Freigeben über

Mindestens ein Objekt wird bei Verwendung des Azure Active Directory-Synchronisierungstools nicht synchronisiert

In diesem Artikel wird ein Problem behoben, bei dem mindestens ein Active Directory-Domäne Services (AD DS)-Objektattribute nicht über das Azure Active Directory-Synchronisierungstool mit Microsoft Entra-ID synchronisiert werden.

Ursprüngliche Produktversion: Cloud-Dienste (Webrollen/Workerrollen), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Ursprüngliche KB-Nummer: 2643629

Notiz

Waren diese Informationen hilfreich? Wir schätzen Ihr Feedback. Bitte verwenden Sie die Schaltfläche Feedback auf dieser Seite, um uns mitzuteilen, wie gut Ihnen dieser Artikel gefallen hat oder wie wir ihn verbessern können.

Symptome

Mindestens ein AD DS-Objekt oder -Attribute werden nicht wie erwartet mit Microsoft Entra-ID synchronisiert. Wenn die Active Directory-Synchronisierung ausgeführt wird, wird ein Objekt nicht synchronisiert, und Es treten eines der folgenden Symptome auf:

  • Sie erhalten eine Fehlermeldung, die besagt, dass ein Attribut einen doppelten Wert aufweist.
  • Sie erhalten eine Fehlermeldung, die besagt, dass ein oder mehrere Attribute formatierungsanforderungen verletzen, z. B. Zeichensatz oder Zeichenlänge.
  • Sie erhalten keine Fehlermeldung, und die Verzeichnissynchronisierung scheint abgeschlossen zu sein. Einige Objekte oder Attribute werden jedoch nicht wie erwartet aktualisiert.

Einige Beispiele für die Fehlermeldung, die Sie möglicherweise erhalten:

Ein synchronisiertes Objekt mit derselben Proxyadresse ist bereits in Ihrem Microsoft Online Services-Verzeichnis vorhanden.

Dieses Objekt kann nicht aktualisiert werden, da die Benutzer-ID nicht gefunden wird.

Dieses Objekt kann in Microsoft Online Services nicht aktualisiert werden, da die folgenden Attribute, die diesem Objekt zugeordnet sind, Werte aufweisen, die möglicherweise bereits einem anderen Objekt in Ihrem lokalen Verzeichnis zugeordnet sind.

Ursache

Dieses Problem kann aus einem der folgenden Gründe auftreten:

  • Der von AD DS-Attributen verwendete Domänenwert wurde nicht überprüft.

  • Mindestens ein Objektattribute, die einen eindeutigen Wert erfordern, weisen einen doppelten Attributwert (z. B. das ProxyAddresses-Attribut oder das Attribut "U serPrincipalName") in einem vorhandenen Benutzerkonto auf.

  • Mindestens ein Objektattribute verstoßen gegen Formatierungsanforderungen, die die Zeichen und die Zeichenlänge von Attributwerten einschränken.

  • Mindestens ein Objektattribute entsprechen Ausschlussregeln für die Verzeichnissynchronisierung.

    In der folgenden Tabelle sind die Standarddefinitionsregeln für die Synchronisierung aufgeführt:

    Objekttyp Attributname Bedingung des Attributs, wenn die Synchronisierung fehlschlägt
    Contact DisplayName Enthält "MSOL"
    msExchHideFromAddressLists Ist auf "True" festgelegt.
    Sicherheitsaktivierte Gruppe isCriticalSystemObject Ist auf "True" festgelegt.
    E-Mail-aktivierte Gruppen
    (Sicherheitsgruppe oder Verteilerliste)    		 proxyAddresses

    und

    mail    		 Hat keinen Adresseintrag "SMTP:"

    und

    ist nicht vorhanden
    E-Mail-aktivierte Kontakte proxyAddresses

    und

    mail    		 Hat keinen Adresseintrag "SMTP:"

    und

    ist nicht vorhanden
    iNetOrgPerson sAMAccountName Ist nicht vorhanden
    isCriticalSystemObject Ist vorhanden
    Benutzer mailNickname Beginnt mit "SystemMailbox"
    mailNickname Beginnt mit "CAS_"

    und

    enthält "}"
    sAMAccountName Beginnt mit "CAS_"

    und

    enthält "}"
    sAMAccountName Entspricht "SUPPORT_388945a0"
    sAMAccountName Entspricht "MSOL_AD_Sync"
    sAMAccountName Ist nicht vorhanden
    isCriticalSystemObject Ist auf "True" festgelegt.

