Compartir a través de

Los atributos duplicados o no válidos impiden la sincronización de directorios en Microsoft 365

  • Se aplica a: Azure Active Directory, Microsoft 365

Síntomas

En Microsoft 365, un administrador recibe la siguiente advertencia de mensaje de correo electrónico cuando finaliza la sincronización de directorios:

From: [MSOnlineServicesTeam@MicrosoftOnline.com](mailto:msonlineservicesteam@microsoftonline.com)Subject: Directory Synchronization Error Report

El informe de error del mensaje de correo electrónico puede contener uno o varios de los siguientes mensajes de error:

  • Ya existe un objeto sincronizado con la misma dirección de proxy en el directorio de Microsoft Online Services.
  • No se puede actualizar este objeto porque no se encuentra el identificador de usuario.
  • No se puede actualizar este objeto en Microsoft Online Services porque los atributos siguientes asociados a este objeto tienen valores que pueden estar asociados a otro objeto en el directorio local.
  • No se puede actualizar este objeto porque los atributos siguientes asociados a este objeto tienen valores que pueden estar asociados a otro objeto en los servicios de directorio local: [UserPrincipalName john@contoso.com;]. Corrija o quite los valores duplicados en el directorio local.
  • No se puede actualizar este objeto porque los atributos siguientes asociados a este objeto tienen valores que pueden estar asociados a otro objeto en los servicios de directorio local: [ProxyAddresses SMTP:john@contoso.com;]. Corrija o quite los valores duplicados en el directorio local.

Además, si ejecuta el servicio de sincronización microsoft Entra ID (Connect), se registra una instancia del identificador de evento 6941 que contiene uno de los siguientes mensajes de error en el Visor de eventos de inicio de sesión de la aplicación:

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error. 

Error Name: AttributeValueMustBeUnique
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [UserPrincipalName john@contoso.com;]. Correct or remove the duplicate values in your local directory. Please refer to https://support.microsoft.com/kb/2647098 for more information on identifying objects with duplicate attribute values.

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error.

Error Name: InvalidSoftMatch
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [ProxyAddresses SMTP:john@contoso.com;]. Correct or remove the duplicate values in your local directory.

Causa

Este problema puede producirse si los objetos de usuario del esquema local de Active Directory Domain Services (AD DS) tienen valores de alias duplicados o no válidos, y si estos objetos de usuario no se sincronizan desde el esquema de AD DS a Microsoft 365 correctamente durante la sincronización de directorios.

Todos los valores de alias de Microsoft 365 deben ser únicos para una organización determinada. Incluso si tiene varios sufijos únicos después del signo at (@) en la dirección del Protocolo simple de transferencia de correo (SMTP), todos los valores de alias deben ser únicos.

En un entorno local, puede tener valores de alias que sean los mismos siempre que sean únicos en función de los sufijos después del signo (@) en la dirección SMTP.

Si crea objetos que tienen valores de alias duplicados en la nube para Microsoft 365, para que los alias sean únicos, un alias tiene un número único anexado. (Por ejemplo, si los valores de alias duplicados son "Albert", uno de ellos se convierte automáticamente en "Albert2". Si ya se está usando "Albert2", el alias se convierte en "Albert3", etc.) Sin embargo, si los objetos que tienen valores de alias duplicados se crean en AD DS local, se produce una colisión de objetos cuando se ejecuta la sincronización de directorios y se produce un error en la sincronización de objetos.

Solución

Para resolver este problema, determine valores duplicados y valores que entran en conflicto con otros objetos de AD DS. Para ello, use uno de los métodos siguientes.

Método 1: Usar IdFix, la herramienta de reparación de errores de sincronización de Microsoft Entra.

Use la Herramienta de corrección de errores de la herramienta de sincronización de IdFix Microsoft Entra para identificar atributos duplicados o no válidos. Para resolver atributos duplicados mediante la herramienta IdFix, consulte el siguiente artículo de Microsoft Knowledge Base:

2857385 "Duplicado" se muestra en la columna ERROR para dos o más objetos después de ejecutar la herramienta IdFix.

Método 2: Asignación de un usuario local existente a un usuario de Microsoft Entra

Para ello, consulte el siguiente artículo de Microsoft Knowledge Base:

2641663 Cómo usar la coincidencia smtp para buscar coincidencias entre cuentas de usuario locales y cuentas de usuario de Microsoft 365 para la sincronización de directorios

Método 3: Determinar los conflictos de atributos causados por objetos que no se crearon en microsoft Entra ID a través de la sincronización de directorios

Para determinar los conflictos de atributos causados por objetos de usuario creados mediante herramientas de administración de Microsoft 365 (y que no se crearon en el id. de Entra de Microsoft a través de la sincronización de directorios), siga estos pasos:

  1. Determine los atributos únicos de la cuenta de usuario de AD DS local. Para ello, en un equipo que tenga instaladas las herramientas de soporte técnico de Windows, siga estos pasos:

    1. Haga clic en Inicio, haga clic en Ejecutar, escriba ldp.exey, a continuación, haga clic en Aceptar.

    2. Haga clic en Conexión, haga clic en Conectar, escriba el nombre de equipo de un controlador de dominio de AD DS y, a continuación, haga clic en Aceptar.

