Doppelte oder ungültige Attribute verhindern die Verzeichnissynchronisierung in Microsoft 365

  • Artikel
  • Gilt für::
    Azure Active Directory, Microsoft 365

Problembeschreibung

In Microsoft 365 erhält ein Administrator die folgende E-Mail-Warnung, wenn die Verzeichnissynchronisierung abgeschlossen ist:

From: [MSOnlineServicesTeam@MicrosoftOnline.com](mailto:msonlineservicesteam@microsoftonline.com)Subject: Directory Synchronization Error Report

Der Fehlerbericht in der E-Mail-Nachricht kann eine oder mehrere der folgenden Fehlermeldungen enthalten:

  • Ein synchronisiertes Objekt mit derselben Proxyadresse ist bereits in Ihrem Microsoft Online Services-Verzeichnis vorhanden.
  • Dieses Objekt kann nicht aktualisiert werden, da die Benutzer-ID nicht gefunden wurde.
  • Dieses Objekt kann in Microsoft Online Services nicht aktualisiert werden, da die folgenden Attribute, die diesem Objekt zugeordnet sind, Über Werte verfügen, die möglicherweise bereits einem anderen Objekt in Ihrem lokalen Verzeichnis zugeordnet sind.
  • Dieses Objekt kann nicht aktualisiert werden, da die folgenden Attribute, die diesem Objekt zugeordnet sind, Über Werte verfügen, die möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: [UserPrincipalName john@contoso.com;]. Korrigieren oder entfernen Sie die doppelten Werte in Ihrem lokalen Verzeichnis.
  • Dieses Objekt kann nicht aktualisiert werden, da die folgenden Attribute, die diesem Objekt zugeordnet sind, Über Werte verfügen, die möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: [ProxyAddresses SMTP:john@contoso.com;]. Korrigieren oder entfernen Sie die doppelten Werte in Ihrem lokalen Verzeichnis.

Wenn Sie Microsoft Entra ID (Connect)-Synchronisierungsdienst ausführen, wird außerdem im Ereignisanzeige Anwendungsanmeldung eine instance der Ereignis-ID 6941 protokolliert, die eine der folgenden Fehlermeldungen enthält:

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error. 

Error Name: AttributeValueMustBeUnique
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [UserPrincipalName john@contoso.com;]. Correct or remove the duplicate values in your local directory. Please refer to https://support.microsoft.com/kb/2647098 for more information on identifying objects with duplicate attribute values.

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error.

Error Name: InvalidSoftMatch
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [ProxyAddresses SMTP:john@contoso.com;]. Correct or remove the duplicate values in your local directory.

Ursache

Dieses Problem kann auftreten, wenn Benutzerobjekte im lokales Active Directory Domain Services-Schema (AD DS) doppelte oder ungültige Aliaswerte aufweisen und diese Benutzerobjekte während der Verzeichnissynchronisierung nicht ordnungsgemäß aus dem AD DS-Schema mit Microsoft 365 synchronisiert werden.

Alle Aliaswerte in Microsoft 365 müssen für eine bestimmte organization eindeutig sein. Selbst wenn Sie mehrere eindeutige Suffixe nach dem at-Zeichen (@) in der SMTP-Adresse (Simple Mail Transfer Protocol) haben, müssen alle Aliaswerte eindeutig sein.

In einer lokalen Umgebung können Sie über Aliaswerte verfügen, die identisch sind, solange sie basierend auf den Suffixen nach dem At-Zeichen (@) in der SMTP-Adresse eindeutig sind.

Wenn Sie Objekte mit doppelten Aliaswerten in der Cloud für Microsoft 365 erstellen, wird ein Alias mit einer eindeutigen Zahl versehen, um die Aliase eindeutig zu machen. (Wenn die doppelten Aliaswerte beispielsweise "Albert" sind, wird einer davon automatisch zu "Albert2" . Wenn "Albert2" bereits verwendet wird, wird der Alias zu "Albert3" usw.) Wenn jedoch Objekte mit doppelten Aliaswerten in Ihrer lokalen AD DS-Instanz erstellt werden, tritt beim Ausführen der Verzeichnissynchronisierung ein Objektkonflikt auf, und die Objektsynchronisierung schlägt fehl.

