Du arbetar offline, väntar på att återansluta till Internet

Ett eller flera objekt synkroniseras inte när du använder verktyget Azure Active Directory-synkronisering

VIKTIGT: Denna artikel har översatts av Microsofts programvara för maskin-översättning och möjligen efterredigerats via CTF-teknologi av Microsofts community istället för av en professionell mänsklig översättare. För att du på ditt eget språk skall få tillgång till samtliga Knowledge Base-artiklar erbjuder Microsoft både mänskligt översatta såväl som maskinöversatta artiklar samt artiklar som efterredigerats av en community. En maskinöversatt artikel likväl som en artikel som blivit efterredigerad av en community är dock inte alltid helt perfekt, då de kan innehålla misstag i ordförrådet, syntax- och grammatikfel. Microsoft är inte ansvarigt för några felaktigheter, misstag eller skador orsakade av felöversättningar eller för våra kunders bruk av innehållet. Microsoft uppdaterar ofta sin programvara för maskinöversättning samt de verktyg som förbättrar den maskinöversatta efterredigeringen.

Den engelska versionen av artikeln är följande: 2643629
PROBLEMET
Active Directory DS (AD DS) objekt eller attribut Synkronisera inte med Microsoft Azure Active Directory (AD Azure) som förväntat. När Active Directory-synkroniseringen körs Synkronisera inte ett objekt och något av följande problem uppstå:
  • Du får ett felmeddelande om att ett attribut har ett dubblettvärde.
  • Du får ett felmeddelande om att ett eller flera attribut strider mot formatering krav som teckenuppsättning eller tecken.
  • Du får inte ett felmeddelande och katalogsynkronisering verkar vara slutförd. Men är inte vissa objekt eller attribut uppdaterade som förväntat.
Några exempel på felmeddelandet som kan visas är följande:
  • Ett synkroniserat objekt med samma proxyadress finns redan i Microsoft Online Services-katalogen.
  • Det gick inte att uppdatera det här objektet eftersom användar-ID inte finns.
  • Det gick inte att uppdatera det här objektet i Microsoft Online Services eftersom följande attribut som associeras med det här objektet har värden som redan kan vara kopplad till ett annat objekt i den lokala katalogen.
ORSAK
Problemet beror på något av följande skäl:
  • Domänvärdet som används av AD DS-attribut har inte verifierats.
  • Ett eller flera objektattribut som kräver ett unikt värde har ett dubblettattribut värde (t ex den proxyAddresses attributet eller UserPrincipalName attributet) i ett befintligt användarkonto.
  • Ett eller flera objektattribut skulle kränka formatering krav som begränsar tecken och tecken av attributvärden.
  • Ett eller flera objektattribut matchar undantagsreglerna för katalogsynkronisering.

    I följande tabell visas standard-synkronisera scope regler:
    ObjekttypAttributnamnVillkor för attributet om synkroniseringen misslyckas
    KontaktDisplayNameInnehåller "MSOL"
    msExchHideFromAddressListsHar värdet "True"
    Grupp med aktiv säkerhetisCriticalSystemObjectHar värdet "True"
    E-postfunktioner grupper
    (säkerhet eller distributionslista lista)
    proxyAddresses

    och

    e-post
    Har några "SMTP:" adress post

    och

    finns inte
    E-postfunktioner kontakterproxyAddresses

    och

    e-post
    Har några "SMTP:" adress post

    och

    finns inte
    iNetOrgPersonsAMAccountNameFinns inte
    isCriticalSystemObjectFinns
    AnvändaremailNickNameBörjar med "SystemMailbox"
    mailNickNameBörjar med "CAS_"

    och

    innehåller "{"
    sAMAccountNameBörjar med "CAS_"

    och

    innehåller "}"
    sAMAccountNameÄr lika med "SUPPORT_388945a0"
    sAMAccountNameGer resultatet "MSOL_AD_Sync"
    sAMAccountNameFinns inte
    isCriticalSystemObjectHar värdet "True"
  • Användarens huvudnamn (UPN) har ändrats efter den ursprungliga synkroniseringen och måste uppdateras manuellt.
  • Exchange Online Simple Mail Transfer Protocol (SMTP) adresser synkroniserade användare inte är korrekt ifyllt i lokal Active Directory-schemat.
LÖSNING
Lös problemet genom att använda någon av följande metoder som passar din situation.

