Поделиться через

Средство синхронизации Azure Active Directory не синхронизирует один или несколько объектов

В этой статье устранена проблема, из-за которую один или несколько атрибутов объектов домен Active Directory Services (AD DS) не синхронизируются с идентификатором Microsoft Entra с помощью средства синхронизации Azure Active Directory.

Исходная версия продукта: Облачные службы (веб-роли или рабочие роли), Идентификатор Microsoft Entra, Microsoft Intune, Azure Backup, Office 365 Identity Management
Исходный номер базы знаний: 2643629

Примечание.

Статья была полезной? Ваши входные данные важны для нас. Нажмите кнопку "Отзывы" на этой странице, чтобы сообщить нам, насколько хорошо эта статья работала для вас или как мы можем улучшить ее.

Симптомы

Один или несколько объектов ИЛИ атрибутов AD DS не синхронизируются с идентификатором Microsoft Entra, как ожидалось. При выполнении синхронизации Active Directory объект не синхронизируется и возникает один из следующих симптомов:

  • Вы получаете сообщение об ошибке, указывающее, что атрибут имеет повторяющееся значение.
  • Вы получаете сообщение об ошибке, которое указывает, что один или несколько атрибутов нарушают требования к форматированию, такие как набор символов или длина символов.
  • Сообщение об ошибке не получено, а синхронизация каталогов, как представляется, завершена. Однако некоторые объекты или атрибуты не обновляются должным образом.

Некоторые примеры сообщения об ошибке, которое может появиться:

Синхронизированный объект с тем же прокси-адресом уже существует в каталоге Microsoft Online Services.

Не удалось обновить этот объект, так как идентификатор пользователя не найден.

Не удалось обновить этот объект в Microsoft Online Services, так как следующие атрибуты, связанные с этим объектом, имеют значения, которые уже могут быть связаны с другим объектом в локальном каталоге.

Причина

Эта проблема возникает по одной из следующих причин:

  • Значение домена, используемое атрибутами AD DS, не проверено.

  • Один или несколько атрибутов объекта, требующих уникального значения, имеют дубликат атрибута (например, атрибут proxyAddresses или атрибут U serPrincipalName) в существующей учетной записи пользователя.

  • Один или несколько атрибутов объекта нарушают требования к форматированию, ограничивающие символы и длину символов значений атрибутов.

  • Один или несколько атрибутов объектов соответствуют правилам исключения для синхронизации каталогов.

    В следующей таблице показаны правила области синхронизации по умолчанию:

    Тип объекта Attribute name Условие атрибута при сбое синхронизации
    Контакт DisplayName Содержит "MSOL"
    msExchHideFromAddressLists Имеет значение True
    Группа с поддержкой безопасности isCriticalSystemObject Имеет значение True
    Группы с поддержкой почты
    (группа безопасности или список рассылки)    		 proxyAddresses

    и

    mail    		 Отсутствует запись адреса SMTP:.

    и

    отсутствует
    Контакты с поддержкой почты proxyAddresses

    и

    mail    		 Отсутствует запись адреса SMTP:.

    и

    отсутствует
    iNetOrgPerson sAMAccountName Отсутствует
    isCriticalSystemObject Присутствует
    Пользователь mailNickName Начинается с SystemMailbox
    mailNickName Начинается с "CAS_"

    и

    содержит "}"
    sAMAccountName Начинается с "CAS_"

    и

    содержит "}"
    sAMAccountName Равно "SUPPORT_388945a0"
    sAMAccountName Равно "MSOL_AD_Sync"
    sAMAccountName Отсутствует
    isCriticalSystemObject Имеет значение True

  • Имя участника-пользователя было изменено после начальной синхронизации и должно быть обновлено вручную.

  • Адреса протокола SMTP для синхронизированных пользователей Exchange Online не заполняются соответствующим образом в схеме локальная служба Active Directory.

Решение

Чтобы устранить эту проблему, используйте один из следующих методов, как это подходит для вашей ситуации.

