您目前已離線,請等候您的網際網路重新連線

當一或多個物件使用使用中目錄同步處理 Azure 工具時,不要同步

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:2643629
問題
一或多個 Active Directory 網域服務 (AD DS) 物件或屬性不同步到 Microsoft Azure Active Directory (AD Azure) 如預期般運作。Active Directory 同步處理執行時,物件不同步,,,您遭遇下列徵狀其中一項:
  • 您會收到錯誤訊息,指出屬性有重複的值。
  • 您會收到錯誤訊息,指出一或多個屬性會違反格式設定的需求,例如字元集或字元長度。
  • 您沒有收到錯誤訊息,而目錄同步似乎完成。不過,某些物件或屬性未如預期般更新。
您可能會收到錯誤訊息的一些範例包括下列各項:
  • 同步處理的物件有相同的 proxy 位址已經在 Microsoft Online Services 目錄中。
  • 無法更新這個物件,因為找不到使用者識別碼。
  • 無法更新 Microsoft Online Services 中的此物件,因為下列與這個物件相關的屬性有可能已經被您的本機目錄中的另一個物件相關聯的值。
原因
下列原因之一會導致此問題:
  • 尚未檢查 AD DS 屬性由網域值。
  • 一或多個物件的屬性需要一個唯一的值有重複的屬性值 (例如 proxyAddresses 屬性或 UserPrincipalName 在 [現有的使用者帳戶屬性)。
  • 一或多個物件的屬性會違反限制的字元,因此屬性值的字元長度的格式需求。
  • 一或多個物件的屬性符合排除規則進行目錄同步。

    下表顯示預設的同步設定規則的範圍:
    物件型別屬性名稱磁碟區的同步處理失敗時的屬性狀況
    連絡人顯示名稱包含"MSOL"
    msExchHideFromAddressLists設定為"True"
    啟用安全性的群組isCriticalSystemObject設定為"True"
    擁有郵件功能的群組
    (安全性群組或通訊群組清單)
    proxyAddresses



    郵件
    沒有"SMTP: 「 地址項目



    不存在
    擁有郵件功能的連絡人proxyAddresses



    郵件
    沒有"SMTP: 「 地址項目



    不存在
    需要sAMAccountName不存在
    isCriticalSystemObject存在於
    使用者郵件別名一開始就有"SystemMailbox"
    郵件別名一開始就有"CAS_"



    包含"{"
    sAMAccountName一開始就有"CAS_"



    包含"}"
    sAMAccountName等於"SUPPORT_388945a0"
    sAMAccountName等於"MSOL_AD_Sync"
    sAMAccountName不存在
    isCriticalSystemObject設定為"True"
  • 使用者主要名稱 (UPN) 會在初始同步處理之後已變更,並必須以手動方式更新。
  • 同步處理使用者的 Exchange 線上簡易郵件傳送通訊協定 (SMTP) 位址不是先 Active Directory 結構描述中的適當地填入。
方案
若要解決這個問題,使用下列方法之一,視您的情況。

若要檢查重複的項目、 遺失的屬性和規則違規的解決方式 1: 執行 IdFix

使用 IdFix 目錄同步錯誤補救工具 若要尋找的物件並不執行 Azure 的 ad 的同步處理的錯誤。
  • 如果您看到 「 空白 」 在 [錯誤] 欄之後執行 IdFix,請參閱下列微軟知識庫文件:
    2857349 「 空白 」 後,會出現在一或多個物件,[錯誤] 欄中執行 IdFix 工具
  • 如果您執行 IdFix 後,您可以看到 [錯誤] 欄中的 「 格式 」,請參閱下列微軟知識庫文件:
    2857351 執行 IdFix 工具之後,將會顯示在一或多個物件,[錯誤] 欄中的 「 格式 」
  • 如果您執行 IdFix 後,您可以看到 [錯誤] 欄中的 「 字元 」,請參閱下列微軟知識庫文件:
    2857352 執行 IdFix 工具之後,將會顯示在一或多個物件,[錯誤] 欄中的 「 字元 」
  • 如果您執行 IdFix 後,您可以看到 [錯誤] 欄中的 「 重複 」,請參閱下列微軟知識庫文件:
    2857385 「 重複 」 後,會出現在一或多個物件,[錯誤] 欄中執行 IdFix 工具