Lösung

Um dieses Problem zu beheben, ermitteln Sie doppelte Werte und Werte, die mit anderen AD DS-Objekten in Konflikt treten. Verwenden Sie dazu eine der folgenden Methoden.

Methode 1: Verwenden des Fehlerkorrekturtools idFix Microsoft Entra Synchronization Tool

Verwenden Sie das IdFix Microsoft Entra Synchronization Tool Error Remediation Tool, um doppelte oder ungültige Attribute zu identifizieren. Informationen zum Auflösen doppelter Attribute mithilfe des IdFix-Tools finden Sie im folgenden Microsoft Knowledge Base-Artikel:

2857385 "Duplizieren" wird in der Spalte ERROR für mindestens zwei Objekte angezeigt, nachdem Sie das IdFix-Tool ausgeführt haben.

Methode 2: Zuordnen eines vorhandenen lokalen Benutzers zu einem Microsoft Entra Benutzer

Informationen hierzu finden Sie im folgenden Microsoft Knowledge Base-Artikel:

2641663 Verwenden des SMTP-Abgleichs zum Abgleichen lokaler Benutzerkonten mit Microsoft 365-Benutzerkonten für die Verzeichnissynchronisierung

Methode 3: Ermitteln von Attributkonflikten, die durch Objekte verursacht werden, die nicht in Microsoft Entra ID über die Verzeichnissynchronisierung erstellt wurden

Führen Sie die folgenden Schritte aus, um Attributkonflikte zu ermitteln, die durch Benutzerobjekte verursacht werden, die mithilfe von Microsoft 365-Verwaltungstools erstellt wurden (und die nicht in Microsoft Entra ID über die Verzeichnissynchronisierung erstellt wurden):

  1. Bestimmen Sie die eindeutigen Attribute des lokalen AD DS-Benutzerkontos. Führen Sie dazu auf einem Computer, auf dem Windows-Supporttools installiert sind, die folgenden Schritte aus:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ldp.exe ein, und klicken Sie dann auf OK.

    2. Klicken Sie auf Verbindung, klicken Sie auf Verbinden, geben Sie den Computernamen eines AD DS-Domänencontrollers ein, und klicken Sie dann auf OK.

    3. Klicken Sie auf Verbindung, klicken Sie auf Binden, und klicken Sie dann auf OK.

    4. Klicken Sie auf Ansicht, klicken Sie auf Strukturansicht, wählen Sie in der Dropdownliste BaseDN die AD DS-Domäne aus, und klicken Sie dann auf OK.

    5. Suchen Sie im Navigationsbereich das Objekt, das nicht ordnungsgemäß synchronisiert wird, und doppelklicken Sie darauf. Im Bereich Details auf der rechten Seite des Fensters werden alle Objektattribute aufgelistet. Das folgende Beispiel zeigt die Objektattribute:

      Screenshot: Beispiel für Objektattribute

    6. Notieren Sie sich die Werte des attributs userPrincipalName und jeder SMTP-Adresse im mehrwertigen proxyAddresses-Attribut. Sie benötigen diese Werte später.

      Attributname Beispiel Notizen
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Gruppe (GroupName)/cn=Recipients/cn=GUID; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com; Die Zahl, die in Klammern neben der Attributbezeichnung angezeigt wird, gibt die Anzahl der Proxyadresswerte im mehrwertigen Attribut an. Jeder eindeutige Proxyadressenwert wird durch ein Semikolon (;). Der Wert der primären SMTP-Proxyadresse wird in Großbuchstaben "SMTP:" angegeben.
      userPrincipalName 7628376@contoso.com