  • Der Benutzerprinzipalname (UPN) wurde nach der anfänglichen Synchronisierung geändert und muss manuell aktualisiert werden.

  • Exchange Online Simple Mail Transfer Protocol (SMTP)-Adressen synchronisierter Benutzer werden nicht entsprechend im lokales Active Directory Schema aufgefüllt.

Lösung

Wenden Sie Ihrer spezifischen Situation entsprechend eine der folgenden Methoden an, um dieses Problem zu beheben.

Führen Sie IdFix aus, um nach Duplikaten, fehlenden Attributen und Regelverstößen zu suchen.

Verwenden Sie das IdFix DirSync Error Remediation Tool , um Objekte und Fehler zu finden, die die Synchronisierung mit Microsoft Entra ID verhindern.

  • Wenn "Leer" in der Spalte "FEHLER " angezeigt wird, nachdem Sie IdFix ausgeführt haben, wird das displayName-Attribut des Objekts nicht definiert. Um dieses Problem zu beheben, geben Sie mithilfe der folgenden Schritte einen Wert für das displayName-Attribut des Objekts an:
  1. Geben Sie in der Spalte UPDATE für das Objekt den Namen des displayName-Attributs ein.
  2. Klicken Sie in der Spalte "AKTION" auf "BEARBEITEN", und klicken Sie dann auf "Übernehmen".
  3. Wiederholen Sie die Schritte 1 und 2 für jedes Objekt, das einen "leeren" Eintrag in der Spalte FEHLER enthält.
  4. Führen Sie IdFix erneut aus, um nach weiteren Objektfehlern zu suchen.
  • Wenn "Duplizieren" in der Spalte "FEHLER " angezeigt wird, nachdem Sie IdFix ausgeführt haben, haben zwei oder mehr Objekte dieselbe E-Mail-Adresse. Um dieses Problem zu beheben, geben Sie mithilfe der folgenden Schritte eine eindeutige E-Mail-Adresse für das Objekt an:
  1. Geben Sie in der Spalte UPDATE für das Objekt eine E-Mail-Adresse ein, die noch nicht verwendet wird.
  2. Klicken Sie in der Spalte "AKTION" auf "BEARBEITEN", und klicken Sie dann auf "Übernehmen".
  3. Führen Sie IdFix erneut aus, um nach weiteren Objektfehlern zu suchen.

Ermitteln von Attributkonflikten, die durch Objekte verursacht werden, die nicht in Der Microsoft Entra-ID über die Verzeichnissynchronisierung erstellt wurden

Führen Sie die folgenden Schritte aus, um Attributkonflikte zu ermitteln, die durch Benutzerobjekte verursacht wurden, die mithilfe von Verwaltungstools erstellt wurden (und die nicht in der Microsoft Entra-ID über die Verzeichnissynchronisierung erstellt wurden):

  1. Bestimmen Sie die eindeutigen Attribute des lokalen AD DS-Benutzerkontos. Führen Sie dazu auf einem Computer mit installierten Windows-Supporttools die folgenden Schritte aus:

    1. Wählen Sie "Start" aus, wählen Sie "Ausführen" aus, geben Sie ldp.exe ein, und wählen Sie dann "OK" aus.

    2. Wählen Sie "Verbindung" aus, wählen Sie "Verbinden", geben Sie den Computernamen eines AD DS-Domänencontrollers ein, und wählen Sie dann "OK" aus.

    3. Wählen Sie "Verbindung" aus, wählen Sie "Binden" und dann "OK" aus.

    4. Wählen Sie "Ansicht" aus, wählen Sie "Strukturansicht" aus, wählen Sie die AD DS-Domäne in der Dropdownliste "BaseDN" und dann "OK" aus.

