Jeden lub więcej obiektów nie Synchronizuj podczas używania narzędzia Azure Active Directory Sync

WAŻNE: Ten artykuł został przetłumaczony przy użyciu oprogramowania firmy Microsoft do tłumaczenia maszynowego i może być poprawiony przy użyciu technologii Community Translation Framework (CTF). Firma Microsoft udostępnia artykuły tłumaczone maszynowo, poprawione przez społeczność, a także tłumaczone przez tłumaczy profesjonalnych, aby zapewnić dostęp do wszystkich artykułów w bazie wiedzy w wielu językach. Artykuły tłumaczone maszynowo i poprawione mogą zawierać błędy pisowni, składniowe i gramatyczne. Firma Microsoft nie ponosi odpowiedzialności za żadne nieścisłości, błędy ani szkody spowodowane przez niepoprawne tłumaczenia zawartości ani przez korzystanie z niej przez klientów. Więcej o strukturze CTF: http://support.microsoft.com/gp/machine-translation-corrections/pl.

Anglojęzyczna wersja tego artykułu to: 2643629
PROBLEM
Jeden lub więcej obiektów Usługi domenowe w usłudze Active Directory (AD DS) lub atrybutów nie Synchronizuj Microsoft Azure usługi Active Directory (Azure AD) zgodnie z oczekiwaniami. Podczas uruchamiania synchronizacji usługi Active Directory, obiekt nie synchronizacji i może wystąpić jeden z następujących symptomów:
  • Otrzymujesz komunikat o błędzie z informacją, że atrybut ma powtarzającą się wartość.
  • Otrzymujesz komunikat o błędzie z informacją, że jeden lub więcej atrybutów naruszenie wymogów formatowania, takich jak zestaw znaków lub długość w znakach.
  • Nie otrzymasz komunikat o błędzie, a synchronizacji katalogów wydaje się być zakończone. Jednak niektóre obiekty i atrybuty nie są aktualizowane zgodnie z oczekiwaniami.
Oto kilka przykładów może pojawić się komunikat o błędzie:
  • Synchronizowanego obiektu z tym samym adresem proxy już istnieje w katalogu programu Microsoft Online Services.
  • Nie można zaktualizować tego obiektu, ponieważ nie odnaleziono Identyfikatora użytkownika.
  • Nie można zaktualizować tego obiektu w witrynie Microsoft Online Services, ponieważ następujące atrybuty skojarzone z tym obiektem wartości, które mogą być już skojarzony z innym obiektem w katalogu lokalnym.
PRZYCZYNA
Ten problem występuje z jednej z następujących przyczyn:
  • Wartość domeny, który jest używany przez atrybuty AD DS nie zostało zweryfikowane.
  • Jeden lub więcej atrybutów obiektu, które wymagają unikatową wartość mają wartość zduplikowany atrybut (takich jak proxyAddresses atrybut lub UserPrincipalName atrybut) w istniejące konto użytkownika.
  • Jeden lub więcej atrybutów obiektu naruszają zasady formatowania wymagania, które ograniczają znaki i długość znaków wartości atrybutu.
  • Jeden lub więcej atrybutów obiektu zgodne reguły wykluczeń synchronizacji katalogów.

    W poniższej tabeli przedstawiono synchronizacji domyślnej zasady określania zakresów:
    Typ obiektuNazwa atrybutuStan atrybut, jeśli synchronizacja nie powiedzie się
    KontaktDisplayNameZawiera "MSOL"
    msExchHideFromAddressListsMa wartość "True"
    Grupa obsługująca zabezpieczeniaisCriticalSystemObjectMa wartość "True"
    Grup z włączoną obsługą poczty e-mail
    (zabezpieczeń grupy lub listy dystrybucyjnej)
    proxyAddresses

    i

    Poczta
    Nie ma "SMTP:" adres wpisu

    i

    nie jest obecny
    Kontakty z włączoną obsługą poczty e-mailproxyAddresses

    i

    Poczta
    Nie ma "SMTP:" adres wpisu

    i

    nie jest obecny
    iNetOrgPersonsAMAccountNameNie jest obecny
    isCriticalSystemObjectJest obecny
    UżytkownikmailNickNameRozpoczynają się od "SystemMailbox"
    mailNickNameRozpoczynają się od "CAS_"

