Fehler: "ProxyAddresses-Wert "SMTP: ******@contoso.de" wird möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet"

Question

Fehler: "ProxyAddresses-Wert "SMTP: ******@contoso.de" wird möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet"

_AWO IT 60

Hallo,

ich habe die Fehlermeldung, dass ich im "Microsoft Entra Connect-Integrität | Synchronisierungsfehler" ein doppeltes Attribut habe. Unser Unternehmen synchronisiert wie folgt: 1. Ein Objekt (Nutzer) wird in der lokalen Active Directory angelegt und dieser synchronisiert das Objekt (Nutzer) in die Entra ID/ Office Umgebung. Hier muss mann dann dem Objekt bzw. dem Nutzer Lizenzen Zuweisen. Hier kann man dann auch nach der Synchronisation in Entra, keine Änderungen im Bezug auf Nutzerinformationen mehr bearbeiten. Es erscheint:

"Dieser Benutzer ist mit Ihrem lokalen ‎Active Directory‎ synchronisiert. Einige Details können nur über Ihre lokale ‎Active Directory‎ bearbeitet werden.". 2. Wenn man den Nutzer in Entra anlegt, dann muss dieser in der lokalen Active Directory via "proxyAdresses" und seinem "SMTP:..." synchronisiert werden. Also funktioniert die direkte Synchronisation nur in eine Richtung (hybride Cloud Lösung).

Nun möchte ich das Problem mit dem Doppelten Attribute lösen. Mit dem Powershell Skript: "Get-ADUser -Filter {UserPrincipalName -eq "******@contoso.de"}" findet sich nur 1 Objekt (Nutzer). Der Nutzer hat aber auch in der lokalen AD eine ProxyAdresses hinzugefügt bekommen. Wie sehe ich ob der Nutzer richtig synchron ist ? Wie sehe ich ob der Nutzer in der AD erst angelegt wurde oder in Entra ? Update: Der Nutzer hat ein proxyAdresses aber ist nicht in Microsoft Admin Center Synchron und wird als Lokales AD Objekt angesehen. Dies ist neu. Der Fehler der oben beschrieben wurde (mit dem doppelten Attribut), wurde auch angezeigt als dieser als lokales AD Objekt angezeigt wurde. Bitte hier um Hilfestellung oder Rat. Dankesehr.

1 answer

Your answer

Answer 1

FrankEscarosBuechsel-MSFT 900 Microsoft Employee Moderator

Hallo @_AWO IT,

Laut der Fehlermeldung und Ihrer Beschreibung zu Folge scheinen sie in der Tat duplizierte Attribute als Problemursache vorliegen zu haben.

Zur Fehler- und Ursachensuche koennen Sie folgenden Artikel verwenden: Identitätssynchronisierung und Resilienz bei doppelten Attributen. Ich kann auch folgenden Artikel zur genaueren Suche des Duplikats verwendet empfehlen: Doppelte oder ungültige Attribute verhindern die Verzeichnissynchronisierung in Microsoft 365. Falls die Artikel auf Englisch dargestellt werden bitte in der URL von en-US manuell wieder auf de-de stellen.

Sollte die oben genannte Methode nicht ausreichen die Duplikate zu identifizieren, koennen sie folgende PowerShell Kommandos versuchen um das Duplik naeher einzugrenzen.

Suche im lokalen Active Directory:

$KonfliktAddresse = 'SMTP:******@Contoso.de'
Get-ADObject -Filter "proxyAddresses -eq '$KonfliktAddresse'"

Suche im Entra Verzeichnis

$KonfliktAddresse = 'SMTP:******@Contoso.de'
$Benutzer = Get-AzureADUser -Filter "mail ge '*'" | select ObjectId, UserPrincipalName, DisplayName, DirSyncEnabled, LastDirSyncTime, Mail, ProxyAddresses, ProvisioningErrors, OnPremisesSecurityIdentifier, ExtensionProperty
$Benutzer | Where-Object {$_.ProxyAddresses -icontains $KonfliktAddresse}

Suche nach Kontakten, die den Konflikt verursachen koennten:

$KonfliktAddresse = 'SMTP:******@Contoso.de'
$Kontakte = Get-AzureADContact -Filter "mail ge '*'" | select ObjectId, DisplayName, DirSyncEnabled, LastDirSyncTime, Mail, ProxyAddresses, ProvisioningErrors
$Kontakte | Where-Object {$_.ProxyAddresses -icontains $KonfliktAddresse}