    5. Suchen Und doppelklicken Sie im Navigationsbereich auf das Objekt, das nicht ordnungsgemäß synchronisiert wird. Im Detailbereich auf der rechten Seite des Fensters werden alle Objektattribute aufgelistet. Das folgende Beispiel zeigt die Objektattribute:

      Screenshot des Navigations- und Detailbereichs der Windows-Supporttools, in dem alle Objektattribute aufgelistet sind.

    6. Notieren Sie die Werte des Attributs "userPrincipalName" und jede SMTP-Adresse im mehrwertigen ProxyAddresses-Attribut. Sie benötigen diese Werte später noch.

      Attributname Beispiel Hinweise
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. Die Zahl, die in Klammern neben der Attributbeschriftung angezeigt wird, gibt die Anzahl der Proxyadressenwerte im mehrwertigen Attribut an.

      2. Jeder unterschiedliche Proxyadressenwert wird durch ein Semikolon (;)) angegeben.

      3. Der primäre SMTP-Proxyadressenwert wird durch Großbuchstaben "SMTP:" angegeben.
      userPrincipalName 7628376@contoso.com

      Notiz

      Ldp.exe ist in Windows Server 2008 und in den Windows Server 2003-Supporttools enthalten. Die Windows Server 2003-Supporttools sind in den Windows Server 2003-Installationsmedien enthalten. Oder wechseln Sie zum Abrufen der Supporttools zur folgenden Microsoft-Website: Windows Server 2003 Service Pack 2 32-Bit-Supporttools

  2. Stellen Sie mithilfe des Azure Active Directory-Moduls für Windows PowerShell eine Verbindung mit microsoft Entra-ID her. Weitere Informationen finden Sie unter Verwalten der Microsoft Entra-ID mit Windows PowerShell.

    Lassen Sie das Konsolenfenster geöffnet. Sie müssen sie im nächsten Schritt verwenden.

  3. Suchen Sie nach den doppelten userPrincipalName-Attributen.

    Geben Sie in der Konsolenverbindung, die Sie in Schritt 2 geöffnet haben, die folgenden Befehle in der Reihenfolge ein, in der sie angezeigt werden. Drücken Sie nach jedem Befehl die EINGABETASTE:

    $userUPN = "<search UPN>"

    Notiz

    In diesem Befehl stellt der Platzhalter "<search UPN>" das UserPrincipalName-Attribut dar, das Sie in Schritt 1f aufgezeichnet haben.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Notiz

    Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

    Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

    Lassen Sie das Konsolenfenster geöffnet. Sie verwenden sie im nächsten Schritt erneut.

  4. Überprüfen Sie auf doppelte proxyAddresses-Attribute. Führen Sie in der Konsolenverbindung, die Sie in Schritt 2 geöffnet haben, den folgenden Befehl aus:

    Import-Module ExchangeOnlineManagement

  5. Geben Sie für jeden in Schritt 1f aufgezeichneten Proxyadresseneintrag die folgenden Befehle in der Reihenfolge ein, in der sie angezeigt werden. Drücken Sie nach jedem Befehl die EINGABETASTE:

    $proxyAddress = "<search proxyAddress>"

    Notiz

    In diesem Befehl stellt der Platzhalter "<search proxyAddress>" den Wert eines proxyAddresses-Attributs dar, das Sie in Schritt 1f aufgezeichnet haben.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Elemente, die zurückgegeben werden, nachdem Sie die Befehle in Schritt 3 und 4 ausgeführt haben, stellen Benutzerobjekte dar, die nicht über die Verzeichnissynchronisierung erstellt wurden und Attribute aufweisen, die mit dem Objekt in Konflikt stehen, das nicht ordnungsgemäß synchronisiert wird.