解決方法 2: 判斷屬性衝突所造成的不透過目錄同步處理的 Azure AD 中建立的物件

如果要判斷屬性衝突所造成的使用者物件,使用所建立的管理工具 (和透過目錄同步處理的 Azure AD 中未建立),請依照下列步驟執行:
  1. 判斷唯一性屬性的上前門 AD DS 使用者帳戶。若要如此做,在已安裝的 Windows 支援工具的電腦上,請依照下列步驟執行:
    1. 按一下 [開始],按一下 [執行] 型別 ldp.exe然後按一下[確定]
    2. 按一下 [連線],按一下 [連線、 輸入 AD DS 網域控制站的電腦名稱,然後按一下[確定]
    3. 按一下 [連線],按一下 [繫結,,然後按一下[確定]
    4. 按一下 [檢視]、 按一下樹狀檢視、 在Dn ] 下拉式清單中選取的 AD DS 網域,然後按一下[確定]
    5. 在 [瀏覽] 窗格中,找出,然後按兩下沒有正確地同步處理的物件。在視窗的右邊的 [詳細資料] 窗格會列出所有的物件屬性。下列範例會顯示物件屬性:

      螢幕擷取畫面的物件屬性
    6. 多重值的proxyAddresses屬性中的資料錄userPrincipalName屬性,而且每個 SMTP 位址的值。稍後您將需要這些值。
      屬性名稱 範例 注意事項
      proxyAddresses proxyAddresses (3): x500: / o = Exchange/ou = Exchange 系統管理群組 (FYDIBOHF23SPDLT) / cn = 收件者/cn = 1ae75fca0d3a4303802cea9ca50fcd4f-7628376;smtp:7628376@service.contoso.com;SMTP:7628376@contoso.com;
      • 會顯示在 [屬性] 標籤旁的括號中的數字表示多重值屬性中的 proxy 位址值的數目。
      • 每個不同的 proxy 位址的值會以分號 (;)。
      • 主要 SMTP proxy 位址的值以大寫表示 「 SMTP:"
      userPrincipalName 7628376@contoso.com
      注意Ldp.exe 會包含在 Windows Server 2008 中,並在 Windows Server 2003 支援工具中。Windows Server 2003 支援工具都會包含在 Windows Server 2003 的安裝媒體。或者,若要取得 「 支援工具,請移至下列 Microsoft 網站:
  2. 使用 Azure 使用中目錄模組的 Windows PowerShell,以連線到 Azure 的廣告。如需詳細資訊,請移至 管理使用 Windows PowerShell 的 Azure 廣告.

    保持開啟的主控台視窗。您必須在下一個步驟中使用它。
  3. 檢查有重複的userPrincipalName屬性。

    在您在步驟 2 中開啟主控台連接中,輸入下列命令的順序在其中會顯示的人員,而且在每個命令之後按 Enter:
    • $userUPN = "<search UPN>"
      注意在這個命令中,版面配置區"<search upn="">"代表您在步驟 1f 所記錄的UserPrincipalName屬性。<b00> </b00> </search>
    • get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null} 
    保持開啟的主控台視窗。您將再次使用它在下一個步驟。
  4. 檢查有重複的proxyAddresses屬性。在您在步驟 2 中開啟主控台連接中,輸入下列命令的順序在其中會顯示的人員,而且在每個命令之後按 Enter:
    • $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic - AllowRedirection
    • Import-PSSession $sessionExO -prefix:Cloud 
  5. 在步驟 1f 中所記錄每個 proxy 地址項目,輸入下列命令的順序在其中會顯示的人員,而且在每個命令之後按 Enter:
    • $proxyAddress = "<search proxyAddress>" 
      注意在這個命令中,版面配置區"<search proxyaddress="">"表示您在步驟 1f 所記錄的proxyAddresses屬性的值。<b00> </b00> </search>
    • get-cloudmailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)<AngularNoBind>}}</AngularNoBind> 
之後您在步驟 3 和 4 中執行命令所傳回的項目代表使用者物件,未建立透過目錄同步處理,且具有不正確地同步處理的物件與衝突的屬性。