Lösning 1: Kör IdFix för att söka efter dubbletter, saknade attribut och brott mot regeln

Använd den IdFix DirSync fel reparation verktyg hitta objekt och fel som förhindrar synkronisering av Azure AD.
  • Om du ser "Tom" i kolumnen fel när du kör IdFix finns i följande artikel i Microsoft Knowledge Base:
    2857349 "Blank" visas i fel kolumn för ett eller flera objekt när du har kört verktyget IdFix
  • Om du ser "Format" i fel kolumn när du har kört IdFix, finns i följande artikel i Microsoft Knowledge Base:
    2857351 "Format" visas i fel kolumn för ett eller flera objekt när du har kört verktyget IdFix
  • Om du ser "Tecken" i fel kolumn när du har kört IdFix, finns i följande artikel i Microsoft Knowledge Base:
    2857352 "Tecken" visas i fel kolumn för ett eller flera objekt när du har kört verktyget IdFix
  • Om du ser "Dubblett" i fel kolumn när du har kört IdFix, finns i följande artikel i Microsoft Knowledge Base:
    2857385 "Dubblett" visas i fel kolumn för ett eller flera objekt när du har kört verktyget IdFix

Lösning 2: Ta reda på attributet konflikter som orsakas av objekt som inte skapats i Azure AD genom katalogsynkronisering

Ta reda på attributet konflikter som orsakas av user-objekt som har skapats med hjälp av verktyg (och som inte skapats i Azure AD genom katalogsynkronisering) så här:
  1. Bestämma unika attribut för lokalerna användarkontot i AD DS. Gör detta på en dator som har Windows supportverktyg, så här:
    1. Klicka på Start, klicka på Kör, Skriv Ldp.exe, och klicka sedan på OK.
    2. Klicka på anslutning, klickar du på Anslut, Skriv namnet på en AD DS-domänkontrollant och klicka sedan på OK.
    3. Klicka på anslutningenoch klicka på Bind.
    4. Klicka på Visaoch klicka på Trädvyn, Välj AD DS-domänen i listan Bas-DN .
    5. Leta upp i navigeringsfönstret och dubbelklicka sedan på det objekt som inte synkroniseras korrekt. I informationsfönstret till höger i fönstret visas alla objektattribut. Följande exempel visar objektattributen:

      Skärmbild av objektattributen
    6. Registrera värdena för attributet userPrincipalName och varje SMTP-adressen i attributet proxyAddresses för flera värden. Du behöver dessa värden senare.
      Attributnamn Exempel Kommentarer
      proxyAddresses proxyAddresses (3): x 500: / o = Exchange/ou = administratörsgrupp för Exchange (FYDIBOHF23SPDLT) / cn = Recipients/cn = 1ae75fca0d3a4303802cea9ca50fcd4f-7628376; SMTP:7628376@Service.contoso.com; SMTP:7628376@contoso.com;
      • Det nummer som visas inom parentes bredvid etiketten attribut anger värden för proxy-adress i flervärdesattribut.
      • Varje värde för olika proxy-adress anges med ett semikolon (;).
      • Det primära SMTP-proxy adressvärdet anges med versaler "SMTP:"
      userPrincipalName 7628376@contoso.com
      Obs! Ldp.exe ingår i Windows Server 2008 och Windows Server 2003 Support Tools. Supportverktyg för Windows Server 2003 ingår i installationsmediet för Windows Server 2003. Eller om du vill ha Support Tools, gå till följande Microsoft-webbplats:
  2. Ansluta till Azure AD med Azure Active Directory-modulen för Windows PowerShell. För mer information, gå till Hantera Azure AD med hjälp av Windows PowerShell.

    Lämna fönstret öppet. Du måste använda den i nästa steg.
  3. Sök efter dubbletter userPrincipalName attribut.