    i

    zawiera "{"
    sAMAccountNameRozpoczynają się od "CAS_"

    i

    zawiera "}"
    sAMAccountNameJest równe "SUPPORT_388945a0"
    sAMAccountNameJest równe "MSOL_AD_Sync"
    sAMAccountNameNie jest obecny
    isCriticalSystemObjectMa wartość "True"
  • Główną nazwę użytkownika (UPN) został zmieniony po wstępnej synchronizacji i muszą być aktualizowane ręcznie.
  • Adresy synchronizowany użytkowników programu Exchange Online SMTP Simple Mail Transfer Protocol () nie są odpowiednio wypełnione w schemacie usługi Active Directory na lokalnym.
ROZWIĄZANIE
Aby rozwiązać ten problem, należy użyć jednej z następujących metod, odpowiedniej do konkretnej sytuacji.

Rozwiązanie 1: Uruchom IdFix, aby wyszukać duplikaty, brakujące atrybuty i naruszeń reguł

Użyj Narzędzie korygowania błędów IdFix DirSync Aby znaleźć obiekty i błędy, które uniemożliwiają synchronizacja reklamom Azure.
  • Jeśli widzisz "Pustego" w kolumnie Błąd po można uruchomić IdFix, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
    2857349 "Puste" jest wyświetlany w kolumnie błąd dla jednego lub więcej obiektów po uruchomieniu narzędzia IdFix
  • Jeśli widzisz "Format" w kolumnie Błąd po uruchomieniu IdFix, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
    2857351 "Format" jest wyświetlany w kolumnie błąd dla jednego lub więcej obiektów, po uruchomieniu narzędzia IdFix
  • Jeśli widzisz "Znak" w kolumnie Błąd po uruchomieniu IdFix, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
    2857352 "Znak" jest wyświetlany w kolumnie błąd dla jednego lub więcej obiektów, po uruchomieniu narzędzia IdFix
  • Jeśli widzisz "Duplikat" w kolumnie Błąd po uruchomieniu IdFix, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
    2857385 "Duplikat" jest wyświetlany w kolumnie błąd dla jednego lub więcej obiektów po uruchomieniu narzędzia IdFix

Rozwiązanie 2: Określić atrybut konfliktów, które są powodowane przez obiekty, które nie zostały utworzone w Azure AD za pośrednictwem synchronizacji katalogów

Aby sprawdzić konflikty atrybutów, które są spowodowane przez obiektów użytkowników, które zostały utworzone przy użyciu narzędzia do zarządzania (i które nie były tworzone w Azure AD za pośrednictwem synchronizacji katalogów), wykonaj następujące kroki:
  1. Określić unikatowe atrybuty lokalnego konta użytkownika AD DS. Aby to zrobić, na komputerze, który ma zainstalowane narzędzia obsługi systemu Windows, wykonaj następujące kroki:
    1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz Ldp.exe, a następnie kliknij przycisk OK.
    2. Kliknij połączenie, kliknij przycisk Połącz, wpisz nazwę komputera z kontrolerem domeny AD DS, a następnie kliknij przycisk OK.
    3. Kliknij połączenie, kliknij powiązania, a następnie kliknij przycisk OK.
    4. Kliknij menu Widok, kliknij przycisk Widok drzewa, zaznacz na liście rozwijanej Bazowa nazwa wyróżniająca domeny AD DS i kliknij przycisk OK.
    5. W okienku nawigacji zlokalizuj i kliknij dwukrotnie obiekt, który nie jest poprawnie synchronizacji. W okienku szczegółów po prawej stronie okna wyświetla listę wszystkich atrybutów obiektu. W poniższym przykładzie pokazano atrybuty obiektu:

      Zrzut ekranu przedstawiający atrybutów obiektów
    6. Zapis wartości atrybutu userPrincipalName i każdego adresu SMTP w atrybucie wielowartościowym proxyAddresses . Później trzeba te wartości.
      Nazwa atrybutu Przykład Uwagi
      proxyAddresses proxyAddresses (3): x 500: / o = Exchange/ou = Exchange Administrative Group (FYDIBOHF23SPDLT) / cn = Recipients/cn = 1ae75fca0d3a4303802cea9ca50fcd4f-7628376; SMTP:7628376@Service.contoso.com; SMTP:7628376@contoso.com;
      • Numer, który jest wyświetlany w nawiasach obok etykiety atrybut wskazuje liczbę wartości adresów serwera proxy w atrybucie wielowartościowym.
      • Każda wartość adresu proxy odrębne jest wskazywane przez średnik (;).
      • Wartość adresu podstawowego serwera proxy SMTP jest wskazywany przez wielkie "SMTP:"
      userPrincipalName 7628376@contoso.com
      Uwaga: Ldp.exe znajduje się w systemie Windows Server 2008 i narzędzi obsługi systemu Windows Server 2003. Narzędzia obsługi systemu Windows Server 2003 są zawarte w nośniku instalacyjnym systemu Windows Server 2003. Lub, aby uzyskać narzędzia obsługi, przejdź do następującej witryny firmy Microsoft:
  2. Nawiązać Azure AD przy użyciu Azure Active Directory moduł dla środowiska Windows PowerShell. Aby uzyskać więcej informacji przejdź do Zarządzaj Azure AD przy użyciu środowiska Windows PowerShell.

    Pozostaw otwarte okno konsoli. Należy go używać w następnym kroku.
  3. Sprawdź, czy atrybuty zduplikowane userPrincipalName .

    W połączeniu konsoli otwartego w kroku 2 wpisz następujące polecenia w kolejności, w której są przedstawiane, a następnie naciśnij klawisz Enter po wpisaniu każdego polecenia:
    • $userUPN = "<search UPN>"
      Uwaga: W tym poleceniu symbol zastępczy "<search upn="">" reprezentuje atrybut UserPrincipalName , odnotowanej w kroku 1f.<b00> </b00> </search>
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    Pozostaw otwarte okno konsoli. Będziesz go używał ponownie w następnym kroku.
  4. Sprawdź zduplikowane proxyAddresses atrybuty. W połączeniu konsoli otwartego w kroku 2 wpisz następujące polecenia w kolejności, w której są przedstawiane, a następnie naciśnij klawisz Enter po wpisaniu każdego polecenia:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. Dla każdego wpisu adres serwera proxy, odnotowanej w kroku 1f wpisz następujące polecenia w kolejności, w której są przedstawiane, a następnie naciśnij klawisz Enter po wpisaniu każdego polecenia:
    • $proxyAddress = "<search proxyAddress>" 
      Uwaga: W tym poleceniu symbol zastępczy "<search proxyaddress="">" reprezentuje wartość atrybutu proxyAddresses , odnotowanej w kroku 1f.<b00> </b00> </search>
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)<AngularNoBind>}}</AngularNoBind> 
Elementy, które są zwracane po uruchomieniu polecenia w kroku 3 i 4 reprezentują obiektów użytkowników, które nie były utworzone za pomocą synchronizacji katalogów, które mają atrybuty, które są w konflikcie z obiektu, który nie jest poprawnie synchronizacji.

Rozwiązanie 3: Atrybuty aktualizacji AD DS do usuwania duplikatów, naruszenia zasad i zakresu wykluczenia