解決方法 3: 更新 AD DS 屬性,以移除重複的項目、 規則違規和範圍的排除項目

識別的特定屬性,使下列資訊為基礎的同步處理:
  • 系統管理電子郵件訊息
  • 從 「 Office 365 部署整備工具的輸出報表
  • 預設的目錄同步處理的範圍規則和自訂規則
識別特定的屬性值之後,使用 [Active Directory 使用者及電腦] 工具來編輯屬性值。若要執行這項操作,請依照下列步驟執行:
  1. 開啟 [Active Directory 使用者及電腦],然後再選取 [AD DS 網域的根節點。
  2. 按一下 [ ] 檢視中, ,然後確定進階功能 選項。
  3. 在左邊的瀏覽] 窗格中,找出使用者物件、 按一下滑鼠右鍵,並再按 [內容
  4. 在 [物件編輯器] 索引標籤中,找出您想,請按一下 [編輯],然後編輯 [您想要的值的屬性值的屬性。
  5. 按一下 [確定 兩次。
或者,您可以使用 [編輯使用中目錄服務介面 」 (ADSI) 來更新 AD DS 中的物件屬性。您可以下載並安裝 「 ADSI 編輯 Windows 伺服器工具組的一部份。若要使用 Adsi 編輯屬性上時,請依照下列步驟執行。

警告此程序需要 Adsi 編輯器。不當使用 「 ADSI 編輯可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證可以解決問題所造成的 Adsi 的使用不正確的。自行承擔使用 「 ADSI 編輯 」。
  1. 按一下 [開始],按一下 [執行] 型別 ADSIEdit.msc然後按一下[確定]
  2. 以滑鼠右鍵按一下Adsi 在瀏覽] 窗格中,按一下 [連線到],然後按一下確定 載入網域磁碟分割。
  3. 找不到使用者物件,以滑鼠右鍵按一下,然後按一下 [內容
  4. 屬性 清單中,找出您想,請按一下 [編輯],然後編輯 [您想要的值的屬性值的屬性。
  5. 按一下 [確定 ,兩個時間 」 和 「 ADSI 編輯然後結束。

解決方法 4: 建立新的群組,並將其新增到不同步的內建群組

如果要解決這個問題,在案例中一些內建群組 (例如 「 網域使用者 」 群組) 的位置會進行同步處理、 建立新的群組包含所有適用的成員和適當的權限的內建群組。然後,新增該群組作為成員,不會進行同步處理的內建群組。使用新的群組而不是內建群組,來管理成員。如此一來,您還是會管理只有一個群組。

您不想變更的內建的群組屬性,或變更的範圍規則識別同步應用裝置,以允許同步處理,關鍵性系統物件,因為這可能會觸發其他未預期的行為。

解決方法 5: 使用 SMTP 比對會致使先使用者物件同步至現有的使用者物件

若要執行這項操作,請參閱下列微軟知識庫文件:
2641663 如何使用比對符合的 SMTP 先給目錄同步的 Office 365 使用者帳戶的使用者帳戶

解決方法 6: 手動更新的 UPN 的使用者帳戶

若要更新使用者帳戶已授權的初始目錄同步處理發生之後的 UPN,請依照下列步驟執行:
  1. 按一下 [開始]、 按一下 [所有程式、 都按一下Windows Azure Active Directory],然後都按一下 [ Windows Azure 使用中目錄模組的 Windows PowerShell
  2. 在 Windows PowerShell 提示字元中執行下列指令程式:
    1. $cred = get-credential
      注意當您被提示時,請輸入您的系統管理員認證。
    2. Connect-MSOLService
    3. Set-MsolUserPrincipalName -UserPrincipalName [CurrentUPN] -NewUserPrincipalName [NewUPN]

