Azure Active Directory Eşitleme aracı kullanılırken bir veya daha fazla nesne eşitlenmiyor
Bu makalede, bir veya daha fazla Active Directory Domain Services (AD DS) nesne özniteliğinin Azure Active Directory Eşitleme aracı aracılığıyla Microsoft Entra ID eşitlenmemeye neden olan bir sorun giderilir.
Özgün ürün sürümü: Cloud Services (Web rolleri/Çalışan rolleri), Microsoft Entra ID, Microsoft Intune, Azure Backup Office 365 Kimlik Yönetimi
Özgün KB numarası: 2643629
Not
Bu makale yardımcı oldu mu? Girdileriniz bizim için önemlidir. Bu makalenin sizin için ne kadar iyi çalıştığını veya nasıl geliştirebileceğimizi bize bildirmek için lütfen bu sayfadaki Geri Bildirim düğmesini kullanın.
Belirtiler
Bir veya daha fazla AD DS nesnesi veya özniteliği beklendiği gibi Microsoft Entra ID eşitlenmiyor. Active Directory eşitlemesi çalıştırıldığında, bir nesne eşitlenmez ve aşağıdaki belirtilerden biriyle karşılaşırsınız:
- Bir özniteliğin yinelenen bir değeri olduğunu belirten bir hata iletisi alırsınız.
- Bir veya daha fazla özniteliğin karakter kümesi veya karakter uzunluğu gibi biçimlendirme gereksinimlerini ihlal ettiğini belirten bir hata iletisi alırsınız.
- Hata iletisi almazsınız ve dizin eşitlemesi tamamlanmış gibi görünüyor. Ancak, bazı nesneler veya öznitelikler beklendiği gibi güncelleştirilmez.
Alabileceğiniz hata iletisine bazı örnekler:
Microsoft Online Services dizininizde aynı proxy adresine sahip eşitlenmiş bir nesne zaten var.
Kullanıcı kimliği bulunamadığından bu nesne güncelleştirilemiyor.
Bu nesneyle ilişkilendirilmiş aşağıdaki öznitelikler yerel dizininizdeki başka bir nesneyle zaten ilişkili olabilecek değerlere sahip olduğundan, Microsoft Online Services'da bu nesne güncelleştirilemiyor.
Neden
Bu sorun aşağıdaki nedenlerden biriyle oluşur:
AD DS öznitelikleri tarafından kullanılan etki alanı değeri doğrulanmadı.
Benzersiz bir değer gerektiren bir veya daha fazla nesne özniteliğinin var olan bir kullanıcı hesabında yinelenen öznitelik değeri (proxyAddresses özniteliği veya U serPrincipalName özniteliği gibi) vardır.
Bir veya daha fazla nesne özniteliği, öznitelik değerlerinin karakterlerini ve karakter uzunluğunu kısıtlayan biçimlendirme gereksinimlerini ihlal eder.
Bir veya daha fazla nesne özniteliği, dizin eşitlemesi için dışlama kurallarıyla eşleşmektedir.
Aşağıdaki tabloda varsayılan eşitleme kapsam kuralları gösterilmektedir:
Nesne türü Öznitelik adı Eşitleme başarısız olduğunda özniteliğin koşulu Kişi Displayname "MSOL" içerir msExchHideFromAddressLists "True" olarak ayarlanır Güvenlik özellikli grup isCriticalSystemObject "True" olarak ayarlanır Posta etkin gruplar
(güvenlik grubu veya dağıtım listesi)Proxyaddresses
ve
posta"SMTP:" adres girdisi yok
ve
yokPosta etkin kişiler Proxyaddresses
ve
posta"SMTP:" adres girdisi yok
ve
yokınetorgperson Samaccountname Mevcut değil isCriticalSystemObject Var mı? Kullanıcı Mailnickname "SystemMailbox" ile başlar Mailnickname "CAS_" ile başlar
ve
"}" içeriyorSamaccountname "CAS_" ile başlar
ve
"}" içeriyorSamaccountname Eşittir "SUPPORT_388945a0" Samaccountname Eşittir "MSOL_AD_Sync" Samaccountname Mevcut değil isCriticalSystemObject "True" olarak ayarlanır İlk eşitlemeden sonra kullanıcı asıl adı (UPN) değiştirildi ve el ile güncelleştirilmelidir.
Exchange Online Eşitlenen kullanıcıların Basit Posta Aktarım Protokolü (SMTP) adresleri şirket içi Active Directory şemasında uygun şekilde doldurulmuyor.
Çözüm
Bu sorunu çözmek için, durumunuz için uygun olan aşağıdaki yöntemlerden birini kullanın.