Suche nach Gruppen, die den Konflikt verursachen koennten:

$KonfliktAddresse = 'SMTP:******@Contoso.de'
$Gruppen = Get-AzureADGroup -Filter "mail ge '*'"  | select ObjectId, DisplayName, DirSyncEnabled, LastDirSyncTime, Mail, ProxyAddresses, ProvisioningErrors, OnPremisesSecurityIdentifier
$Gruppen | Where-Object {$_.ProxyAddresses -icontains $KonfliktAddresse}

Falls diese Informationen Ihnen bei der Problemloesung geholfen haben, klicken Sie bitte auf "Antwort akzeptieren", damit andere Forennutzer ueber die korrekte Loesung informiert werden koennen.

Sollten Sie weitere Hilfe benoetigen, zoegern Sie bitte nicht auf diese Nachricht zu antworten.

_AWO IT 60 Reputation points

2024-12-04T10:16:06.6666667+00:00

Danke für deine ausführliche Antwort.

Leider habe ich kein Azure Abonnement und kann leider grundsätzlich keine Cmd-lets ausführen. In der Lokalen AD habe ich alle Benutzer heruntergearbeitet. Kein Nutzer hat doppelten Attribute in "ProxyAdresses".
FrankEscarosBuechsel-MSFT 900 Reputation points Microsoft Employee Moderator

2024-12-04T12:01:50.17+00:00

Hallo @_AWO IT,

Ich nehme an die Ausfuehrung aller PowerShell-Module ist generell geblockt, wenn keine cmdlets ausgefuehrt werden koennen? Gilt dies als grundsaetzliche Regel fuer alle PowerShell Module in Ihrer Umgebung, also auch die Mircosoft Graph Module? Sowohl fuer die AzureAD als auch die Graph Module ist kein Azure Abonnement notwendig, beide Module verbinden sich direkt gegen das Entra ID Verzeichnis, welches Sie benutzen um die Benutzerobjekte zu synchronisieren.

Ist es Ihnen erlaubt HTTP zur Nutzung der Graph APIs zu verwenden, zum Beispiel Microsoft Grahp Explorer?

Das Problem ist ueblicherweise nicht der Nutzer und sein ProxyAdresses selbst, sondern, dass das verwendete Attribut schon auf einem der Cloudobjekte vorhanden ist.

Wenn der Graph Explorer eine Option ist wuerde ich die entsprechenden cmdlets in die API Aufrufe umwandeln und hier bereitstellen.
_AWO IT 60 Reputation points

2024-12-04T12:42:44.2966667+00:00

Hallo Danke für die schnelle Antwort,

also ich kann Powershell im lokalen AD nutzen.

Da ist die Ausgabe die selbe.

Er gibt nur den 1 Nutzer mit der Proxyadresse an.

Azure Cloud Shell kann ich nicht nutzen (Abo).

Microsoft Graph erfordert viele Berechtigungen. Diese habe ich dem gegeben.

Ich hab erstmal folgendes https://graph.microsoft.com/v1.0/users/{Template-id}. Um den User zu identifizieren. In Graph die Abfrage via Powershell habe ich nicht drauf.

Viele Grüße

_AWO IT

FrankEscarosBuechsel-MSFT 900 Microsoft Employee Moderator

Hallo @_AWO IT,

Wenn der lokale AD Server PowerShell und Internetzugang hat (zumindest in Richtung Entra ID was fuer den Cloudsync ja der Fall sein sollte) dann wird keine Azure Cloud Shell benoetigt.

Die cmdlets koennen nach der lokalen Installation des AzureAd PowerShell Moduls lokal ohne jegliches Microsoft Azure Abonnement benutzt werden (hierfuer die Windows PowerShell, sollte der Standard auf Serverbetriebssystemen sein und nicht die PowerShell Core Version verwenden). Das angefuegte Bild ist von einem Entra ID Verzeichnis welches rein aus M365 Objekten besteht ohne eine Verbindung zu einem Microsoft Azure Abonnement, dies sollte mit Ihrer Umgebung uebereinstimmen.

AzureAdPowerShell

Da das AzureAd Modul nicht mehr weiter entwickelt wird, kann alternativ das Microsoft Graph PowerShell Module verwendet werden.