解決方法 7: 使用先 Active Directory 屬性來更新使用者的 SMTP 地址

當 SMTP 屬性不預期的方式,進行同步處理 Exchange 線上時,則您可能更新先 Active Directory 屬性。若要更新先 Active Directory 屬性,以便正確的電子郵件地址顯示在 [Exchange 線上,使用解決方案 2 > 來操作下列表格中所列的屬性。
先 Active Directory 屬性名稱範例先 Active Directory 屬性值範例 Exchange 線上電子郵件地址
proxyAddressesSMTP:user1@contoso.com主要的 SMTP: user1@contoso.com
第二個 SMTP: user1@contoso.onmicrosoft.com
proxyAddressessmtp:user1@contoso.com主要 SMTP: 第二個 SMTP user1@contoso.onmicrosoft.com: user1@contoso.com
proxyAddressesSMTP:user1@contoso.com
smtp:user1@sub.contoso.com
主要的 SMTP: user1@contoso.com
第二個 SMTP: user1@sub.contoso.com
第二個 SMTP: user1@contoso.onmicrosoft.com
郵件User1@contoso.com主要的 SMTP: user1@contoso.com
第二個 SMTP: user1@contoso.onmicrosoft.com
UserPrincipalNameUser1@contoso.com主要的 SMTP: user1@contoso.com
第二個 SMTP: user1@contoso.onmicrosoft.com
預設網域 (例如 user1@contoso.onmicrosoft.com) 與相關的 Microsoft 線上電子郵件路由地址 (MOERA) 項目是解譯的值為基礎的使用者帳戶的別名。這個特殊的電子郵件地址密不可分的關連到每個線上 Exchange 收件者,無法管理、 刪除或建立額外的 MOERA 位址之任何收件者。不過,MOERA 地址可以是覆寫為主要的 SMTP 地址在先 Active Directory 使用者物件中使用的屬性。

注意proxyAddresses屬性中的資料完全遮罩中的郵件屬性,線上 Exchange 電子郵件地址的母體擴展的資料。

注意ProxyAddresses屬性、郵件屬性,或這兩者的資料存在屬性完全遮罩UserPrincipalName資料,線上 Exchange 電子郵件地址的母體擴展。UPN 可以用於管理電子郵件地址。不過,系統管理員可以決定要管理的電子郵件地址和 UPN 分別填入proxyAddresses郵件屬性。

此外,我們強烈建議您其中一個屬性會一致地用來管理 Exchange 線上同步處理使用者的電子郵件地址。
更多的資訊
本文所述的 Windows PowerShell 命令需要 Azure 使用中目錄模組的 Windows PowerShell。如需有關 Azure 使用中目錄模組的 Windows PowerShell 的詳細資訊,請前往 管理使用 Windows PowerShell 的 Azure 廣告.

如需有關如何依屬性篩選目錄同步處理的詳細資訊,請參閱下列 「 Microsoft TechNet wiki 文件:
仍然需要幫忙嗎?移至 Office 365 網路社群 網站或 Azure 的 Active Directory 論壇 網站。

警告:本文為自動翻譯

內容

文章識別碼:2643629 - 最後檢閱時間:11/20/2015 12:13:00 - 修訂: 26.0

Microsoft Azure Cloud Services, Microsoft Azure Active Directory, Microsoft Office 365, Microsoft Intune, CRM Online via Office 365 E Plans, Microsoft Azure Recovery Services, Office 365 Identity Management

  • o365 o365a o365022013 o365e o365m kbgraphxlink kbgraphic kbmt KB2643629 KbMtzh
意見反應