Yinelenenleri, eksik öznitelikleri ve kural ihlallerini denetlemek için IdFix'i çalıştırın
Microsoft Entra ID eşitlemeyi engelleyen nesneleri ve hataları bulmak için IdFix DirSync Hata Düzeltme Aracı'nı kullanın.
- IdFix'i çalıştırdıktan sonra ERROR sütununda "Boş" ifadesini görürseniz, nesnenin displayName özniteliği tanımlanmamıştır. Bu sorunu çözmek için aşağıdaki adımları kullanarak nesnenin displayName özniteliği için bir değer belirtin:
- Nesnenin UPDATE sütununa displayName özniteliğinin adını yazın.
- EYLEM sütununda DÜZENLE'ye ve ardından Uygula'ya tıklayın.
- ERROR sütununda "boş" girişi olan her nesne için 1. ve 2. adımları yineleyin.
- Daha fazla nesne hatası aramak için IdFix'i yeniden çalıştırın.
- IdFix'i çalıştırdıktan sonra ERROR sütununda "Çoğalt" ifadesini görürseniz, iki veya daha fazla nesne aynı e-posta adresine sahiptir. Bu sorunu çözmek için şu adımları kullanarak nesne için benzersiz bir e-posta adresi belirtin:
- Nesnenin UPDATE sütununa, önceden kullanılmayan bir e-posta adresi yazın.
- EYLEM sütununda DÜZENLE'ye ve ardından Uygula'ya tıklayın.
- Daha fazla nesne hatası aramak için IdFix'i yeniden çalıştırın.
dizin eşitlemesi aracılığıyla Microsoft Entra ID oluşturulmamış nesnelerin neden olduğu öznitelik çakışmalarını belirleme
Yönetim araçları kullanılarak oluşturulan (ve dizin eşitlemesi aracılığıyla Microsoft Entra ID oluşturulmamış) kullanıcı nesnelerinin neden olduğu öznitelik çakışmalarını belirlemek için şu adımları izleyin:
Şirket içi AD DS kullanıcı hesabının benzersiz özniteliklerini belirleyin. Bunu yapmak için, Windows Destek Araçları'nın yüklü olduğu bir bilgisayarda şu adımları izleyin:
Başlat'ı seçin, Çalıştır'ı seçin, ldp.exe yazın ve tamam'ı seçin.
Bağlantı'yı seçin, Bağlan'ı seçin, ad DS etki alanı denetleyicisinin bilgisayar adını yazın ve tamam'ı seçin.
Bağlantı'yı seçin, Bağla'yı ve ardından Tamam'ı seçin.
Görünüm'ü seçin, Ağaç Görünümü'nü seçin, BaseDN açılan listesinde AD DS etki alanını seçin ve ardından Tamam'ı seçin.
Gezinti bölmesinde, doğru eşitlenmemiş nesneyi bulup çift tıklatın. Pencerenin sağ tarafındaki Ayrıntılar bölmesi tüm nesne özniteliklerini listeler. Aşağıdaki örnekte nesne öznitelikleri gösterilmektedir:
userPrincipalName özniteliğinin ve her SMTP adresinin değerlerini çok değerli proxyAddresses özniteliğine kaydedin. Bu değerlere daha sonra ihtiyacınız olacak.
Öznitelik adı Örnek Notlar Proxyaddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Yönetim Grubu (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp: 7628376@service.contoso.com
; SMTP:7628376@contoso.com
;
1. Öznitelik etiketinin yanında parantez içinde görüntülenen sayı, çok değerli öznitelikteki proxy adresi değerlerinin sayısını gösterir.
2. Her ayrı proxy adresi değeri noktalı virgülle (;)) gösterilir.
3. Birincil SMTP proxy adresi değeri büyük harf "SMTP:" ile gösterilirUserprincipalname 7628376@contoso.com
Not
Ldp.exe, Windows Server 2008'e ve Windows Server 2003 Destek Araçları'na dahildir. Windows Server 2003 Destek Araçları, Windows Server 2003 yükleme medyasında yer alır. Veya Destek Araçları'nı edinmek için şu Microsoft web sitesine gidin: Windows Server 2003 Service Pack 2 32 bit Destek Araçları
Windows PowerShell için Azure Active Directory modülünü kullanarak Microsoft Entra ID bağlanın. Daha fazla bilgi için Windows PowerShell kullanarak Microsoft Entra ID yönetme bölümüne gidin.
Konsol penceresini açık bırakın. Sonraki adımda bunu kullanmanız gerekir.
Yinelenen userPrincipalName özniteliklerini denetleyin.
2. adımda açtığınız konsol bağlantısında, aşağıdaki komutları sunuldukları sırayla yazın. Her komut sonrasında Enter tuşuna basın:
$userUPN = "<search UPN>"
Not
Bu komutta, "<search UPN>" yer tutucusu 1f. adımda kaydettiğiniz UserPrincipalName özniteliğini temsil eder.
Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
Not
Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.
Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.
Konsol penceresini açık bırakın. Sonraki adımda yeniden kullanacaksınız.
Yinelenen proxyAddresses özniteliklerini denetleyin. 2. adımda açtığınız konsol bağlantısında aşağıdaki komutu çalıştırın:
Import-Module ExchangeOnlineManagement
1f. adımda kaydettiğiniz her proxy adresi girdisi için, aşağıdaki komutları sunuldukları sırayla yazın. Her komut sonrasında Enter tuşuna basın:
$proxyAddress = "<search proxyAddress>"
Not
Bu komutta, "<search proxyAddress>" yer tutucusu, 1f. adımda kaydettiğiniz proxyAddresses özniteliğinin değerini temsil eder.
Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}
3. ve 4. adımda komutları çalıştırdıktan sonra döndürülen öğeler, dizin eşitlemesi aracılığıyla oluşturulmamış ve doğru eşitlenmemiş nesneyle çakışan özniteliklere sahip kullanıcı nesnelerini temsil eder.
Yinelenenleri, kural ihlallerini ve kapsam belirleme dışlamalarını kaldırmak için AD DS özniteliklerini güncelleştirme
Aşağıdaki bilgilere dayanarak eşitlemeyi engelleyen belirli öznitelikleri belirleyin:
- Yönetim e-posta iletileri
- Office 365 Dağıtım Hazırlığı Aracı'nın çıktısından gelen rapor
- Varsayılan dizin eşitleme kapsam kuralları ve özel kurallar
Belirli bir öznitelik değeri tanımlandıktan sonra, öznitelik değerini şu yöntemlerden birini kullanarak düzenleyin:
- Öznitelik değerini düzenlemek için Active Directory Kullanıcıları ve Bilgisayarları aracını kullanın.
- Active Directory Kullanıcıları ve Bilgisayarları açın ve AD DS etki alanının kök düğümünü seçin.
- Görünüm'ü seçin ve Gelişmiş Özellikler seçeneğinin belirlendiğinden emin olun.
- Sol gezinti bölmesinde kullanıcı nesnesini bulun, sağ tıklayın ve özellikler'i seçin.
- Nesne Düzenleyici sekmesinde, istediğiniz özniteliği bulun. Düzenle'yi seçin ve öznitelik değerini istediğiniz değerle düzenleyin.
- İki kez Tamam'ı seçin.
- AD DS'deki nesne özniteliklerini güncelleştirmek için Active Directory Hizmet Arabirimleri (ADSI) Düzenleme'yi kullanın. ADSI Düzenleme'yi Windows Server Araç Seti'nin bir parçası olarak indirip yükleyebilirsiniz. Öznitelikleri düzenlemek için ADSI Düzenle'yi kullanmak için şu adımları izleyin.
Uyarı
Bu yordam ADSI Düzenleme gerektirir. ADSI Düzenleme'nin yanlış kullanılması, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilir. Microsoft, ADSI Düzenleme'nin yanlış kullanımından kaynaklanan sorunların çözülebileceğini garanti edemez. ADSI Düzenleme'yi kendi riskinizle kullanın.
- Başlat'ı seçin, Çalıştır'ı seçin, ADSIEdit.msc yazın ve tamam'ı seçin.
- Gezinti bölmesinde ADSI Düzenle'ye sağ tıklayın, Bağlan'ı seçin ve ardından Tamam'ı seçerek etki alanı bölümünü yükleyin.
- Kullanıcı nesnesini bulun, sağ tıklayın ve özellikler'i seçin.
- Öznitelikler listesinde, istediğiniz özniteliği bulun. Düzenle'yi seçin ve öznitelik değerini istediğiniz değerle düzenleyin.
- İki kez Tamam'ı seçin ve adsi düzenlemeden çıkın.
Yeni bir grup İçerik Oluşturucu ve bunu eşitlenmemiş yerleşik gruba ekleyin
Bazı yerleşik grupların (Etki Alanı Kullanıcıları grubu gibi) eşitlenmediği senaryodaki sorunu çözmek için, tüm geçerli üyeleri ve yerleşik grubun uygun izinlerini içeren yeni bir grup oluşturun. Ardından, bu grubu eşitlenmemiş yerleşik gruba üye olarak ekleyin. Üyeleri yönetmek için yerleşik grup yerine yeni grubu kullanın. Bu yöntemi kullanarak yalnızca bir grubu yönetmeye devam edebilirsiniz.
Yerleşik grubun özniteliklerini değiştirmek veya kritik sistem nesnelerinin eşitlenmesine izin vermek için kimlik eşitleme aletinin kapsam kurallarını değiştirmek istemezsiniz. Diğer beklenmeyen davranışları tetikleyebilir.
