你目前正处于脱机状态,正在等待 Internet 重新连接

当使用 Azure 活动目录同步工具时不同步的一个或多个对象

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 2643629
问题
如预期的那样,不到 Microsoft Azure 活动目录 (AD Azure) 同步一个或多个 活动目录(AD) 域服务 (AD DS) 对象或属性。当 活动目录(AD) 同步运行时,对象并不同步,并且您会遇到下列症状之一:
  • 您会收到一条错误消息,指出某一特性有重复值。
  • 您会收到一条错误消息,指出一个或多个属性与冲突如字符集或字符长度的格式要求。
  • 您没有收到任何错误消息,并似乎完成目录同步。但是,某些对象或属性不能更新如预期的那样。
您可能会收到错误消息的一些示例包括:
  • 微软在线服务 目录中已存在具有相同的代理服务器地址的同步的对象。
  • 无法更新此对象,因为找不到该用户 ID。
  • 无法更新此对象在 微软在线服务 中的,因为与此对象关联的以下属性有可能已经与本地目录中的另一个对象相关联的值。
原因
此问题是以下原因之一:
  • 尚未验证由 AD DS 特性的域值。
  • 需要一个唯一的值的一个或多个对象属性具有重复的属性值 (如 ProxyAddresses 属性或 UserPrincipalName 属性) 中现有的用户帐户。
  • 一个或多个对象属性违反限制字符和字符长度的属性值的格式要求。
  • 一个或多个对象属性与用于目录同步的排除规则相匹配。

    下表显示了默认同步范围规则:
    对象类型属性名称同步失败时属性的条件
    联系人displayName包含"MSOL"
    msExchHideFromAddressLists设置为"True"
    启用安全的组isCriticalSystemObject设置为"True"
    已启用邮件的组
    (安全组或通讯组列表)
    ProxyAddresses



    邮件
    不具有"SMTP:"地址条目



    不存在
    已启用邮件的联系人ProxyAddresses



    邮件
    不具有"SMTP:"地址条目



    不存在
    iNetOrgPersonsAMAccountName不存在
    isCriticalSystemObject存在
    用户mailNickName"SystemMailbox"开头
    mailNickName"CAS_"开头



    包含"{"
    sAMAccountName"CAS_"开头



    包含"}"
    sAMAccountName等于"SUPPORT_388945a0"
    sAMAccountName等于"MSOL_AD_Sync"
    sAMAccountName不存在
    isCriticalSystemObject设置为"True"
  • 用户主体名称 (UPN) 在初始同步后已更改,必须手动更新。
  • 同步用户的 Exchange 在线简单邮件传输协议 (SMTP) 地址不正确填充内部部署 活动目录(AD) 架构中。
本地
要解决此问题,请根据您的具体情况使用下列方法之一。

解决方法 1: 运行 IdFix 来检查重复项、 缺少的特性和规则冲突

使用 IdFix 目录同步错误修正工具 若要查找对象并妨碍到 Azure AD 同步错误。
  • 如果您看到"空"中的错误列后运行 IdFix,请参阅下面的 Microsoft 知识库文章:
    2857349 "空"中显示的一个或多个对象的错误列运行 IdFix 工具后
  • 如果您运行 IdFix 后,错误列中看到"格式",请参阅下面的 Microsoft 知识库文章:
    2857351 运行 IdFix 工具后,显示"格式"中的一个或多个对象的错误列
  • 如果您运行 IdFix 后,错误列中看到"字符",请参阅下面的 Microsoft 知识库文章:
    2857352 后运行 IdFix 工具在一个或多个对象错误列中显示"字符"
  • 如果您运行 IdFix 后,错误列中看到"重复",请参阅下面的 Microsoft 知识库文章:
    2857385 "重复"中显示的一个或多个对象的错误列后运行 IdFix 工具

解决方法 2: 确定都由不需要通过目录同步的 Azure AD 中创建的对象的属性冲突

要确定由通过使用管理工具创建 (和,不需要通过目录同步的 Azure AD 中创建) 的用户对象的属性冲突,请执行以下步骤:
  1. 确定内部部署的唯一特性 AD DS 用户帐户。为此,请在具有 Windows 支持工具安装的计算机上,请执行以下步骤:
    1. 单击开始,单击运行,类型 ldp.exe然后单击确定
    2. 单击连接连接键入计算机名称的 AD DS 域控制器,和,然后单击确定
    3. 单击连接,单击绑定,然后单击确定
    4. 单击视图树视图BaseDN下拉列表中,选择的 AD DS 域和,然后单击确定
    5. 在导航窗格中,找到并双击没有正确同步的对象。在窗口的右侧详细信息窗格中列出对象的所有属性。下面的示例演示对象属性:

      对象属性的屏幕抓图
    6. 在多值ProxyAddresses属性记录范围内特性和每个 SMTP 地址的值。稍后,您将需要这些值。
      属性名称 示例 备注:
      ProxyAddresses ProxyAddresses (3): x 500: / o = 交换/ou = Exchange 管理组 (FYDIBOHF23SPDLT) / cn = 收件人/cn = 1ae75fca0d3a4303802cea9ca50fcd4f-7628376;smtp:7628376@service.contoso.com;SMTP:7628376@contoso.com;
      • 显示在属性标签旁边的括号中的数字表示代理地址值的多值属性中的数。
      • 不同的代理服务器地址的每个值由分号 (;)。
      • 主 SMTP 代理地址的值将由大写"SMTP:"
      范围内 7628376@contoso.com
      注意:Ldp.exe 是包含在 Windows Server 2008 和 Windows Server 2003 的支持工具。Windows Server 2003 支持工具包含在 Windows Server 2003 的安装媒体。或者,若要获得支持工具,请转到下面的 Microsoft 网站:
  2. 通过使用 Azure 活动目录模块用于 Windows PowerShell 连接到 Azure 的广告。有关详细信息,请转到 管理 Azure 使用 Windows PowerShell 的广告.

    使控制台窗口保持打开状态。您将需要在下一步中使用它。
  3. 检查重复范围内特性。

    在您在步骤 2 中打开该控制台连接,请键入以下命令在顺序,这些都显示,并且每个命令之后按 enter 键:
    • $userUPN = "<search UPN>"
      注意:在此命令中,占位符"<search upn="">"表示您在步骤 1f 中记录的范围内特性。<b00> </b00> </search>
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    使控制台窗口保持打开状态。您将在下一步中再次使用它。
  4. 检查重复的ProxyAddresses属性。在您在步骤 2 中打开该控制台连接,请键入以下命令在顺序,这些都显示,并且每个命令之后按 enter 键:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. 为您在步骤 1f 中记录每个代理服务器地址条目,在他们出现,和每个命令之后按 enter 键的顺序中键入以下命令:
    • $proxyAddress = "<search proxyAddress>" 
      注意:在此命令中,占位符"<search proxyaddress="">"表示步骤 1f 中所记录的ProxyAddresses属性的值。<b00> </b00> </search>
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)<AngularNoBind>}}</AngularNoBind> 
您在步骤 3 和 4 中运行命令后,将返回的项表示用户对象,不通过目录同步创建,并具有冲突没有正确同步的对象的属性。

本地 3: 更新 AD DS 属性删除重复项、 规则冲突和作用域的排除

找出导致基于以下信息同步的特定属性:
  • 管理电子邮件
  • 该报表从 Office 365 部署准备工具的输出结果
  • 默认目录同步作用域规则和自定义规则
标识特定属性值后,使用 活动目录(AD) 用户和计算机工具来编辑属性值。若要执行此操作,请按照下列步骤操作:
  1. 打开 活动目录(AD) 用户和计算机,然后选择 AD DS 域的根节点。
  2. 单击视图中, ,然后确保选中高级功能 选项。
  3. 在左侧的导航窗格中,找到的用户对象,单击鼠标右键,然后单击属性
  4. 对象编辑器选项卡上找到所需属性,单击编辑,然后编辑所需的值的属性值。
  5. 单击确定 两次。
或者,您可以使用活动目录服务接口 (ADSI) 编辑更新 AD DS 中的对象属性。您可以下载并安装 ADSI 编辑作为 Windows 服务器 Toolkit 的一部分。若要使用 ADSI 编辑来编辑属性,请执行以下步骤。

警告此过程要求 ADSI 编辑。使用 ADSI 编辑不当可能导致严重的问题,可能需要您重新安装操作系统。Microsoft 不能保证,所产生的不正确使用 ADSI 编辑的问题能够得到解决。使用 ADSI 编辑需要您自担风险。
  1. 单击开始,单击运行,类型 ADSIEdit.msc然后单击确定
  2. 用鼠标右键单击ADSI 编辑 在导航窗格中,单击连接到,然后单击确定 加载的域分区。
  3. 找到的用户对象,单击鼠标右键,然后单击属性
  4. 属性 列表中,查找所需属性,单击编辑,然后编辑所需的值的属性值。
  5. 单击确定 两次,并且然后退出 ADSI 编辑。