    3. Haga clic en Conexión, haga clic en Enlazar, y luego haga clic en Aceptar.

    4. Haga clic en Ver, en Vista de árbol, seleccione el dominio de AD DS en la lista desplegable BaseDN y, a continuación, haga clic en Aceptar.

    5. En el panel de navegación, busque y haga doble clic en el objeto que no se está sincronizando correctamente. En el panel Detalles del lado derecho de la ventana se enumeran todos los atributos de objeto. En el ejemplo siguiente se muestran los atributos de objeto:

      Captura de pantalla que muestra un ejemplo de atributos de objeto.

    6. Registre los valores del atributo userPrincipalName y cada dirección SMTP en el atributo proxyAddresses de varios valores. Necesitará estos valores más adelante.

      Nombre del atributo Ejemplo Notas
      direcciones de proxy proxyAddresses (3): x500:/o=Exchange/ou=Grupo administrativo de Exchange (GroupName)/cn=Recipients/cn=GUID; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com; El número que se muestra entre paréntesis junto a la etiqueta de atributo indica el número de valores de dirección proxy en el atributo multivalor. Cada valor de dirección proxy distinto se indica mediante un punto y coma (;). El valor de dirección del proxy SMTP principal se indica con mayúsculas "SMTP:"
      nombre principal de usuario 7628376@contoso.com

      Nota:

      Ldp.exe se incluye en Windows Server 2008 y en las Herramientas de soporte técnico de Windows Server 2003. Las herramientas de soporte técnico de Windows Server 2003 se incluyen en los medios de instalación de Windows Server 2003. O bien, para obtener la herramienta, vaya al siguiente sitio web de Microsoft: Windows Server 2003 Service Pack 2 Herramientas de soporte técnico de 32 bits

  2. Conéctese a Microsoft 365 mediante el módulo de Azure Active Directory para Windows PowerShell. Para ello, siga estos pasos:

    1. Haga clic en Inicio, haga clic en Todos los programas, haga clic en Microsoft Entra ID, y luego haga clic en Módulo de Azure Active Directory para Windows PowerShell.

    2. Escriba los siguientes comandos en el orden en que se presentan y presione Entrar después de cada comando:

      $cred = get-credential

      Nota:

      Cuando se le solicite, escriba sus credenciales de administrador de Microsoft 365.

      Connect-MSOLService –credential $cred

      Nota:

      Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la notificación de obsolescencia. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos obsoletos seguirán funcionando hasta el 30 de marzo de 2025.

      Se recomienda migrar a Microsoft Graph PowerShell para interactuar con el identificador de Entra de Microsoft (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: Las versiones 1.0.x de MSOnline podrían experimentar interrupciones después del 30 de junio de 2024.

      Deje abierta la ventana de consola. Tendrás que usarlo en el paso siguiente.

  3. Busque los atributos userPrincipalName duplicados en Microsoft 365.

    En la conexión de consola que abrió en el paso 2, escriba los siguientes comandos en el orden en que se presentan y presione Entrar después de cada comando:

    $userUPN = "<search UPN>"

    Nota:

    En este comando, el marcador de posición "buscar UPN" representa el atributo UserPrincipalName que registró en el paso 1f.

    get-msoluser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Deje abierta la ventana de consola. Usarás esto otra vez en el siguiente paso.

  4. Compruebe si hay direcciones proxy duplicadas en las "proxyAddressesAttributes". En la conexión de consola que abrió en el paso 2, escriba los siguientes comandos en el orden en que se presentan y presione Entrar después de cada comando:

    $UserCredential = Get-Credential
Connect-ExchangeOnline -Credential $UserCredential

  5. Para cada entrada de dirección de proxy que registró en el paso 1f, escriba los siguientes comandos en el orden en que se presentan y presione Entrar después de cada comando:

    $proxyAddress = "<search proxyAddress>"

    Nota:

    En este comando, el marcador de posición "search proxyAddress" representa el valor de un atributo proxyAddresses que registró en el paso 1f.

    Get-EXOMailbox | Where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MsolUser -ObjectID $_.ExternalDirectoryObjectId | Where {($_.LastDirSyncTime -eq $null)}}

Los elementos que se devuelven después de ejecutar los comandos en el paso 3 y 4 representan objetos de usuario que no se crearon a través de la sincronización de directorios y que tienen atributos que entran en conflicto con el objeto que no se sincroniza correctamente.

Después de determinar los valores de atributo en conflicto o no válidos, solucione el problema siguiendo los pasos del siguiente artículo de Microsoft Knowledge Base:

2643629 Uno o varios objetos no se sincronizan cuando se usa la herramienta De sincronización de Azure Active Directory

Información adicional

Los comandos de Windows PowerShell de este artículo requieren el módulo de Azure Active Directory para Windows PowerShell. Para obtener más información sobre el módulo de Azure Active Directory para Windows PowerShell, vaya al siguiente sitio web de Microsoft:

Microsoft Entra Cmdlets

¿Todavía necesitas ayuda? Visite Comunidad Microsoft.