Aktualisieren von AD DS-Attributen zum Entfernen von Duplikaten, Regelverstößen und Bereichsausschlüssen

Identifizieren Sie die spezifischen Attribute, die die Synchronisierung basierend auf den folgenden Informationen verhindern:

  • Administrative E-Mail-Nachrichten
  • Der Bericht aus der Ausgabe des Office 365-Bereitstellungsbereitschaftstools
  • Standardregeln für die Verzeichnissynchronisierung und benutzerdefinierte Regeln

Nachdem ein bestimmter Attributwert identifiziert wurde, bearbeiten Sie den Attributwert mithilfe einer der folgenden Methoden:

  • Verwenden Sie das tool Active Directory-Benutzer und -Computer, um den Attributwert zu bearbeiten.
  1. Öffnen Sie Active Directory-Benutzer und -Computer, und wählen Sie dann den Stammknoten der AD DS-Domäne aus.
  2. Wählen Sie "Ansicht" aus, und stellen Sie dann sicher, dass die Option "Erweiterte Features " ausgewählt ist.
  3. Suchen Sie im linken Navigationsbereich nach dem Benutzerobjekt, klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann "Eigenschaften" aus.
  4. Suchen Sie auf der Registerkarte "Objekt-Editor " das gewünschte Attribut. Wählen Sie "Bearbeiten" aus, und bearbeiten Sie dann den Attributwert auf den gewünschten Wert.
  5. Wählen Sie zweimal OK aus.
  • Verwenden Sie Active Directory-Dienstschnittstellen (ADSI) Bearbeiten, um Objektattribute in AD DS zu aktualisieren. Sie können ADSI Edit als Teil des Windows Server Toolkit herunterladen und installieren. Führen Sie die folgenden Schritte aus, um ADSI-Bearbeitung zum Bearbeiten von Attributen zu verwenden.

Warnung

Für dieses Verfahren ist ADSI Edit erforderlich. Die Falsche Verwendung von ADSI Edit kann zu schwerwiegenden Problemen führen, die möglicherweise erfordern, dass Sie Ihr Betriebssystem neu installieren müssen. Microsoft kann nicht garantieren, dass Probleme, die sich aus der falschen Verwendung von ADSI Edit ergeben, behoben werden können. Verwenden Sie ADSI Edit auf eigenes Risiko.

  1. Wählen Sie "Start" aus, wählen Sie "Ausführen", geben Sie "ADSIEdit.msc" ein, und wählen Sie dann "OK" aus.
  2. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf ADSI Bearbeiten , wählen Sie "Verbinden mit" aus, und wählen Sie dann "OK " aus, um die Domänenpartition zu laden.
  3. Suchen Sie das Benutzerobjekt, klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann "Eigenschaften" aus.
  4. Suchen Sie in der Liste "Attribute " das gewünschte Attribut. Wählen Sie "Bearbeiten" aus, und bearbeiten Sie dann den Attributwert auf den gewünschten Wert.
  5. Wählen Sie zweimal OK aus, und beenden Sie dann DIE ADSI-Bearbeitung.

Erstellen Sie eine neue Gruppe, und fügen Sie sie der integrierten Gruppe hinzu, die nicht synchronisiert wird.

Um das Problem im Szenario zu beheben, dass einige integrierte Gruppen (z. B. die Gruppe "Domänenbenutzer") nicht synchronisiert werden, erstellen Sie eine neue Gruppe, die alle anwendbaren Mitglieder und die entsprechenden Berechtigungen der integrierten Gruppe enthält. Fügen Sie diese Gruppe dann als Mitglied zur integrierten Gruppe hinzu, die nicht synchronisiert wird. Verwenden Sie die neue Gruppe anstelle der integrierten Gruppe, um Mitglieder zu verwalten. Mit dieser Methode verwalten Sie immer noch nur eine Gruppe.

Sie möchten die Attribute der integrierten Gruppe nicht ändern oder die Bereichsregeln der Identitätssynchronisierungs-Appliance ändern, damit wichtige Systemobjekte synchronisiert werden können. Es kann ein anderes unerwartetes Verhalten auslösen.

Verwenden des SMTP-Abgleichs, um zu bewirken, dass ein lokales Benutzerobjekt mit einem vorhandenen Benutzerobjekt synchronisiert wird

Weitere Informationen finden Sie unter Verwenden des SMTP-Abgleichs zum Abgleichen lokaler Benutzerkonten mit Office 365-Benutzerkonten für die Verzeichnissynchronisierung.

Manuelles Aktualisieren eines Benutzerkonto-UPN

Führen Sie die folgenden Schritte aus, um einen Benutzerkonto-UPN zu aktualisieren, der nach dem Auftreten der anfänglichen Verzeichnissynchronisierung lizenziert wurde:

  1. Installieren Sie das Azure Active Directory v2 PowerShell-Modul. Weitere Informationen finden Sie unter Azure Active Directory v2 PowerShell-Modul.

