Uno o varios objetos no se sincronizan al usar la herramienta sincronización de Azure Active Directory

En este artículo se resuelve un problema por el que uno o varios atributos de objeto de Servicios de dominio de Active Directory (AD DS) no se sincronizan con el identificador de Microsoft Entra a través de la herramienta De sincronización de Azure Active Directory.

Versión del producto original: Cloud Services (roles web/roles de trabajo), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
Número de KB original: 2643629

Nota:

¿Le resultó útil este artículo? Su opinión es importante para nosotros. Use el botón Comentarios de esta página para indicarnos lo bien que ha funcionado este artículo o cómo podemos mejorarlo.

Síntomas

Uno o varios objetos o atributos de AD DS no se sincronizan con el identificador de Entra de Microsoft según lo previsto. Cuando se ejecuta la sincronización de Active Directory, un objeto no se sincroniza y experimenta uno de los síntomas siguientes:

• Recibirá un mensaje de error que indica que un atributo tiene un valor duplicado.
• Recibe un mensaje de error que indica que uno o varios atributos infringen los requisitos de formato, como el juego de caracteres o la longitud de caracteres.
• No recibe un mensaje de error y parece que se ha completado la sincronización de directorios. Sin embargo, algunos objetos o atributos no se actualizan según lo previsto.

Algunos ejemplos del mensaje de error que puede recibir:

Ya existe un objeto sincronizado con la misma dirección de proxy en el directorio de Microsoft Online Services.

No se puede actualizar este objeto porque no se encuentra el identificador de usuario.

No se puede actualizar este objeto en Microsoft Online Services porque los atributos siguientes asociados a este objeto tienen valores que pueden estar asociados a otro objeto en el directorio local.

Causa

Este problema se produce por una de las siguientes razones:

• No se ha comprobado el valor de dominio que usan los atributos de AD DS.

• Uno o varios atributos de objeto que requieren un valor único tienen un valor de atributo duplicado (como el atributo proxyAddresses o el atributo U serPrincipalName) en una cuenta de usuario existente.

• Uno o varios atributos de objeto infringen los requisitos de formato que restringen los caracteres y la longitud de caracteres de los valores de atributo.

• Uno o varios atributos de objeto coinciden con las reglas de exclusión para la sincronización de directorios.

  En la tabla siguiente se muestran las reglas de ámbito de sincronización predeterminadas:

  Tipo de objeto	Attribute name	Condición del atributo cuando se produce un error en la sincronización
  Contacto	Nombre para mostrar	Contiene "MSOL"
  	msExchHideFromAddressLists	Se establece en "True"
  Grupo habilitado para seguridad	isCriticalSystemObject	Se establece en "True"
  Grupos habilitados para correo (grupo de seguridad o lista de distribución)	proxyAddresses y mail	No tiene ninguna entrada de dirección "SMTP:" y no está presente
  Contactos habilitados para correo	proxyAddresses y mail	No tiene ninguna entrada de dirección "SMTP:" y no está presente
  iNetOrgPerson	sAMAccountName	No está presente
  	isCriticalSystemObject	Está presente
  Usuario	mailNickname	Comienza con "SystemMailbox"
  	mailNickname	Comienza con "CAS_" y contiene "}"
  	sAMAccountName	Comienza con "CAS_" y contiene "}"
  	sAMAccountName	Es igual a "SUPPORT_388945a0"
  	sAMAccountName	Es igual a "MSOL_AD_Sync"
  	sAMAccountName	No está presente
  	isCriticalSystemObject	Se establece en "True"

• El nombre principal de usuario (UPN) se cambió después de la sincronización inicial y se debe actualizar manualmente.

• Las direcciones del Protocolo simple de transferencia de correo (SMTP) de Exchange Online de los usuarios sincronizados no se rellenan correctamente en el esquema de Active Directory local.

Solución

Para resolver este problema, utilice uno de los siguientes métodos, según corresponda a su situación.

Ejecute IdFix para comprobar si hay duplicados, atributos que faltan y infracciones de reglas.

Use la Herramienta de corrección de errores de IdFix DirSync para buscar objetos y errores que impiden la sincronización con el identificador de Microsoft Entra.