Eine deutsche Version der Dokumentation fuer die Uebersetzung der cmdlets scheint es leider momentan nicht zu geben, daher verlinke ich hier die englische Variante: Find Azure AD PowerShell and MSOnline cmdlets in Microsoft Graph PowerShellDas Microsoft Graph PowerShell Modul ist umfaenglicher als das reine AzureAd Modul, daher sind hier fuer die Installation ein paar weitere Schritte notwendig, die leider nicht in einen einzelnen Bildausschnitt passen, daher stelle ich die Kommandos als Code Block bereit.

# Ein Untermodul benoetigt die "RemoteSigned" Policy
Set-ExecutionPolicy RemoteSigned
# Das Graph PowerShell Modul stellt sehr viele Funktionen bereit, wir ueberschreiben die Standardeinstellung 4096, um Fehler beim Laden des Moduls zu vermeiden
$MaximumFunctionCount = 10000
$MaximumVariableCount = 10000
# Installation des Moduls
Install-Module -name microsoft.graph
# Laden des Moduls
Import-Module microsoft.graph
# Verbindung zum Entra Verzeichnis aufbauen, die Scopes sind notwendig, um die entsprechenden Berechtigungen zu erhalten die Objekte im Verzeichnis auslesen zu koennen
Connect-MgGraph -Scopes "User.Read.All", "Group.Read.All", "OrgContact.Read.All"

Danach koennen Sie die im Vorverlauf genannten Anfragen auch gegen die neuere Graph API laufen lassen ueber folgende Kommandos:

Benutzer:

$KonfliktAddresse = 'SMTP:******@contoso.de'
$Benutzer = Get-MgUser -Filter "mail ge '*'" -Property Id, UserPrincipalName, DisplayName, DirSyncEnabled, LastDirSyncTime, Mail, ProxyAddresses, ProvisioningErrors, OnPremisesSecurityIdentifier, ExtensionProperty | select Id, UserPrincipalName, DisplayName, DirSyncEnabled, LastDirSyncTime, Mail, ProxyAddresses, ProvisioningErrors, OnPremisesSecurityIdentifier, ExtensionProperty
$Benutzer | Where-Object {$_.ProxyAddresses -icontains $KonfliktAddresse}

Gruppen:

$KonfliktAddresse = 'SMTP:******@contoso.de'
$Gruppen = Get-MgGroup -Filter "mail ge '*'" -Property Id, DisplayName, DirSyncEnabled, LastDirSyncTime, Mail, ProxyAddresses, ProvisioningErrors, OnPremisesSecurityIdentifier | select Id, DisplayName, DirSyncEnabled, LastDirSyncTime, Mail, ProxyAddresses, ProvisioningErrors, OnPremisesSecurityIdentifier
$Gruppen | Where-Object {$_.ProxyAddresses -icontains $KonfliktAddresse}

Kontakte:

$KonfliktAddresse = 'SMTP:******@contoso.de'
$Kontakte = Get-MgContact  -Filter "mail ge '*'" -Property Id, DisplayName, DirSyncEnabled, LastDirSyncTime, Mail, ProxyAddresses, ProvisioningErrors | select Id, DisplayName, DirSyncEnabled, LastDirSyncTime, Mail, ProxyAddresses, ProvisioningErrors
$Kontakte | Where-Object {$_.ProxyAddresses -icontains $KonfliktAddresse}

Anbei der Vergleich fuer die Suche ueber beide Wege nach dem ProxyAddresses Attribut fuer Benutzer, um ein bereits bestehendes Cloudobjekt mit der gleichen ProxyAdresse identifizieren zu koennen.

GraphUserQueryPowerShell

Im Graph Explorer muessen Sie sich zuerst in das Entraverzeichnis einloggen, ueber die Schaltflaeche oben rechts und dann ueber das Modify Permission Tab die entsprechenden Berechtigungen zum Lesen geben: "User.Read.All", "Group.Read.All", "OrgContact.Read.All", das Beispiel fuer Nutzer im Bild unten.

GrantPermissionsInGraph Danach sollten Sie die notwendigen Rechte haben die eigentlichen Anfragen zu starten.

