Um ou mais objectos não sincronizar quando é utilizada a ferramenta de sincronização de directório Active Azure

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 2643629
PROBLEMA
Um ou mais objectos de serviços de domínio do Active Directory (AD DS) ou atributos não sincronizar com o Microsoft Azure Active Directory (Azure AD) conforme esperado. Quando é executada a sincronização do Active Directory, um objecto não sincronizar e, poderá detectar um dos seguintes sintomas:
  • Recebe uma mensagem de erro que indica que um atributo tem um valor duplicado.
  • Recebe uma mensagem de erro que indica que um ou mais atributos violam requisitos formatação, como o conjunto de caracteres ou caracteres de comprimento.
  • Não recebe uma mensagem de erro e sincronização de directórios parece ser concluída. No entanto, alguns objectos ou atributos não são actualizados como esperado.
Seguem-se alguns exemplos da mensagem de erro que poderá receber:
  • Já existe um objecto sincronizado com o mesmo endereço de proxy no directório do Microsoft Online Services.
  • Não é possível actualizar este objecto porque o ID de utilizador não foi encontrado.
  • Não é possível actualizar este objecto no Microsoft Online Services porque os seguintes atributos associados a este objecto tem valores que já esteja associados a outro objecto no directório local.
CAUSA
Este problema ocorre devido a uma das seguintes razões:
  • O valor de domínio que é utilizado pelos atributos de AD DS não tiver sido verificado.
  • Um ou mais atributos de objecto que requerem um valor exclusivo de ter um valor de atributo duplicado (tais como o proxyAddresses atributo ou o UserPrincipalName atributo) numa conta de utilizador.
  • Um ou mais atributos de objecto violam os requisitos de formatação que limitam os caracteres e o comprimento de caracteres dos valores de atributo.
  • Um ou mais atributos de objecto correspondem a regras de exclusão para sincronização de directórios.

    A tabela seguinte mostra a sincronização predefinida regras de âmbito:
    Tipo de objectoNome do atributoCondição do atributo quando falha de sincronização
    ContactoDisplayNameContém "MSOL"
    msExchHideFromAddressListsEstá definido como "True"
    Grupo de segurança activadaisCriticalSystemObjectEstá definido como "True"
    Grupos de correio
    (segurança grupo ou lista de distribuição)
    proxyAddresses

    e

    correio
    Não tenha "SMTP:" entrada de endereço

    e

    não está presente
    Contactos de correioproxyAddresses

    e

    correio
    Não tenha "SMTP:" entrada de endereço

    e

    não está presente
    iNetOrgPersonsAMAccountNameNão está presente
    isCriticalSystemObjectEstá presente
    UtilizadormailNickNameComeça com "SystemMailbox"
    mailNickNameComeça por "CAS_"

    e

    contém "{"
    sAMAccountNameComeça por "CAS_"

    e

    contém "}"
    sAMAccountNameÉ igual a "SUPPORT_388945a0"
    sAMAccountNameÉ igual a "MSOL_AD_Sync"
    sAMAccountNameNão está presente
    isCriticalSystemObjectEstá definido como "True"
  • Nome principal de utilizador (UPN) foi alterado após a sincronização inicial e têm de ser actualizado manualmente.
  • Endereços do Exchange Online Simple Mail Transfer Protocol (SMTP) de utilizadores sincronizados não são preenchidos adequadamente no esquema do Active Directory no local.
SOLUÇÃO
Para resolver este problema, utilize um dos seguintes métodos, conforme adequado à sua situação.

Resolução 1: Executar IdFix para verificar a existência de duplicados, atributos em falta e violações de regra