• Si ve "Blank" en la columna ERROR después de ejecutar IdFix, no se define el atributo displayName del objeto. Para resolver este problema, especifique un valor para el atributo displayName del objeto mediante estos pasos:

1. En la columna UPDATE del objeto, escriba el nombre de su atributo displayName.
2. En la columna ACCIÓN, haga clic en EDITARy, a continuación, haga clic en Aplicar.
3. Repita los pasos 1 y 2 para cada objeto que tenga una entrada "en blanco" en la columna ERROR.
4. Vuelva a ejecutar IdFix para buscar más errores de objeto.

• Si ve "Duplicado" en la columna ERROR después de ejecutar IdFix, dos o más objetos tienen la misma dirección de correo electrónico. Para resolver este problema, especifique una dirección de correo electrónico única para el objeto mediante estos pasos:

1. En la columna UPDATE del objeto , escriba una dirección de correo electrónico que aún no se haya usado.
2. En la columna ACCIÓN, haga clic en EDITARy, a continuación, haga clic en Aplicar.
3. Vuelva a ejecutar IdFix para buscar más errores de objeto.

Determinar los conflictos de atributos causados por objetos que no se crearon en el identificador de Microsoft Entra a través de la sincronización de directorios

Para determinar los conflictos de atributos causados por objetos de usuario creados mediante herramientas de administración (y que no se crearon en microsoft Entra ID a través de la sincronización de directorios), siga estos pasos:

1. Determine los atributos únicos de la cuenta de usuario de AD DS local. Para ello, en un equipo que tenga instaladas las herramientas de soporte técnico de Windows, siga estos pasos:

   1. Seleccione Inicio, seleccione Ejecutar, escriba ldp.exe y, a continuación, seleccione Aceptar.

   2. Seleccione Conexión, seleccione Conectar, escriba el nombre del equipo de un controlador de dominio de AD DS y, a continuación, seleccione Aceptar.

   3. Seleccione Connection (Conexión), Bind (Enlazar) y, a continuación, seleccione Aceptar.

   4. Seleccione Ver, seleccione Vista de árbol, seleccione el dominio de AD DS en la lista desplegable BaseDN y, a continuación, seleccione Aceptar.

   5. En el panel de navegación, busque y haga doble clic en el objeto que no se está sincronizando correctamente. En el panel Detalles del lado derecho de la ventana se enumeran todos los atributos de objeto. En el ejemplo siguiente se muestran los atributos de objeto:

      

   6. Registre los valores del atributo userPrincipalName y cada dirección SMTP en el atributo proxyAddresses de varios valores. Estos valores se necesitarán más adelante.

      Attribute name	Ejemplo	Notas
      proxyAddresses	proxyAddresses (3): x500:/o=Exchange/ou=Grupo administrativo de Exchange (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;	1. El número que se muestra entre paréntesis junto a la etiqueta de atributo indica el número de valores de dirección proxy en el atributo multivalor. 2. Cada valor de dirección proxy distinto se indica mediante un punto y coma (;). 3. El valor de dirección del proxy SMTP principal se indica con mayúsculas "SMTP:"
      userPrincipalName	7628376@contoso.com

      Nota:

      Ldp.exe se incluye en Windows Server 2008 y en las Herramientas de soporte técnico de Windows Server 2003. Las herramientas de soporte técnico de Windows Server 2003 se incluyen en los medios de instalación de Windows Server 2003. O bien, para obtener las herramientas de soporte técnico, vaya al siguiente sitio web de Microsoft: Windows Server 2003 Service Pack 2 Herramientas de soporte técnico de 32 bits

2. Conéctese a Microsoft Entra ID mediante el módulo de Azure Active Directory para Windows PowerShell. Para obtener más información, vaya a Administrar el identificador de Entra de Microsoft con Windows PowerShell.

   Deje abierta la ventana de consola. Deberá usarlo en el paso siguiente.

3. Busque los atributos userPrincipalName duplicados.

   En la conexión de consola que abrió en el paso 2, escriba los siguientes comandos en el orden en que se presentan. Presione Entrar después de cada comando:

   $userUPN = "<search UPN>"
   

   Nota:

   En este comando, el marcador de posición "<buscar UPN>" representa el atributo UserPrincipalName que registró en el paso 1f.

   Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
   

   Nota:

   Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lee la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

   Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulta las Preguntas más frecuentes sobre migración. Nota: versiones 1.0.x de MSOnline pueden experimentar interrupciones después del 30 de junio de 2024.

   Deje abierta la ventana de consola. Lo usará de nuevo en el paso siguiente.

4. Compruebe si hay atributos proxyAddresses duplicados. En la conexión de consola que abrió en el paso 2, ejecute el siguiente comando:

   Import-Module ExchangeOnlineManagement
   

5. Para cada entrada de dirección de proxy que registró en el paso 1f, escriba los siguientes comandos en el orden en que se presentan. Presione Entrar después de cada comando:

   $proxyAddress = "<search proxyAddress>"
   

   Nota:

   En este comando, el marcador de posición "<search proxyAddress>" representa el valor de un atributo proxyAddresses que registró en el paso 1f.

   Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}
   

Los elementos que se devuelven después de ejecutar los comandos en el paso 3 y 4 representan objetos de usuario que no se crearon a través de la sincronización de directorios y que tienen atributos que entran en conflicto con el objeto que no se sincroniza correctamente.

Actualizar los atributos de AD DS para quitar duplicados, infracciones de reglas y exclusiones de ámbito

Identifique los atributos específicos que impiden la sincronización en función de la siguiente información:

• Mensajes de correo electrónico administrativos
• Informe de la salida de la herramienta de preparación de implementación de Office 365
• Reglas de ámbito de sincronización de directorios predeterminadas y reglas personalizadas

Una vez identificado un valor de atributo específico, edite el valor del atributo mediante uno de estos métodos:

• Use la herramienta Usuarios y equipos de Active Directory para editar el valor del atributo.

1. Abra Usuarios y equipos de Active Directory y seleccione el nodo raíz del dominio de AD DS.
2. Seleccione Ver y asegúrese de que está seleccionada la opción Características avanzadas .
3. En el panel de navegación izquierdo, busque el objeto de usuario, haga clic con el botón derecho en él y, a continuación, seleccione Propiedades.
4. En la pestaña Editor de objetos, busque el atributo que desee. Seleccione Editar y, a continuación, edite el valor del atributo en el valor que desee.
5. Seleccione Aceptar dos veces.

• Use La edición de interfaces de servicio de Active Directory (ADSI) para actualizar atributos de objeto en AD DS. Puedes descargar e instalar ADSI Edit como parte del Kit de herramientas de Windows Server. Para usar ADSI Edit para editar atributos, siga estos pasos.

Advertencia

Este procedimiento requiere ADSI Edit. El uso de ADSI Edit incorrectamente puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no puede garantizar que se puedan resolver los problemas resultantes del uso incorrecto de ADSI Edit. Use ADSI Edit en su propio riesgo.

1. Seleccione Inicio, seleccione Ejecutar, escriba ADSIEdit.msc y, a continuación, seleccione Aceptar.
2. Haga clic con el botón derecho en ADSI Editar en el panel de navegación, seleccione Conectar a y, a continuación, seleccione Aceptar para cargar la partición de dominio.
3. Busque el objeto de usuario, haga clic con el botón derecho en él y seleccione Propiedades.
4. En la lista Atributos , busque el atributo que desee. Seleccione Editar y, a continuación, edite el valor del atributo en el valor que desee.
5. Seleccione Aceptar dos veces y, a continuación, salga de ADSI Editar.

Cree un nuevo grupo y agréguelo al grupo integrado que no se está sincronizando.

Para resolver el problema en el escenario en el que algunos grupos integrados (como el grupo Usuarios del dominio) no están sincronizados, cree un nuevo grupo que contenga todos los miembros aplicables y los permisos adecuados del grupo integrado. A continuación, agregue ese grupo como miembro al grupo integrado que no está sincronizado. Use el nuevo grupo en lugar del grupo integrado para administrar miembros. Con este método, solo se administra un grupo.

No desea cambiar los atributos del grupo integrado ni cambiar las reglas de ámbito del dispositivo de sincronización de identidades para permitir que se sincronicen los objetos críticos del sistema. Puede desencadenar otro comportamiento inesperado.