    Skriv följande kommandon i den ordning som de presenteras och tryck på RETUR efter varje kommando i konsolen anslutningen som du öppnade i steg 2:
    • $userUPN = "<search UPN>"
      Obs! I det här kommandot är platshållaren för "<search upn="">" representerar attributet UserPrincipalName du antecknade i steg 1f.<b00> </b00> </search>
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    Lämna fönstret öppet. Du ska använda det igen i nästa steg.
  4. Sök efter dubbletter proxyAddresses attribut. Skriv följande kommandon i den ordning som de presenteras och tryck på RETUR efter varje kommando i konsolen anslutningen som du öppnade i steg 2:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. För varje adresspost för proxy du antecknade i steg 1f, skriver du följande kommandon i den ordning som de presenteras och tryck på RETUR efter varje kommando:
    • $proxyAddress = "<search proxyAddress>" 
      Obs! I det här kommandot är platshållaren för "<search proxyaddress="">" representerar värdet på attributet proxyAddresses du antecknade i steg 1f.<b00> </b00> </search>
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)<AngularNoBind>}}</AngularNoBind> 
User-objekt som inte skapats med katalogsynkronisering och som har ett attribut som är i konflikt med objekt som inte synkroniseras korrekt representerar objekten som returneras när du kör kommandona i steg 3 och 4.

Lösning 3: Uppdatera AD DS-attribut för att ta bort dubbletter, överträdelser av regler och undantag omfångsdefinierande

Identifiera specifika attribut som hindrar synkroniseringen utifrån följande information:
  • Administrativa e-postmeddelanden
  • Rapport från produktion av Office 365 distributionsverktyg beredskap
  • Reglerna för directory-synkroniseringen och anpassade regler
Efter en viss attributvärdet identifieras verktyget Active Directory-användare och datorer för att redigera värdet för attributet. Gör så här:
  1. Öppna Active Directory – användare och datorer och sedan markera rotnoden i AD DS-domän.
  2. Klicka på Visa och kontrollera att den Avancerade funktioner alternativet.
  3. Leta upp objektet i det vänstra navigeringsfönstret högerklickar du på den och klicka sedan på Egenskaper.
  4. Leta upp attributet som du vill lägga till, klicka på Redigeraoch sedan redigera attributvärde till det värde som du vill använda på fliken Redigerare för grupprincipobjekt .
  5. Klicka på OK två gånger.
Eller du kan använda Active Directory Service Interfaces (ADSI) Redigera för att uppdatera objektattribut i AD DS. Du kan hämta och installera ADSI Edit som en del av Windows Server Toolkit. Gör följande om du vill använda ADSI-redigeraren för att redigera attribut.

Varning Denna procedur kräver ADSI-redigering. Med hjälp av ADSI Edit felaktigt kan orsaka allvarliga problem som kräver att du installerar om operativsystemet. Microsoft kan inte garantera att problem på grund av felaktig användning av ADSI-redigering kan lösas. Använda ADSI-redigering på egen risk.
  1. Klicka på Start, klicka på Kör, Skriv ADSIEdit.msc, och klicka sedan på OK.
  2. Högerklicka på ADSI Edit i navigeringsfönstret, klicka på Anslut tilloch klicka sedan på OK att ladda domänpartitionen.
  3. Leta upp användarobjektet högerklickar du på den och klicka sedan på Egenskaper.
  4. I den attribut lista, leta reda på attributet som du vill lägga till, klicka på Redigeraoch sedan Redigera attributvärdet till det värde som du vill.
  5. Klicka på OK två gånger och avsluta ADSI-redigering.

Lösning 4: Skapa en ny grupp och lägga till den i den inbyggda gruppen inte synkroniserats

Lös problemet i ett scenario där vissa fördefinierade grupper (till exempel gruppen Domänanvändare) inte är synkroniserade, skapa en ny grupp som innehåller de tillämpliga medlemmar och behörighet i den inbyggda gruppen. Sedan lägger du till gruppen som medlem den inbyggda gruppen inte har synkroniserats. Använd den nya gruppen i stället för den inbyggda gruppen för att hantera medlemmar. Genom att göra detta kan hanterar du fortfarande bara en grupp.

Du vill inte ändra attributen för den inbyggda gruppen eller ändra reglerna i identitet sync anordning att kritiska system-objekt att synkroniseras, eftersom detta kan utlösa andra oväntade problem.