      Hinweis

      Ldp.exe ist in Windows Server 2008 und in den Windows Server 2003-Supporttools enthalten. Die Windows Server 2003-Supporttools sind auf den Windows Server 2003-Installationsmedien enthalten. Oder rufen Sie das Tool auf der folgenden Microsoft-Website auf: Windows Server 2003 Service Pack 2 32-Bit-Supporttools

  2. Stellen Sie mithilfe des Azure Active Directory-Moduls für Windows PowerShell eine Verbindung mit Microsoft 365 her. Führen Sie hierfür die folgenden Schritte aus:

    1. Klicken Sie auf Start, alle Programme, klicken Sie auf Microsoft Entra ID, und klicken Sie dann auf Azure Active Directory-Modul für Windows PowerShell.

    2. Geben Sie die folgenden Befehle in der Reihenfolge ein, in der sie angezeigt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:

      $cred = get-credential

      Hinweis

      Wenn Sie dazu aufgefordert werden, geben Sie Ihre Microsoft 365-Administratoranmeldeinformationen ein.

      Connect-MSOLService –credential $cred

      Hinweis

      Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Veralteten Update. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

      Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.

      Lassen Sie das Konsolenfenster geöffnet. Sie müssen es im nächsten Schritt verwenden.

  3. Suchen Sie in Microsoft 365 nach den doppelten attributen userPrincipalName.

    Geben Sie in der Konsolenverbindung, die Sie in Schritt 2 geöffnet haben, die folgenden Befehle in der Reihenfolge ein, in der sie angezeigt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:

    $userUPN = "<search UPN>"

    Hinweis

    In diesem Befehl stellt der Platzhalter "search UPN" das UserPrincipalName-Attribut dar, das Sie in Schritt 1f notiert haben.

    get-msoluser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Lassen Sie das Konsolenfenster geöffnet. Sie verwenden es im nächsten Schritt erneut.

  4. Suchen Sie nach doppelten proxyAddressesattributen. Geben Sie in der Konsolenverbindung, die Sie in Schritt 2 geöffnet haben, die folgenden Befehle in der Reihenfolge ein, in der sie angezeigt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:

    $UserCredential = Get-Credential
Connect-ExchangeOnline -Credential $UserCredential

  5. Geben Sie für jeden Proxyadresseneintrag, den Sie in Schritt 1f notiert haben, die folgenden Befehle in der Reihenfolge ein, in der sie angezeigt werden, und drücken Sie nach jedem Befehl die EINGABETASTE:

    $proxyAddress = "<search proxyAddress>"

    Hinweis

    In diesem Befehl stellt der Platzhalter "search proxyAddress" den Wert eines proxyAddresses-Attributs dar, den Sie in Schritt 1f notiert haben.

    Get-EXOMailbox | Where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MsolUser -ObjectID $_.ExternalDirectoryObjectId | Where {($_.LastDirSyncTime -eq $null)}}

Elemente, die zurückgegeben werden, nachdem Sie die Befehle in Schritt 3 und 4 ausgeführt haben, stellen Benutzerobjekte dar, die nicht über die Verzeichnissynchronisierung erstellt wurden und Attribute aufweisen, die mit dem Objekt in Konflikt stehen, das nicht ordnungsgemäß synchronisiert wird.

Nachdem Sie widersprüchliche oder ungültige Attributwerte ermittelt haben, können Sie das Problem beheben, indem Sie die Schritte im folgenden Microsoft Knowledge Base-Artikel ausführen:

2643629 Mindestens ein Objekt wird nicht synchronisiert, wenn das Azure Active Directory-Synchronisierungstool verwendet wird.

Weitere Informationen

Die Windows PowerShell Befehle in diesem Artikel erfordern das Azure Active Directory-Modul für Windows PowerShell. Weitere Informationen zum Azure Active Directory-Modul für Windows PowerShell finden Sie auf der folgenden Microsoft-Website:

Microsoft Entra-Cmdlets

Benötigen Sie weitere Hilfe? Navigieren Sie zu Microsoft Community.