本地 4: 创建一个新组并将其添加到未同步的内置组

要解决其中某些内置组 (例如域用户组) 的方案中的问题不同步,创建新的组包含所有适用的成员和相应的内置组的权限。然后,将该组的成员添加到未同步的内置组。使用新组而不是内置组来管理成员。这样做之后,您仍可以管理一个组。

您不想更改内置组的属性或更改标识同步装置允许关键的系统对象进行同步,因为这可能触发其他意外的行为的范围规则。

本地 5: 使用 SMTP 匹配来使内部用户对象来同步到一个现有的用户对象

若要执行此操作,请参阅下面的 Microsoft 知识文章:
2641663 如何使用 SMTP 匹配来匹配本地用户帐户添加到 Office 365 的目录同步的用户帐户

解决方法 6: 手动更新用户帐户 UPN

若要更新用户帐户授权发生初始目录同步后的 UPN,请执行以下步骤:
  1. 单击开始,单击所有程序,都单击Windows Azure 活动目录(AD),然后都单击Windows Azure 活动目录模块用于 Windows PowerShell
  2. 在 Windows PowerShell 提示符下运行以下 cmdlet:
    1. $cred = get-credential
      注意:当出现提示时,输入管理员凭据。
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

分辨率 7: 使用内部部署 活动目录(AD) 属性更新用户的 SMTP 地址

当 SMTP 属性不会同步到 Exchange Online,按预期的方式时,您可能需要更新的内部部署 活动目录(AD) 特性。若要更新内部活动目录属性,以便正确的电子邮件地址显示在 Exchange 联机,使用解决方案 2 操作在下表中列出的属性。
内部部署 活动目录(AD) 属性名称示例内部部署 活动目录(AD) 属性值示例联机 Exchange 电子邮件地址
ProxyAddressesSMTP:user1@contoso.com主 SMTP: user1@contoso.com
辅助 SMTP: user1@contoso.onmicrosoft.com
ProxyAddressessmtp:user1@contoso.com主 SMTP: user1@contoso.onmicrosoft.com 辅助 SMTP: user1@contoso.com
ProxyAddressesSMTP:user1@contoso.com
smtp:user1@sub.contoso.com
主 SMTP: user1@contoso.com
辅助 SMTP: user1@sub.contoso.com
辅助 SMTP: user1@contoso.onmicrosoft.com
邮件User1@contoso.com主 SMTP: user1@contoso.com
辅助 SMTP: user1@contoso.onmicrosoft.com
范围内User1@contoso.com主 SMTP: user1@contoso.com
辅助 SMTP: user1@contoso.onmicrosoft.com
与默认域 (如 user1@contoso.onmicrosoft.com) 有关联的 Microsoft 在线的电子邮件路由地址 (MOERA) 项是解释的值基于用户帐户的别名。此专业的电子邮件地址具有无法切断链接到每个联机 Exchange 收件人,您无法管理、 删除或为任何收件人创建的其他 MOERA 地址。但是,MOERA 地址可以被重写的主 SMTP 地址通过内部部署 活动目录(AD) 用户对象中使用的特性。

注意:ProxyAddresses属性中的数据存在完全屏蔽在线 Exchange 电子邮件地址填充的邮件属性中的数据。

注意:ProxyAddresses属性和 / 或邮件属性中的数据存在完全属性掩码范围内数据的联机 Exchange 电子邮件地址填充。UPN 可以用于管理电子邮件地址。但是,管理员可以决定通过填充ProxyAddresses邮件属性单独管理的电子邮件地址和 UPN。

我们强烈建议,其中一个属性用于以一致的方式管理 Exchange 联机同步用户的电子邮件地址。
详细信息
本文中提及的 Windows PowerShell 命令要求 Azure 活动目录模块用于 Windows PowerShell。Azure 活动目录模块用于 Windows PowerShell 有关的详细信息,请转到 管理 Azure 使用 Windows PowerShell 的广告.

按属性筛选目录同步的更多信息,请参见下面的 Microsoft TechNet wiki 文章:
仍需要帮助?请转到 Office 365 社区 网站或 Azure 的 活动目录(AD) 论坛 网站。

属性

文章 ID:2643629 - 上次审阅时间:11/20/2015 10:39:00 - 修订版本: 26.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365a o365022013 o365e o365m kbgraphxlink kbgraphic kbmt KB2643629 KbMtzh
反馈