Lösning 5: Använd SMTP matchande så att en lokal användarobjekt ska synkroniseras till ett befintligt användarobjekt

Om du vill göra detta finns i följande artikel i Microsoft Knowledge:
2641663 Hur du använder SMTP-matchning för att matcha lokala användarkonton till Office 365 användarkonton för katalogsynkronisering

Lösning 6: Manuellt uppdatera ett UPN-konto

Om du vill uppdatera ett användarkonto UPN som licensierats efter första katalogsynkronisering inträffat så här:
  1. Klicka på Start, Alla program, Windows Azure Active Directoryoch klicka sedan på Windows Azure Active Directory modulen för Windows PowerShell.
  2. Kör följande cmdlets i Windows PowerShell-prompten:
    1. $cred = get-credential
      Obs! När du uppmanas ange dina autentiseringsuppgifter för administratör.
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

Lösning 7: Uppdatera användare SMTP-adresser med hjälp av lokal Active Directory-attribut

När SMTP-attribut inte synkroniseras med Exchange Online på förväntat sätt, måste du kanske uppdatera lokal Active Directory-attribut. Uppdatera lokal Active Directory-attribut så att rätt e-postadress visas i Exchange Online med lösning 2 för att manipulera de attribut som listas i tabellen nedan.
Namn för lokal Active Directory-attributExempel på lokal Active Directory-attributvärdeExempel Exchange Online e-postadresser
proxyAddressesSMTP:User1@contoso.comPrimära SMTP: user1@contoso.com
Sekundära SMTP: user1@contoso.onmicrosoft.com
proxyAddressesSMTP:User1@contoso.comPrimära SMTP: user1@contoso.onmicrosoft.com sekundära SMTP: user1@contoso.com
proxyAddressesSMTP:User1@contoso.com
SMTP:User1@Sub.contoso.com
Primära SMTP: user1@contoso.com
Sekundära SMTP: user1@sub.contoso.com
Sekundära SMTP: user1@contoso.onmicrosoft.com
e-postUser1@contoso.comPrimära SMTP: user1@contoso.com
Sekundära SMTP: user1@contoso.onmicrosoft.com
UserPrincipalNameUser1@contoso.comPrimära SMTP: user1@contoso.com
Sekundära SMTP: user1@contoso.onmicrosoft.com
Posten Microsoft Online e-routning adress (MOERA) som är associerad med standard-domänen (till exempel i user1@contoso.onmicrosoft.com) är ett tolkat värde som baseras på ett användarkonto alias. Personliga e-postadressen är oskiljbara mottagarnas Exchange Online och kan inte hantera, ta bort eller skapa ytterligare MOERA adresser för alla mottagare. Dock kan MOERA adress över köras som den primära SMTP-adressen med hjälp av attributen i användarobjektet för Active Directory-lokaler.

Obs! Förekomsten av data i attributet proxyAddresses maskerar helt data i attributet mail för Exchange Online e-postadress.

Obs! Förekomsten av data i attributet proxyAddresses , attributet mail eller båda attribut helt mask UserPrincipalName data för Exchange Online e-postadress. UPN-namnet kan användas för att hantera e-postadresser. En administratör kan dock besluta att hantera e-postadress och UPN separat via attributen proxyAddresses eller e-post .

Vi rekommenderar starkt att ett av attributen används konsekvent att hantera Exchange Online e-postadresser för synkroniserade användare.
MER INFORMATION
Windows PowerShell-kommandon som nämns i denna artikel kräver Azure Active Directory-modulen för Windows PowerShell. Mer information om Azure Active Directory-modulen för Windows PowerShell, gå till Hantera Azure AD med hjälp av Windows PowerShell.

Mer information om filtrering katalogsynkronisering av attribut finns i följande Microsoft TechNet wiki-artikel:
Behöver du hjälp? Gå till den Office 365-Community webbplatsen eller Azure Active Directory-forum webbplats.

Varning: Den här artikeln har automatöversatts

Egenskaper

Artikel-id: 2643629 – senaste granskning 11/20/2015 10:18:00 – revision: 21.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365a o365022013 o365e o365m kbgraphxlink kbgraphic kbmt KB2643629 KbMtsv
Feedback
did=1&t=">