moet gebruiken in de volgende stap.
  3. Controleer of de kenmerken van de dubbele userPrincipalName .

    In de consoleverbinding die u in stap 2 hebt geopend, typt u de volgende opdrachten in de volgorde waarin ze worden weergegeven en druk na elke opdracht op Enter:
    • $userUPN = "<search UPN>"
      Opmerking In deze opdracht, de aanduiding "<search upn="">" staat voor het kenmerk UserPrincipalName die u hebt genoteerd in stap 1f.<b00> </b00> </search>
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    Laat het consolevenster geopend. U gaat deze opnieuw gebruiken in de volgende stap.
  4. Controleren op dubbele proxyAddresses kenmerken. In de consoleverbinding die u in stap 2 hebt geopend, typt u de volgende opdrachten in de volgorde waarin ze worden weergegeven en druk na elke opdracht op Enter:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. Voor elke vermelding proxy-adres dat u hebt genoteerd in stap 1f, typt u de volgende opdrachten in de volgorde waarin ze worden weergegeven en druk na elke opdracht op Enter:
    • $proxyAddress = "<search proxyAddress>" 
      Opmerking In deze opdracht, de aanduiding "<search proxyaddress="">" staat voor de waarde van een kenmerk proxyAddresses die u hebt genoteerd in stap 1f.<b00> </b00> </search>
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)<AngularNoBind>}}</AngularNoBind> 
Items die worden geretourneerd na het uitvoeren van de opdrachten in stap 3 en 4 zijn user-objecten die niet zijn gemaakt via de directory-synchronisatie en waarvan de kenmerken die in strijd zijn met het object dat wordt niet correct gesynchroniseerd.

Oplossing 3: Update AD DS-kenmerken voor het verwijderen van duplicaten, schendingen van de regels en uitsluitingen gelden

Identificeren van de specifieke kenmerken die verhinderen synchronisatie op basis van de volgende informatie dat:
  • Administratieve e-mailberichten
  • Het verslag van de uitvoer van het hulpprogramma Office 365 implementatie Readiness
  • Default directory-synchronisatie bereikregels en aangepaste regels
Nadat de waarde van een specifiek kenmerk is geïdentificeerd, gebruikt het hulpprogramma Active Directory: gebruikers en Computers voor het bewerken van de waarde van het kenmerk. Ga hiervoor als volgt te werk:
  1. Open Active Directory: gebruikers en Computers en selecteer vervolgens het hoofdknooppunt van de AD DS-domein.
  2. Klik op weergeven, en zorg ervoor dat de Geavanceerde functies is ingeschakeld.
  3. Zoek het gebruikersobject in het linkernavigatievenster, met de rechtermuisknop en klik op Eigenschappen.
  4. Zoek het kenmerk dat u wilt, klikt u op bewerkenen vervolgens de waarde van het kenmerk de waarde die u wilt bewerken op het tabblad Object-Editor .
  5. Klik op OK twee keer.
Of u kunt Active Directory Service Interfaces (ADSI) bewerken voor het bijwerken van de kenmerken van het object in AD DS. U kunt downloaden en installeren van ADSI Edit als onderdeel van de Windows Server-Toolkit. Ga als volgt te werk om de ADSI-editor gebruiken voor het bewerken van kenmerken.

Waarschuwing Deze procedure moet ADSI bewerken. Als ADSI Edit onjuist wordt gebruikt kan dit ernstige problemen veroorzaken waardoor u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die uit een onjuist gebruik van ADSI Edit voortkomen opgelost kunnen worden. Gebruik ADSI Edit op eigen risico.
  1. Klik op Start, uitvoeren, type ADSIEdit.msc, en klik vervolgens op OK.
  2. Klik met de rechtermuisknop ADSI Edit op verbinding maken metin het navigatiedeelvenster en klik vervolgens op OK de domeinpartitie te laden.
  3. Zoek het gebruikersobject, met de rechtermuisknop en klik op Eigenschappen.
  4. In de kenmerken weergeven, zoekt u het kenmerk dat u wilt, klikt u op bewerkenen vervolgens de waarde van het kenmerk de waarde die u wilt bewerken.
  5. Klik op OK twee keer en vervolgens afsluiten met ADSI bewerken.

Resolutie 4: Een nieuwe groep maken en toevoegen aan de ingebouwde groep die niet gesynchroniseerd

U kunt oplossen door het probleem in het scenario waarbij sommige ingebouwde (zoals de groep Domeingebruikers groepen) niet zijn gesynchroniseerd, een nieuwe groep maken met de desbetreffende leden en juiste machtigingen van de ingebouwde groep. Die groep vervolgens als een lid toevoegen aan de ingebouwde groep die niet is gesynchroniseerd. Gebruik de nieuwe groep in plaats van de ingebouwde groep leden beheren. Dit doet, moet u nog steeds slechts één groep beheren.

U wilt niet de kenmerken van de ingebouwde groep wijzigen of de scope-regels van het toestel identiteit sync om kritieke systeemobjecten moet worden gesynchroniseerd, omdat dit andere onverwacht gedrag kan starten.