Utilizar o Ferramenta de reparação de erros de IdFix DirSync Para localizar objectos e erros que impeçam a sincronização para Azure AD.
  • Se vir "Vazio" na coluna de erro depois de executar o IdFix, consulte o seguinte artigo na Microsoft Knowledge Base:
    2857349 "Vazio" é apresentado na coluna erro para um ou mais objectos depois de executar a ferramenta de IdFix
  • Se vir "Formato" na coluna de erro depois de executar o IdFix, consulte o seguinte artigo na Microsoft Knowledge Base:
    2857351 "Formato" é apresentado na coluna erro para um ou mais objectos depois de executar a ferramenta de IdFix
  • Se vir "Caracter" na coluna de erro depois de executar o IdFix, consulte o seguinte artigo na Microsoft Knowledge Base:
    2857352 "Caracter" é apresentado na coluna erro para um ou mais objectos depois de executar a ferramenta de IdFix
  • Se vir "Duplicado" na coluna de erro depois de executar o IdFix, consulte o seguinte artigo na Microsoft Knowledge Base:
    2857385 "Duplicado" é apresentado na coluna erro para um ou mais objectos depois de executar a ferramenta de IdFix

Resolução 2: Determinar os conflitos de atributo que são causados por objectos que não foram criados em AD Azure através da sincronização de directórios

Para determinar os conflitos de atributo que são causados por objectos de utilizador que foram criados utilizando as ferramentas de gestão (e que não foram criados em AD Azure através da sincronização de directórios), siga estes passos:
  1. Determinar os atributos exclusivos das instalações conta de utilizador do AD DS. Para tal, num computador com ferramentas de suporte do Windows instalado, siga estes passos:
    1. Clique em Iniciar, clique em Executar, tipo Ldp.exee, em seguida, clique em OK.
    2. Clique em ligação, clique em Ligar, escreva o nome do computador de um controlador de domínio de AD DS e, em seguida, clique em OK.
    3. Clique em ligação, clique em Ligare, em seguida, clique em OK.
    4. Clique em Ver, clique em Vista de árvore, seleccione o domínio de AD DS na lista pendente BaseDN e, em seguida, clique em OK.
    5. No painel de navegação, localize e, em seguida, faça duplo clique no objecto que não está a sincronizar correctamente. O painel de detalhes no lado direito da janela lista todos os atributos de objecto. O exemplo seguinte mostra os atributos do objecto:

      Captura de ecrã dos atributos do objecto
    6. Registe os valores de atributo userPrincipalName e cada endereço de SMTP no atributo de valor múltiplo proxyAddresses . Irá necessitar destes valores posteriormente.
      Nome do atributo Exemplo Notas
      proxyAddresses proxyAddresses (3): X500: /o = Exchange/ou = grupo administrativo do Exchange (FYDIBOHF23SPDLT) / cn = Recipients/cn = 1ae75fca0d3a4303802cea9ca50fcd4f-7628376; SMTP:7628376@Service.contoso.com; SMTP:7628376@contoso.com;
      • O número que é apresentado entre parênteses junto à etiqueta do atributo indica o número de valores de endereço de proxy no atributo de valor múltiplo.
      • Cada valor de endereço do proxy distintos é indicado por um ponto e vírgula (;).
      • O valor de endereço de proxy de SMTP principal é indicado por letras maiúsculas "SMTP:"
      userPrincipalName 7628376@contoso.com
      Nota Ldp.exe está incluído no Windows Server 2008 e nas ferramentas de suporte do Windows Server 2003. As ferramentas de suporte do Windows Server 2003 estão incluídas no suporte de instalação do Windows Server 2003. Ou, para obter as ferramentas de suporte, visite o seguinte Web site da Microsoft:
  2. Ligar a Azure AD utilizando o Azure Active Directory módulo para o Windows PowerShell. Para obter mais informações, vá para Gerir AD Azure utilizando o Windows PowerShell.

    Deixe a janela de consola aberta. Terá de utilizá-lo no passo seguinte.
  3. Verifique se os atributos de duplicados userPrincipalName .