Zidentyfikować określone atrybuty, które uniemożliwiają synchronizacji na podstawie następujących informacji:
  • Wiadomości e-mail administracyjne
  • Raport z danych wyjściowych narzędzia analizy gotowości wdrażania pakietu Office 365
  • Domyślne reguły zakresu synchronizacji katalogu i niestandardowych reguł
Po wartości konkretnego atrybutu jest identyfikowany, narzędzia komputery i użytkownicy usługi Active Directory można także używać do edytowania wartości atrybutu. Aby to zrobić, wykonaj następujące kroki:
  1. Otwórz komputery i użytkownicy usługi Active Directory, a następnie wybierz węzeł główny domeny AD DS.
  2. Kliknij View, , a następnie upewnij się, że Funkcje zaawansowane opcja jest zaznaczona.
  3. W lewym okienku nawigacji zlokalizuj obiekt użytkownika, kliknij go prawym przyciskiem myszy i kliknij polecenie Właściwości.
  4. Zlokalizuj atrybut, który chcesz, kliknij menu Edycja, a następnie Edytuj wartość atrybutu na wartość, która ma na karcie Edytor obiektów .
  5. Kliknij przycisk OK dwa razy.
Lub Edycja interfejsów usługi Active Directory (ADSI) umożliwia aktualizowanie atrybutów obiektów w AD DS. Można pobrać i zainstalować Edytor ADSI jako część zestawu narzędzi serwera systemu Windows. Aby używać przystawki Edytor ADSI, aby edytować atrybuty, wykonaj następujące kroki.

Ostrzeżenie Ta procedura wymaga, Edycja ADSI. Za pomocą Edytora ADSI niepoprawnie może spowodować poważne problemy, wymagające ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie gwarantuje, że problemy wynikające z nieprawidłowego korzystania z przystawki Edycja ADSI można rozpoznać. Używać przystawki Edytor ADSI, na własne ryzyko.
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz ADSIEdit.msc, a następnie kliknij przycisk OK.
  2. Kliknij prawym przyciskiem myszy Edycja ADSI w okienku nawigacji kliknij polecenie Połącz z, a następnie kliknij przycisk OK do załadowania partycji domeny.
  3. Zlokalizuj obiekt użytkownika, kliknij go prawym przyciskiem myszy i kliknij polecenie Właściwości.
  4. W atrybuty listy, zlokalizuj atrybut, który chcesz, kliknij menu Edycja, a następnie Edytuj wartość atrybutu na wartość, która ma.
  5. Kliknij przycisk OK dwa razy, a następnie zamknij Edytor ADSI.

Rozwiązanie 4: Tworzenie nowej grupy i dodać go do wbudowanej grupy, która jest nie zsynchronizowane

Aby rozwiązać problem w scenariuszu, w którym grupy niektóre wbudowane (np. grupa Użytkownicy domeny) nie są zsynchronizowane, Utwórz nową grupę, która zawiera wszystkie elementy mające zastosowanie i odpowiednie uprawnienia grupy wbudowanej. Następnie należy dodać tę grupę jako członka do wbudowanej grupy, która nie jest zsynchronizowane. Zamiast nowej grupy wbudowanej grupy do zarządzania członków. W ten sposób nadal zarządzać tylko do jednej grupy.

Nie chcesz zmienić atrybuty wbudowanej grupy lub z regułami zakresu tożsamości synchronizacji urządzenie i pozwolić na krytyczne dane systemowe obiektów można zsynchronizować, ponieważ może to wywołać inne nieoczekiwane zachowania.

Rozwiązanie 5: SMTP użycia dopasowywanie spowodować obiekt użytkownika lokalnego do synchronizacji do istniejącego obiektu użytkownika

Aby to zrobić, zobacz następujący artykuł Microsoft Knowledge:
2641663 Jak używać SMTP pasujących do lokalnych kont użytkowników do kont użytkowników usługi Office 365 do synchronizacji katalogów

Rozwiązanie 6: Ręczna aktualizacja konta użytkownika nazwy UPN

Aby zaktualizować konta użytkownika nazwy UPN, licencjonowane po wystąpieniu początkowy katalog synchronizacji, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Wszystkie programy, kliknij przycisk Windows Azure Active Directory, a następnie kliknij Windows Azure Active Directory modułu dla Windows PowerShell.
  2. Uruchom następujące polecenia cmdlet środowiska Windows PowerShell w wierszu:
    1. $cred = get-credential
      Uwaga: Gdy zostanie wyświetlony monit, wprowadź poświadczenia administratora.
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

Rozwiązanie 7: Aktualizowanie adresów SMTP użytkownika przy użyciu atrybutów usługi Active Directory na lokalnym