Die Anfragemethode sollte standardmaessig auf GET voreingestellt sein. Sie koennen die untenstehenden URLs direkt verwenden und muessen nur die Emailaddresse im Filter anpassen, danach Run Query druecken, ein Request Body ist fuer keine der Anfragen notwendig.

https://graph.microsoft.com/v1.0/users?$select=Id,DisplayName,UserPrincipalName,mail,proxyAddresses,ProvisioningErrors,OnPremisesSecurityIdentifier,ExtensionProperty&$filter=proxyAddresses/any(x:x eq 'SMTP:******@Contoso.de')

https://graph.microsoft.com/v1.0/groups?$select=Id,DisplayName,UserPrincipalName,mail,proxyAddresses,ProvisioningErrors,OnPremisesSecurityIdentifier,&$filter=proxyAddresses/any(x:x eq 'SMTP:******@Contoso.de')

https://graph.microsoft.com/v1.0/contacts?$select=Id,DisplayName,UserPrincipalName,mail,proxyAddresses,ProvisioningErrors,OnPremisesSecurityIdentifier,&$filter=proxyAddresses/any(x:x eq 'SMTP:******@Contoso.de')

Eine Beispielanfrage fuer mein Verzeichnis finden Sie untenstehend.

GraphExplorerQuery

_AWO IT 60 Reputation points

2024-12-05T14:25:47.2733333+00:00
Hallo @FrankEscarosBuechsel-MSFT ,

Ich habe das Problem über einen Microsoft Support lösen können.

Mein Ansatz war es doppelte Attribute zu finden.

Das Problem war jedoch die Synchronisation des Entra ID Nutzers mit seinem Object ID in die lokale Active Directory. Die Abfragen über die Powershell habe ich dann doch in der lokalen Active Directory vollzogen, benötigte aber hierzu nicht viele Informationen wie du Beschrieben hast. Den Softmatch mit ProxyAdresse und UPN, habe ich abfragen können über die Powershell in der AD.

Das Problem konnte durch ein Addmatch wie folgt gelöst werden:

Erst in der Cloud den User identifizieren (portal.azure.com). UPN (User Principal Name), proxyAdress und Obejct ID kopieren (notieren)

Nutzer in der Active Directory in "LostandFound" verschieben OU (Organisationseinheit) und dann Delta Sync ausführen im Domaincontroller AzureAD (PowerShell Befehl--->Start-ADSyncSyncCycle -PolicyType Delta<---)

Alle Rollen des Nutzers Notieren (Screenshot)

-Nun alle Rollen entfernen bzw. Alle Rollen als -->ADMIN<-- im Azure Portal (portal.azure.com)

Wechseln zuürck zur OnPremise Active Directory, >> Attributeditor>> UPN, Proxyadresse, fügen Sie die kopierten Informationen ein und fügen Sie sie jeweils in das Attributfeld ein. Hier ist wichtig: Die Obejct ID zB.: *309c0be2-1841-43ed-81e6-60afa3cc0011 dieses in ein 3rd. Party Tool einfügen um den HEXADEZIMAL auszurechnen: --->https://toolslick.com/conversion/data/guid<---

Dann die HEX Zahl in OnPremise Active Directory bei Attribut Editor unter mS-DS-ConsistencyGuid einfügen und speichern

Verschieben Sie den Benutzer zurück in seine ursprüngliche Organisationseinheit (OU) und führen Sie eine Deltasynchronisierung aus.

im Domaincontroller AzureAD (PowerShell Befehl--->Start-ADSyncSyncCycle -PolicyType Delta<---)

Gehen Sie in die Cloud und bestätigen Sie die Änderungen.
Hier wird die Base64 - Zahl als Unveränderliche ID (lokal) zB.: *"2wtsMFEY7UOB6GCvo8wAdB==" im Azure Portal des Nutzers angezeigt

Dann alle Rollen als -->ADMIN<-- neu zuweisen (Screenshot)

Fertig nun ist bei Portal.azure.com der Benutzer als onPremise gespeichert.

Vermerkt ist dieser nun als "YES" bei onPremise wenn man den Nutzer öffnet.

*Die Zahlen sind verändert wurden.

Vielen Dank für deine Rückmeldung und Hingabe.

Mit freundlichen Grüßen

_AWO IT
Givary-MSFT 35,626 Reputation points Microsoft Employee Moderator

2024-12-12T03:53:02.6966667+00:00

@_AWO IT I'm glad that you were able to resolve your issue and thank you for posting your solution so that others experiencing the same thing can easily reference this! Since the Microsoft Q&A community has a policy that "The question author cannot accept their own answer. They can only accept answers by others ", Would appreciate if you can accept the answer as it would help other community members looking for similar issue.

Share via

Fehler: "ProxyAddresses-Wert "SMTP: ******@contoso.de" wird möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet"

1 answer

Your answer