Выполните idFix, чтобы проверить наличие повторяющихся, отсутствующих атрибутов и нарушений правил

Используйте средство исправления ошибок IdFix DirSync, чтобы найти объекты и ошибки, которые препятствуют синхронизации с идентификатором Microsoft Entra.

  • Если после запуска IdFix отображается значение "Пусто" в столбце ERROR , атрибут displayName объекта не определен. Чтобы устранить эту проблему, укажите значение атрибута displayName объекта, выполнив следующие действия:
  1. В столбце UPDATE для объекта введите имя атрибута displayName.
  2. В столбце ACTION нажмите кнопку EDIT и нажмите кнопку "Применить".
  3. Повторите шаги 1 и 2 для каждого объекта с пустой записью в столбце ERROR.
  4. Запустите IdFix еще раз, чтобы найти дополнительные ошибки объектов.
  • Если после запуска IdFix отображается "Дубликат" в столбце ERROR , два или более объектов имеют один и тот же адрес электронной почты. Чтобы устранить эту проблему, укажите уникальный адрес электронной почты для объекта, выполнив следующие действия:
  1. В столбце UPDATE для объекта введите адрес электронной почты, который еще не используется.
  2. В столбце ACTION нажмите кнопку EDIT и нажмите кнопку "Применить".
  3. Запустите IdFix еще раз, чтобы найти дополнительные ошибки объектов.

Определение конфликтов атрибутов, вызванных объектами, которые не были созданы в идентификаторе Microsoft Entra с помощью синхронизации каталогов

Чтобы определить конфликты атрибутов, вызванные пользовательскими объектами, созданными с помощью средств управления (и которые не были созданы в идентификаторе Microsoft Entra с помощью синхронизации каталогов), выполните следующие действия.

  1. Определите уникальные атрибуты локальной учетной записи пользователя AD DS. Чтобы сделать это, на компьютере с установленными средствами поддержки Windows выполните следующие действия:

    1. Нажмите кнопку "Пуск", выберите "Запустить", введите ldp.exe и нажмите кнопку "ОК".

    2. Выберите "Подключение", выберите "Подключиться", введите имя компьютера контроллера домена AD DS и нажмите кнопку "ОК".

    3. Выберите "Подключение", нажмите кнопку "Привязка" и нажмите кнопку "ОК".

    4. Выберите "Вид", выберите "Представление дерева", выберите домен AD DS в раскрывающемся списке BaseDN и нажмите кнопку "ОК".

    5. В области навигации найдите и дважды щелкните объект, который не синхронизируется правильно. В области сведений справа от окна перечислены все атрибуты объекта. В следующем примере показаны атрибуты объекта:

      Снимок экрана: панель навигации и сведений о средствах поддержки Windows, в которую перечислены все атрибуты объекта.

    6. Запишите значения атрибута userPrincipalName и каждого SMTP-адреса в атрибуте multivalue proxyAddresses. Эти значения потребуются позже.

      Attribute name Пример Примечания.
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. Число, отображаемое в скобках рядом с меткой атрибута, указывает количество значений адресов прокси-сервера в атрибуте с несколькими значениями.

      2. Каждое отдельное значение адреса прокси-сервера указывается точкой с запятой (;).

      3. Значение основного прокси-сервера SMTP указывается в верхнем регистре "SMTP:"
      userPrincipalName 7628376@contoso.com

      Примечание.

      Ldp.exe включены в Windows Server 2008 и в средства поддержки Windows Server 2003. Средства поддержки Windows Server 2003 включены в установочный носитель Windows Server 2003. Или, чтобы получить средства поддержки, перейдите на следующий веб-сайт Майкрософт: Windows Server 2003 с пакетом обновления 2 (SP2) с пакетом обновления 2 (SP2)

  2. Подключитесь к идентификатору Microsoft Entra с помощью модуля Azure Active Directory для Windows PowerShell. Дополнительные сведения см. в статье "Управление идентификатором Microsoft Entra с помощью Windows PowerShell".

    Оставьте окно консоли открытым. Его необходимо использовать на следующем шаге.

  3. Проверьте наличие повторяющихся атрибутов userPrincipalName.