  2. Führen Sie die folgenden Cmdlets an der Azure Active Directory v2 PowerShell-Eingabeaufforderung aus:

    $cred = get-credential

    Notiz

    Wenn Sie dazu aufgefordert werden, geben Sie Ihre Administratoranmeldeinformationen ein.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

Aktualisieren von SMTP-Adressen von Benutzern mithilfe von lokales Active Directory Attributen

Wenn SMTP-Attribute nicht erwartungsgemäß mit Exchange Online synchronisiert werden, müssen Sie möglicherweise die lokales Active Directory Attribute aktualisieren. Um lokales Active Directory Attribute so zu aktualisieren, dass die richtige E-Mail-Adresse in Exchange Online angezeigt wird, verwenden Sie Die Auflösung 2, um die Attribute in der folgenden Tabelle zu bearbeiten.

Lokaler Active Directory-Attributname Beispiel für einen lokalen Active Directory-Attributwert Beispiel für Exchange Online-E-Mail-Adressen
proxyAddresses SMTP:user1@contoso.com Primäres SMTP: user1@contoso.com
Sekundäres SMTP: user1@contoso.onmicrosoft.com
proxyAddresses smtp:user1@contoso.com Primäres SMTP: Sekundäres SMTP: user1@contoso.onmicrosoft.comuser1@contoso.com
proxyAddresses SMTP:user1@contoso.com
smtp:user1@sub.contoso.com		 Primäres SMTP: user1@contoso.com
Sekundäres SMTP: user1@sub.contoso.com
Sekundäres SMTP: user1@contoso.onmicrosoft.com
mail User1@contoso.com Primäres SMTP: user1@contoso.com
Sekundäres SMTP: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com Primäres SMTP: user1@contoso.com
Sekundäres SMTP: user1@contoso.onmicrosoft.com

Der MoERA-Eintrag (Microsoft Online Email Routing Address), der der Standarddomäne (z user1@contoso.onmicrosoft.com. B. ) zugeordnet ist, ist ein interpretierter Wert, der auf dem Alias eines Benutzerkontos basiert. Diese Spezielle E-Mail-Adresse ist mit jedem Exchange Online-Empfänger nicht zusammenhängend. Sie können keine zusätzlichen MOERA-Adressen für jeden Empfänger verwalten, löschen oder erstellen. Die MOERA-Adresse kann jedoch als primäre SMTP-Adresse überschrieben werden, indem die Attribute im lokales Active Directory Benutzerobjekt verwendet werden.

Notiz

Das Vorhandensein von Daten im ProxyAddresses-Attribut maskiert Daten im E-Mail-Attribut für die Exchange Online-E-Mail-Adresspopulation vollständig.

Notiz

Das Vorhandensein von Daten im ProxyAddresses-Attribut, das E-Mail-Attribut oder beide Attribute maskiert die UserPrincipalName-Daten für die Exchange Online-E-Mail-Adresspopulation vollständig. Der UPN kann zum Verwalten von E-Mail-Adressen verwendet werden. Ein Administrator kann sich jedoch entscheiden, die E-Mail-Adresse und den UPN separat zu verwalten, indem proxyAddresses oder E-Mail-Attribute ausgefüllt werden.

Es wird dringend empfohlen, dass eines dieser Attribute konsistent verwendet wird, um Exchange Online-E-Mail-Adressen für synchronisierte Benutzer zu verwalten.

Weitere Informationen

Die in diesem Artikel erwähnten Windows PowerShell-Befehle erfordern das Azure Active Directory-Modul für Windows PowerShell. Weitere Informationen zum Azure Active Directory-Modul für Windows PowerShell finden Sie im folgenden Artikel:
Microsoft Entra-ID mit Windows PowerShell verwalten.

Weitere Informationen zum Filtern der Verzeichnissynchronisierung nach Attributen finden Sie im folgenden Microsoft TechNet-Wiki-Artikel:
Liste der Attribute, die vom Azure Active Directory-Synchronisierungstool synchronisiert werden

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.