Usar la coincidencia de SMTP para hacer que un objeto de usuario local se sincronice con un objeto de usuario existente

Para obtener más información, vea Cómo usar la coincidencia smtp para buscar coincidencias entre cuentas de usuario locales y cuentas de usuario de Office 365 para la sincronización de directorios.

Actualizar manualmente un UPN de cuenta de usuario

Para actualizar un UPN de cuenta de usuario con licencia después de que se haya producido la sincronización inicial de directorios, siga estos pasos:

1. Instale el módulo de PowerShell de Azure Active Directory v2. Para más información, consulte Módulo de PowerShell de Azure Active Directory v2.

2. Ejecute los siguientes cmdlets en el símbolo del sistema de PowerShell de Azure Active Directory v2:

   $cred = get-credential
   

   Nota:

   Cuando se le solicite, escriba sus credenciales de administrador.

   Connect-AzureAD
   

   Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]
   

Actualización de direcciones SMTP de usuario mediante atributos de Active Directory local

Cuando los atributos SMTP no se sincronizan con Exchange Online de una manera esperada, es posible que tenga que actualizar los atributos de Active Directory local. Para actualizar Active Directory local atributos para que la dirección de correo electrónico correcta se muestre en Exchange Online, use la resolución 2 para manipular los atributos de la tabla siguiente.

Nombre del atributo de Active Directory local	Valor de atributo de Active Directory local de ejemplo	Direcciones de correo electrónico de Exchange Online de ejemplo
proxyAddresses	SMTP:user1@contoso.com	SMTP principal: user1@contoso.com SMTP secundario: user1@contoso.onmicrosoft.com
proxyAddresses	SMTP:user1@contoso.com	SMTP principal: user1@contoso.onmicrosoft.com SMTP secundario: user1@contoso.com
proxyAddresses	SMTP:user1@contoso.com SMTP:user1@sub.contoso.com	SMTP principal: user1@contoso.com SMTP secundario: user1@sub.contoso.com SMTP secundario: user1@contoso.onmicrosoft.com
mail	User1@contoso.com	SMTP principal: user1@contoso.com SMTP secundario: user1@contoso.onmicrosoft.com
UserPrincipalName	User1@contoso.com	SMTP principal: user1@contoso.com SMTP secundario: user1@contoso.onmicrosoft.com

La entrada Dirección de enrutamiento de correo electrónico en línea (MOERA) de Microsoft asociada al dominio predeterminado (por user1@contoso.onmicrosoft.comejemplo, ) es un valor interpretado basado en el alias de una cuenta de usuario. Esta dirección de correo electrónico especializada está vinculada inextricablemente a cada destinatario de Exchange Online. No puede administrar, eliminar ni crear direcciones MOERA adicionales para ningún destinatario. Sin embargo, la dirección MOERA se puede sobreponer como dirección SMTP principal mediante los atributos del objeto de usuario Active Directory local.

Nota:

La presencia de datos en el atributo proxyAddresses enmascara completamente los datos en el atributo de correo para el rellenado de direcciones de correo electrónico de Exchange Online.

Nota:

La presencia de datos en el atributo proxyAddresses, el atributo mail o ambos atributos enmascaran completamente los datos UserPrincipalName para el rellenado de direcciones de correo electrónico de Exchange Online. El UPN se puede usar para administrar direcciones de correo electrónico. Sin embargo, un administrador puede decidir administrar la dirección de correo electrónico y UPN por separado rellenando proxyAddresses o atributos de correo.

Se recomienda encarecidamente usar uno de estos atributos de forma coherente para administrar las direcciones de correo electrónico de Exchange Online para los usuarios sincronizados.

Más información

Los comandos de Windows PowerShell que se mencionan en este artículo requieren el módulo de Azure Active Directory para Windows PowerShell. Para obtener más información sobre el módulo de Azure Active Directory para Windows PowerShell, consulte el siguiente artículo:
Administrar el identificador de Microsoft Entra mediante Windows PowerShell.

Para obtener más información sobre cómo filtrar la sincronización de directorios por atributos, consulte el siguiente artículo wiki de Microsoft TechNet:
Lista de atributos sincronizados por la herramienta de sincronización de Azure Active Directory

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.