Como resolver alguns problemas comuns de sincronização no Azure AD Connect
Estou fazendo a revisão de um ambiente Office 365 de um cliente Microsoft e me deparei com alguns erros bastante comuns no Azure AD Connect, que não tinha sido investigado mais a fundo.
1) Erro de sync de algum objeto com valor inválido em algum atributo.
Algumas aplicações (ex. SAP e Squid) precisam alterar o UPN do seu usuário de serviço para um formato não aceito pelo Office 365. Nos casos que já peguei o formato do UPN é algo como: <“host/username@domínio.com.br>”. Como este formato não é aceito no Azure AD a cada sincronização um novo erro é gerado, como abaixo:
Como este tipo de objeto não precisa ser sincronizado com Office 365, a recomendação é criar um filtro de objeto no Azure AD Connect.
No DirSync era fácil de fazer, bastava criar um novo filtro no Management Agent (MA) na opção “Configure Connector Filter”, porém essa opção não está mais disponível no MA da Azure AD Connect. Portanto para criar um filtro de um objeto no Azure AD Connect use os passos abaixo:
a) Abra o Synchonization Rules Editor a partir do botão Windows
b) Clique em Add New Rule e crie um nova regra, conforme abaixo:
Obs.: O atributo cloudFiltered deve ser definido igual a True
Ao final clique no botão Add para adicionar a o filtro.
Voltando a Synchronization Service Manager rode um Full Import & Full Synchronization do MA que foi modificado.
Esse fitro faz com o que o usuário cujo Display name é igual a “SquidGuard” não seja sincronizado com Office 365 e automaticamente não dê mais erro na sincronização.
2) Warning export-change-not-reimported
Durante a sincronização Delta Import do Azure AD aparece a mensagem (warnings) abaixo para alguns grupos:
Verificando os grupos percebi que todos estes grupos tinham como membros alguma conta de computador que é Domain Controller (HUNECKE-AD01 ou HUNECKE-AD02), e como as contas de DCs não são sincrinizados com Office 365, é foi necessário criar um filtro para excluir essas contas de computador, conforme abaixo:
a) Abra o Synchonization Rules Editor a partir do botão Windows
b) Clique em Add New Rule e crie uma nova regra, conforme abaixo:
Se você criar condições no mesmo grupo, todas as regras deverão ser Verdadeiras
Para excluir 2 ou mais contas de computador, é necessário criar um grupo para cada conta de computador.
Obs.: O atributo cloudFiltered deve ser definido igual a True
3) Required attribute cloudanchor is missing
Durante a sincronização Export do Azure AD aparece a mensagem abaixo para algum usuário:
Abrindo os detalhes do erro chegamos à mensagem:
Essa mensagem geralmente aparece para usuários recém excluídos no Office 365 Portal ou PowerShell e no Office 365 o usuário ainda está na lixeira Recycle Bin). Para resolver exclua o usuário e depois exclua da lixeira usando os seguintes comandos PowerShell:
Remove-MsolUser -UserPrincipalName user@yourdomain.com
Remove-MsolUser -UserPrincipalName user@yourdomain.com –RemoveFromRecycleBin
Após a nova sincronização a conta do usuário será criada novamente no Office 365.
Rode um Full Sync através do comando: C:\Program Files\Microsoft Azure AD Sync\Bin\ DirectorySyncClientCmd.exe initial
4) Stopped-server-down
Durante a sincronização Export do Azure AD aparece a mensagem abaixo:
Stopped-server-down message
Um das causas deste erro pode ser a restrição de execução de usuário em massa, ou seja, o comando Enable-ADSyncExportDeletionThreshold. foi executado.
Para resolver, é necessário desativar essa prevenção usando o comando: Disable-ADSyncExportDeletionThreshold,e rodar novamente o Export do MA do Azure AD.
Depois destes ajustes, com filtros por usuário e por conta de computador, o Azure AD Connect está sincronizado 100%, sem qualquer erro ou mesmo warning, como abaixo:
Source: https://msdn.microsoft.com/en-us/library/azure/dn801051.aspx
Comments
- Anonymous
December 02, 2015
Muito bom Hunecke, obrigado por compartilhar ;) Abraços! - Anonymous
December 09, 2015
Hunecke! Valeu o share...
Abs