    Na ligação de consola que abriu no passo 2, escreva os seguintes comandos pela ordem em que são apresentados e, em seguida, prima Enter após cada comando:
    • $userUPN = "<search UPN>"
      Nota Neste comando, o marcador de posição "<search upn="">" representa o atributo de UserPrincipalName que anotou no passo 1f.<b00> </b00> </search>
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    Deixe a janela de consola aberta. Irá utilizá-la novamente no passo seguinte.
  4. Verificar a existência de duplicados proxyAddresses atributos. Na ligação de consola que abriu no passo 2, escreva os seguintes comandos pela ordem em que são apresentados e, em seguida, prima Enter após cada comando:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. Para cada entrada de endereço proxy que anotou no passo 1f, escreva os seguintes comandos pela ordem em que são apresentados e, em seguida, prima Enter após cada comando:
    • $proxyAddress = "<search proxyAddress>" 
      Nota Neste comando, o marcador de posição "<search proxyaddress="">" representa o valor de um atributo de proxyAddresses que anotou no passo 1f.<b00> </b00> </search>
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)<AngularNoBind>}}</AngularNoBind> 
Os itens que são devolvidos depois de executar os comandos no passo 3 e 4 representam objectos de utilizador que não foram criados através da sincronização de directórios e que têm atributos que estão em conflito com o objecto que não está a sincronizar correctamente.

Resolução 3: Atributos de actualização AD DS remover duplicados, violações de regras e exclusões do âmbito

Identificar os atributos específicos que estão a impedir a sincronização com base nas seguintes informações:
  • Mensagens de correio electrónico administrativo
  • O relatório a partir dos resultados da ferramenta de preparação para implementação do Office 365
  • Regras de âmbito de sincronização de directório e regras personalizadas predefinidos
Depois de um valor de atributo específico é identificado, utilize a ferramenta de computadores e utilizadores do Active Directory para editar o valor do atributo. Para tal, siga estes passos:
  1. Abrir computadores e utilizadores do Active Directory e, em seguida, seleccione o nó de raiz do domínio AD DS.
  2. Clique em View, e, em seguida, certifique-se de que o funcionalidades avançadas está seleccionada.
  3. No painel de navegação do lado esquerdo, localize o objecto de utilizador, faça duplo clique nele e, em seguida, clique em Propriedades.
  4. No separador ' Editor de objecto , localize o atributo que pretende, clique em Editare, em seguida, edite o valor do atributo para o valor que pretende.
  5. Clique em OK duas vezes.
Ou, pode utilizar a edição do Active Directory Service Interfaces (ADSI) para actualizar atributos de objectos no AD DS. Pode transferir e instalar o ADSI Edit como parte do Windows Server Toolkit. Para utilizar o ADSI Edit para editar atributos, siga estes passos.

Aviso Este procedimento requer o ADSI Edit. Utilização incorrecta do Editor de ADSI pode provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de ADSI podem ser resolvidos. Utilize o ADSI Edit na sua conta e risco.
  1. Clique em Iniciar, clique em Executar, tipo Adsiedit. msce, em seguida, clique em OK.
  2. Com o botão direito ADSI Edit no painel de navegação, clique em ligar ae, em seguida, clique em OK para carregar a partição de domínio.
  3. Localizar o objecto de utilizador, faça duplo clique nele e, em seguida, clique em Propriedades.
  4. No atributos , localize o atributo que pretende, clique em Editare, em seguida, edite o valor do atributo para o valor que pretende.
  5. Clique em OK duas vezes e, em seguida, sair ADSI Edit.

Resolução 4: Criar um novo grupo e adicioná-lo ao grupo incorporado que não está a ser sincronizadas

Para resolver o problema no cenário onde grupos alguns incorporados (por exemplo, o grupo de utilizadores do domínio) não são sincronizadas, criar um novo grupo que contém todos os membros aplicáveis e as permissões apropriadas do grupo incorporado. Em seguida, adicione esse grupo como um membro ao grupo incorporado que não é sincronizada. Utilize o novo grupo em vez do grupo incorporado para gerir os membros. Ao fazê-lo, é ainda gerir apenas a um grupo.

Não pretende alterar os atributos do grupo incorporado ou alterar as regras de âmbito do aparelho de sincronização de identidade para permitir que os objectos de sistema críticos ser sincronizada, porque este poderá accionar outro comportamento inesperado.