    В открывшемся на шаге 2 подключении консоли введите следующие команды в том порядке, в котором они представлены. Нажмите клавишу ВВОД после каждой команды:

    $userUPN = "<search UPN>"

    Примечание.

    В этой команде заполнитель "<search UPN>" представляет атрибут UserPrincipalName, записанный на шаге 1f.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Примечание.

    Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

    Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

    Оставьте окно консоли открытым. Вы снова будете использовать его на следующем шаге.

  4. Проверьте наличие повторяющихся атрибутов proxyAddresses. В подключении консоли, открывшемся на шаге 2, выполните следующую команду:

    Import-Module ExchangeOnlineManagement

  5. Для каждой записи прокси-адреса, записанной на шаге 1f, введите следующие команды в том порядке, в котором они представлены. Нажмите клавишу ВВОД после каждой команды:

    $proxyAddress = "<search proxyAddress>"

    Примечание.

    В этой команде заполнитель "<search proxyAddress>" представляет значение атрибута proxyAddresses, записанного на шаге 1f.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

Элементы, возвращаемые после выполнения команд на шаге 3 и 4, представляют объекты пользователей, которые не были созданы с помощью синхронизации каталогов и имеют атрибуты, конфликтующие с объектом, который не синхронизируется правильно.

Обновление атрибутов AD DS для удаления повторяющихся, нарушений правил и исключений области

Определите определенные атрибуты, которые препятствуют синхронизации на основе следующих сведений:

  • Административные сообщения электронной почты
  • Отчет из выходных данных средства подготовки к развертыванию Office 365
  • Правила и настраиваемые правила синхронизации каталогов по умолчанию

После определения определенного значения атрибута измените значение атрибута с помощью одного из следующих методов:

  • Используйте средство Пользователи и компьютеры Active Directory для изменения значения атрибута.
  1. Откройте Пользователи и компьютеры Active Directory и выберите корневой узел домена AD DS.
  2. Выберите "Вид", а затем убедитесь, что выбран параметр "Дополнительные функции ".
  3. В области навигации слева найдите объект пользователя, щелкните его правой кнопкой мыши и выберите пункт "Свойства".
  4. На вкладке редактора объектов найдите нужный атрибут. Выберите "Изменить", а затем измените значение атрибута на нужное значение.
  5. Дважды нажмите кнопку ОК.
  • Используйте интерфейсы служб Active Directory (ADSI) Edit для обновления атрибутов объектов в AD DS. Вы можете скачать и установить ADSI Edit в составе набора средств Windows Server. Чтобы использовать ADSI Edit для редактирования атрибутов, выполните следующие действия.

Предупреждение

Для этой процедуры требуется изменить ADSI. Неправильное изменение ADSI может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что проблемы, возникающие в результате неправильного использования правки ADSI, можно устранить. Используйте ADI Edit по своему собственному риску.

  1. Нажмите кнопку "Пуск", выберите "Запустить", введите ADSIEdit.msc и нажмите кнопку "ОК".
  2. Щелкните правой кнопкой мыши ADSI Edit в области навигации, выберите "Подключиться" и нажмите кнопку "ОК ", чтобы загрузить раздел домена.
  3. Найдите объект пользователя, щелкните его правой кнопкой мыши и выберите пункт "Свойства".
  4. В списке атрибутов найдите нужный атрибут. Выберите "Изменить", а затем измените значение атрибута на нужное значение.
  5. Нажмите кнопку "ОК " два раза, а затем закройте команду ADSI Edit.

Создайте новую группу и добавьте ее в встроенную группу, которая не синхронизируется

Чтобы устранить проблему в сценарии, когда некоторые встроенные группы (например, группа "Пользователи домена") не синхронизируются, создайте новую группу, содержащую всех применимых участников и соответствующие разрешения встроенной группы. Затем добавьте группу в качестве члена в встроенную группу, которая не синхронизирована. Используйте новую группу вместо встроенной группы для управления участниками. Используя этот метод, вы по-прежнему управляете только одной группой.

Вы не хотите изменять атрибуты встроенной группы или изменять правила области устройства синхронизации удостоверений, чтобы разрешить синхронизацию критических системных объектов. Это может активировать другое непредвиденное поведение.