Atrybuty SMTP nie są zsynchronizowane z programem Exchange Online w oczekiwany sposób, należy zaktualizować lokalne atrybutów usługi Active Directory. Aby zaktualizować lokalne atrybutów usługi Active Directory, aby poprawny adres e-mail wyświetlany w programie Exchange Online, umożliwia rozwiązanie 2 operowania atrybutami, które są wymienione w poniższej tabeli.
Nazwa atrybutu lokalnej usługi Active DirectoryPrzykładowa wartość atrybutu na lokalnej usługi Active DirectoryPrzykład programu Exchange Online adresy e-mail
proxyAddressesSMTP:user1@contoso.comPodstawowy SMTP: user1@contoso.com
Pomocniczy SMTP: user1@contoso.onmicrosoft.com
proxyAddressesSMTP:user1@contoso.comPodstawowego SMTP: SMTP pomocniczy user1@contoso.onmicrosoft.com: user1@contoso.com
proxyAddressesSMTP:user1@contoso.com
SMTP:user1@Sub.contoso.com
Podstawowy SMTP: user1@contoso.com
Pomocniczy SMTP: user1@sub.contoso.com
Pomocniczy SMTP: user1@contoso.onmicrosoft.com
PocztaUser1@contoso.comPodstawowy SMTP: user1@contoso.com
Pomocniczy SMTP: user1@contoso.onmicrosoft.com
UserPrincipalNameUser1@contoso.comPodstawowy SMTP: user1@contoso.com
Pomocniczy SMTP: user1@contoso.onmicrosoft.com
Wpis Microsoft Online E-mail Routing adres (MOERA), skojarzone z domyślnej domeny (na przykład [user1@contoso.onmicrosoft.com) to wartość interpretowany, która opiera się na konto użytkownika aliasu. Ten adres e-mail specjalistycznych jest nierozerwalnie związane z każdego z adresatów programu Exchange w trybie Online, a nie można zarządzać, usuwanie lub tworzenie dodatkowych adresów MOERA dla dowolnego odbiorcy. Jednak adres MOERA może być włączana jako podstawowy adres SMTP przy użyciu atrybutów w obiekcie użytkownika usługi Active Directory na lokalnym.

Uwaga: Obecność danych w atrybucie proxyAddresses całkowicie maski danych w atrybut poczty Exchange Online ludności adres e-mail.

Uwaga: Obecność dane w atrybucie proxyAddresses i/lub atrybut poczty całkowicie atrybuty danych UserPrincipalName maska dla populacji adres e-mail programu Exchange w trybie Online. Nazwa UPN może służyć do zarządzania adresami e-mail. Jednak administrator może podjąć decyzję o zarządzać adres e-mail i nazwy UPN oddzielnie przez wypełnianie atrybuty proxyAddresses lub poczty .

Zdecydowanie zalecamy, aby jeden z tych atrybutów służyć konsekwentnie do zarządzania usługą Exchange Online adresy e-mail dla użytkowników synchronizowany.
WIĘCEJ INFORMACJI
Poleceń środowiska Windows PowerShell, które zostały wymienione w tym artykule wymagają Azure Active Directory moduł dla środowiska Windows PowerShell. Aby uzyskać więcej informacji na temat Azure Active Directory moduł dla środowiska Windows PowerShell przejdź do Zarządzaj Azure AD przy użyciu środowiska Windows PowerShell.

Aby uzyskać więcej informacji na temat filtrowania synchronizacji katalogów przez atrybuty zobacz następujący artykuł wiki Microsoft TechNet:
Nadal potrzebujesz pomocy? Przejdź do Społeczności użytkowników usługi Office 365 witryny sieci Web lub Fora Azure usługi Active Directory .

Ostrzeżenie: ten artykuł przetłumaczono automatycznie

Właściwości

Identyfikator artykułu: 2643629 — ostatni przegląd: 11/20/2015 10:04:00 — zmiana: 28.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365a o365022013 o365e o365m kbgraphxlink kbgraphic kbmt KB2643629 KbMtpl
Opinia