Resolutie 5: Gebruik SMTP vergelijken als u wilt dat een gebruikersobject in ruimten wordt gesynchroniseerd met een bestaande user-object

Zie hiervoor het volgende Microsoft Knowledge-artikel:
2641663 Het gebruik van SMTP overeenkomende aan op-ruimten gebruikersaccounts aan Office 365-gebruikersaccounts voor adreslijstsynchronisatie

Resolutie 6: De UPN van een gebruikersaccount handmatig bijwerken

Als u wilt bijwerken een gebruikersaccount UPN die in licentie is gegeven nadat de eerste adreslijstsynchronisatie is opgetreden, de volgende stappen uit:
  1. Klik op Start, klik op Alle programma's, klik op Windows Azure Active Directoryen klik op Windows Azure Active Directory Module voor Windows PowerShell.
  2. Voer de volgende cmdlets bij de Windows PowerShell-prompt:
    1. $cred = get-credential
      Opmerking Wanneer u wordt gevraagd, voert u uw Administrator-referenties.
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

Resolutie 7: Gebruiker SMTP-adressen bijwerken met behulp van Active Directory-kenmerken voor gebouwen

Wanneer SMTP-kenmerken worden niet in een verwachte manier gesynchroniseerd met Exchange Online, moet u wellicht bijwerken van het Active Directory-kenmerken op gebouwen. Om te werken in de lokalen Active Directory-kenmerken zodat het juiste e-mailadres wordt weergegeven in Exchange Online, resolutie 2 gebruiken voor het bewerken van kenmerken die in de volgende tabel worden vermeld.
Naam in Active Directory-kenmerk op ruimtenVoorbeeld van de Active Directory On-premises-kenmerkwaardeVoorbeeld van de Exchange Online e-mailadressen
proxyAddressesSMTP:user1@contoso.comPrimaire SMTP: user1@contoso.com
Secundaire SMTP: user1@contoso.onmicrosoft.com
proxyAddressesSMTP:user1@contoso.comPrimaire SMTP: secundaire SMTP user1@contoso.onmicrosoft.com: user1@contoso.com
proxyAddressesSMTP:user1@contoso.com
SMTP:user1@sub.contoso.com
Primaire SMTP: user1@contoso.com
Secundaire SMTP: user1@sub.contoso.com
Secundaire SMTP: user1@contoso.onmicrosoft.com
e-mailUser1@contoso.comPrimaire SMTP: user1@contoso.com
Secundaire SMTP: user1@contoso.onmicrosoft.com
UserPrincipalNameUser1@contoso.comPrimaire SMTP: user1@contoso.com
Secundaire SMTP: user1@contoso.onmicrosoft.com
De vermelding Microsoft on line e-routering adres (MOERA) dat is gekoppeld aan het standaarddomein (zoals het user1@contoso.onmicrosoft.com) is een geïnterpreteerde waarde die gebaseerd op een alias voor een gebruikersaccount. Dit speciale e-mailadres is onlosmakelijk gekoppeld aan elke geadresseerde Exchange Online en u niet kunt beheren, verwijderen of maken van extra adressen van MOERA voor elke geadresseerde. Echter kan het MOERA adres worden te weinig gevoelige als het primaire SMTP-adres met behulp van de kenmerken in de Active Directory-gebruikersobject in gebouwen.

Opmerking De aanwezigheid van de gegevens in het kenmerk proxyAddresses maskeert volledig gegevens in voor de bevolking van Exchange Online e-mailadres het e -mailkenmerk.

Opmerking De aanwezigheid van de gegevens in het kenmerk proxyAddresses of het e -mailkenmerk kenmerken volledig masker UserPrincipalName gegevens voor de bevolking van Exchange Online e-mailadres. De UPN kan worden gebruikt voor het beheren van e-mailadressen. Een admin kan echter besluiten het e-mailadres en de UPN-afzonderlijk beheren via de kenmerken proxyAddresses of e-mail .

Het is raadzaam dat een van deze kenmerken voor het beheren van Exchange Online e-mailadressen voor de gebruikers van gesynchroniseerde consistent worden gebruikt.
MEER INFORMATIE
De Windows PowerShell-opdrachten die in dit artikel worden vermeld, vereisen de Azure Active Directory-Module voor Windows PowerShell. Ga naar voor meer informatie over de Azure Active Directory-Module voor Windows PowerShell Azure AD met Windows PowerShell beheren.

Zie de volgende Microsoft TechNet-wiki-artikel voor meer informatie over het filteren van adreslijstsynchronisatie door kenmerken:
Nog steeds hulp nodig? Ga naar de Office 365-Community website of de Azure Active Directory-Forums website.

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 2643629 - Laatst bijgewerkt: 11/20/2015 10:04:00 - Revisie: 27.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365a o365022013 o365e o365m kbgraphxlink kbgraphic kbmt KB2643629 KbMtnl
Feedback