Использование сопоставления SMTP для синхронизации локального пользовательского объекта с существующим объектом пользователя

Дополнительные сведения см. в статье о том, как использовать сопоставление SMTP для сопоставления локальных учетных записей пользователей с учетными записями пользователей Office 365 для синхронизации каталогов.

Обновление имени участника-пользователя вручную

Чтобы обновить имя участника-пользователя, лицензированное после начальной синхронизации каталогов, выполните следующие действия.

  1. Установите модуль PowerShell для Azure Active Directory версии 2. Дополнительные сведения см. в модуле Azure Active Directory версии 2 PowerShell.

  2. Выполните следующие командлеты в командной строке Azure Active Directory версии 2 PowerShell:

    $cred = get-credential

    Примечание.

    При появлении запроса введите учетные данные администратора.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

Обновление АДРЕСОВ SMTP пользователя с помощью атрибутов локальная служба Active Directory

Если атрибуты SMTP не синхронизируются с Exchange Online ожидаемым образом, может потребоваться обновить локальная служба Active Directory атрибуты. Чтобы обновить атрибуты локальная служба Active Directory таким образом, чтобы правильный адрес электронной почты отображалось в Exchange Online, используйте решение 2 для управления атрибутами в следующей таблице.

Локальное имя атрибута Active Directory Пример значения атрибута Active Directory локальной среды Примеры адресов электронной почты Exchange Online
proxyAddresses ПРОТОКОЛ SMTP:user1@contoso.com Основной SMTP: user1@contoso.com
Дополнительный SMTP: user1@contoso.onmicrosoft.com
proxyAddresses протокол smtp:user1@contoso.com Основной SMTP: вторичный SMTP: user1@contoso.onmicrosoft.comuser1@contoso.com
proxyAddresses ПРОТОКОЛ SMTP:user1@contoso.com
протокол smtp:user1@sub.contoso.com		 Основной SMTP: user1@contoso.com
Дополнительный SMTP: user1@sub.contoso.com
Дополнительный SMTP: user1@contoso.onmicrosoft.com
mail User1@contoso.com Основной SMTP: user1@contoso.com
Дополнительный SMTP: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com Основной SMTP: user1@contoso.com
Дополнительный SMTP: user1@contoso.onmicrosoft.com

Запись microsoft Online Email Routing Address (MOERA), связанная с доменом по умолчанию (например user1@contoso.onmicrosoft.com, ) — это интерпретируемое значение, основанное на псевдониме учетной записи пользователя. Этот специализированный адрес электронной почты неразрывно связан с каждым получателем Exchange Online. Вы не можете управлять, удалять или создавать дополнительные MOERA-адреса для любого получателя. Однако MOERA-адрес может быть переназначен в качестве основного SMTP-адреса с помощью атрибутов в объекте пользователя локальная служба Active Directory.

Примечание.

Наличие данных в атрибуте proxyAddresses полностью маскирует данные в атрибуте почты для заполнения адресов электронной почты Exchange Online.

Примечание.

Наличие данных в атрибуте proxyAddresses, атрибуте почты или обоих атрибутах полностью маскирует данные UserPrincipalName для заполнения адресов электронной почты Exchange Online. Имя участника-участника можно использовать для управления адресами электронной почты. Однако администратор может решить управлять адресом электронной почты и имени участника-пользователя отдельно, заполняя проксиAddresses или атрибутами почты.

Настоятельно рекомендуется использовать один из этих атрибутов для последовательного управления адресами электронной почты Exchange Online для синхронизированных пользователей.

Дополнительная информация

Для команд Windows PowerShell, упомянутых в этой статье, требуется модуль Azure Active Directory для Windows PowerShell. Дополнительные сведения о модуле Azure Active Directory для Windows PowerShell см. в следующей статье:
Управление идентификатором Microsoft Entra с помощью Windows PowerShell.

Дополнительные сведения о фильтрации синхронизации каталогов по атрибутам см. в следующей статье вики-сайта Microsoft TechNet:
Список атрибутов, синхронизированных с помощью средства синхронизации Azure Active Directory

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.