Resolução 5: Utilizar SMTP correspondência para fazer com que um objecto de utilizador local para sincronização com um objecto de utilizador existente

Para efectuar este procedimento, consulte o seguinte artigo na Microsoft Knowledge:
2641663 Como utilizar o SMTP correspondência para corresponder no local Contas de utilizador para contas de utilizador do Office 365 para sincronização de directórios

Resolução de 6: Actualizar manualmente uma conta de utilizador UPN

Para actualizar uma conta de utilizador UPN licenciado depois da sincronização de directório inicial ter ocorrido, siga estes passos:
  1. Clique em Iniciar, clique em Todos os programas, clique em Windows Azure Active Directorye, em seguida, clique em Windows Azure Active Directory módulo para o Windows PowerShell.
  2. Execute os seguintes cmdlets na linha de comandos do Windows PowerShell:
    1. $cred = get-credential
      Nota Quando lhe for pedido, introduza as credenciais de administrador.
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

Resolução de 7: Actualizar endereços de SMTP do utilizador através da utilização de atributos do local do Active Directory

Quando os atributos de SMTP não são sincronizadas com o Exchange Online de uma forma esperada, poderá ter de actualizar os atributos do Active Directory no local. Para actualizar atributos do local do Active Directory para que o endereço de correio electrónico correcto seja apresentado no Exchange Online, utilize a resolução 2 para manipular os atributos que estão listados na seguinte tabela.
Nome do atributo no local do Active DirectoryValor de atributo do Active Directory no local de exemploEndereços de correio electrónico Exchange Online de exemplo
proxyAddressesSMTP:User1@contoso.comPrincipal de SMTP: user1@contoso.com
SMTP secundários: user1@contoso.onmicrosoft.com
proxyAddressesSMTP:User1@contoso.comPrincipal de SMTP: SMTP secundário user1@contoso.onmicrosoft.com: user1@contoso.com
proxyAddressesSMTP:User1@contoso.com
SMTP:User1@sub.contoso.com
Principal de SMTP: user1@contoso.com
SMTP secundários: user1@sub.contoso.com
SMTP secundários: user1@contoso.onmicrosoft.com
correioUser1@contoso.comPrincipal de SMTP: user1@contoso.com
SMTP secundários: user1@contoso.onmicrosoft.com
UserPrincipalNameUser1@contoso.comPrincipal de SMTP: user1@contoso.com
SMTP secundários: user1@contoso.onmicrosoft.com
A entrada do Microsoft Online correio electrónico encaminhamento endereço (MOERA) que associou o domínio predefinido (tal como em user1@contoso.onmicrosoft.com) é um valor interpretado que se baseia o alias de uma conta de utilizador. Este endereço de correio electrónico de especialidade inextricavelmente está ligado para cada destinatário do Exchange Online e não é possível gerir, eliminar ou criar endereços adicionais de MOERA para qualquer destinatário. No entanto, o endereço MOERA pode ser indevidamente utilizado como o endereço SMTP principal utilizando os atributos no objecto de utilizador do Active Directory no local.

Nota A presença de dados no atributo proxyAddresses máscaras completamente os dados no atributo de correio Exchange Online população de endereço de correio electrónico.

Nota A presença de dados no atributo proxyAddresses , o atributo de correio ou ambos completamente atributos dados UserPrincipalName de máscara para Exchange Online população de endereço de correio electrónico. O UPN pode ser utilizado para gerir endereços de correio electrónico. No entanto, um administrador pode optar por gerir o endereço de correio electrónico e UPN separadamente por atributos proxyAddresses ou série de preenchimento.

Recomendamos vivamente que um destes atributos seja utilizado consistentemente para gerir endereços de correio electrónico Exchange Online para utilizadores sincronizados.
MAIS INFORMAÇÕES
Os comandos do Windows PowerShell que são mencionados neste artigo requerem o Azure Active Directory módulo para o Windows PowerShell. Para mais informações sobre o Azure Active Directory módulo para o Windows PowerShell, vá para Gerir AD Azure utilizando o Windows PowerShell.

Para mais informações sobre a filtragem de sincronização de directórios por atributos, consulte o seguinte artigo do wiki Microsoft TechNet:
Ainda precisa de ajuda? Vá para o Comunidade do Office 365 Web site ou o Fóruns de Azure do Active Directory Web site.

Propriedades

ID do Artigo: 2643629 - Última Revisão: 11/20/2015 10:14:00 - Revisão: 26.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365a o365022013 o365e o365m kbgraphxlink kbgraphic kbmt KB2643629 KbMtpt
Comentários