Şirket içi kullanıcı nesnesinin mevcut bir kullanıcı nesnesiyle eşitlenmesine neden olmak için SMTP eşleştirmesini kullanma
Daha fazla bilgi için bkz. Şirket içi kullanıcı hesaplarını dizin eşitlemesi için kullanıcı hesaplarıyla Office 365 eşleştirmek için SMTP eşleştirmeyi kullanma.
Kullanıcı hesabı UPN'sini el ile güncelleştirme
İlk dizin eşitlemesi gerçekleştikten sonra lisanslanan bir kullanıcı hesabı UPN'sini güncelleştirmek için şu adımları izleyin:
Azure Active Directory v2 PowerShell Modülünü yükleyin. Daha fazla bilgi için bkz. Azure Active Directory v2 PowerShell Modülü.
Azure Active Directory v2 PowerShell isteminde aşağıdaki cmdlet'leri çalıştırın:
$cred = get-credential
Not
İstendiğinde yönetici kimlik bilgilerinizi girin.
Connect-AzureAD
Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]
şirket içi Active Directory özniteliklerini kullanarak kullanıcı SMTP adreslerini güncelleştirme
SMTP öznitelikleri Exchange Online beklenen şekilde eşitlenmediğinde, şirket içi Active Directory özniteliklerini güncelleştirmeniz gerekebilir. şirket içi Active Directory özniteliklerini doğru e-posta adresinin Exchange Online görüntülenerek güncelleştirilmesi için, çözüm 2'yi kullanarak aşağıdaki tabloda yer alan öznitelikleri işleyin.
Şirket içi Active Directory öznitelik adı | Örnek Şirket İçi Active Directory öznitelik değeri | Örnek Exchange Online e-posta adresleri |
---|---|---|
Proxyaddresses | SMTP:user1@contoso.com |
Birincil SMTP: user1@contoso.com İkincil SMTP: user1@contoso.onmicrosoft.com |
Proxyaddresses | Smtp:user1@contoso.com |
Birincil SMTP: user1@contoso.onmicrosoft.com İkincil SMTP: user1@contoso.com |
Proxyaddresses | SMTP:user1@contoso.com Smtp: user1@sub.contoso.com |
Birincil SMTP: user1@contoso.com İkincil SMTP: user1@sub.contoso.com İkincil SMTP: user1@contoso.onmicrosoft.com |
posta | User1@contoso.com |
Birincil SMTP: user1@contoso.com İkincil SMTP: user1@contoso.onmicrosoft.com |
Userprincipalname | User1@contoso.com |
Birincil SMTP: user1@contoso.com İkincil SMTP: user1@contoso.onmicrosoft.com |
Varsayılan etki alanıyla (örneğinuser1@contoso.onmicrosoft.com
) ilişkili Microsoft Online Email Yönlendirme Adresi (MOERA) girişi, kullanıcı hesabının diğer adını temel alan yorumlanmış bir değerdir. Bu özel e-posta adresi, her Exchange Online alıcıya sınırsız olarak bağlanır. Hiçbir alıcı için ek MOERA adreslerini yönetemez, silemez veya oluşturamazsınız. Ancak MOERA adresi, şirket içi Active Directory kullanıcı nesnesindeki öznitelikler kullanılarak birincil SMTP adresi olarak aşırı ridden geçirilebilir.
Not
proxyAddresses özniteliğindeki verilerin varlığı, Exchange Online e-posta adresi popülasyonu için posta özniteliğindeki verileri tamamen maskeler.
Not
proxyAddresses özniteliğinde, posta özniteliğinde veya her iki öznitelikte verilerin varlığı, Exchange Online e-posta adresi popülasyonu için UserPrincipalName verilerini tamamen maskeler. UPN, e-posta adreslerini yönetmek için kullanılabilir. Ancak, bir yönetici proxyAddresses veya posta özniteliklerini doldurarak e-posta adresini ve UPN'yi ayrı ayrı yönetmeye karar verebilir.
Eşitlenen kullanıcılar için Exchange Online e-posta adreslerini yönetmek için bu özniteliklerden birinin tutarlı bir şekilde kullanılmasını kesinlikle öneririz.
Daha fazla bilgi
Bu makalede bahsedilen Windows PowerShell komutları, Windows PowerShell için Azure Active Directory modülünü gerektirir. Windows PowerShell için Azure Active Directory modülü hakkında daha fazla bilgi için aşağıdaki makaleye bakın:
Windows PowerShell kullanarak Microsoft Entra ID yönetin.
Dizin eşitlemesini özniteliklere göre filtreleme hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet wiki makalesine bakın:
Azure Active Directory Eşitleme Aracı tarafından Eşitlenen Özniteliklerin Listesi
Yardım için bize ulaşın
Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin