Sdílet prostřednictvím

Duplicitní nebo neplatné atributy brání synchronizaci adresářů v Microsoft 365

  • Článek
  • Platí pro:
    Azure Active Directory, Microsoft 365

Příznaky

V Microsoftu 365 se správci po dokončení synchronizace adresářů zobrazí následující e-mailová zpráva s upozorněním:

From: [MSOnlineServicesTeam@MicrosoftOnline.com](mailto:msonlineservicesteam@microsoftonline.com)Subject: Directory Synchronization Error Report

Zpráva o chybách v e-mailové zprávě může obsahovat jednu nebo více následujících chybových zpráv:

  • V adresáři služeb Microsoft Online Services již existuje synchronizovaný objekt se stejnou adresou proxy serveru.
  • Tento objekt nelze aktualizovat, protože nebylo nalezeno ID uživatele.
  • Nelze aktualizovat tento objekt ve službách Microsoft Online Services, protože následující atributy přidružené k tomuto objektu mají hodnoty, které již mohou být přidruženy k jinému objektu v místním adresáři.
  • Tento objekt nelze aktualizovat, protože následující atributy přidružené k tomuto objektu obsahují hodnoty, které již mohou být přidruženy k jinému objektu v místních adresářových službách: [UserPrincipalName john@contoso.com;]. Opravte nebo odeberte duplicitní hodnoty v místním adresáři.
  • Tento objekt nelze aktualizovat, protože následující atributy přidružené k tomuto objektu mají hodnoty, které již mohou být přidruženy k jinému objektu v místních adresářových službách: [ProxyAddresses SMTP:john@contoso.com;]. Opravte nebo odeberte duplicitní hodnoty v místním adresáři.

Pokud navíc používáte synchronizační službu Microsoft Entra ID (Connect), v prohlížeči událostí přihlášení aplikace se zaprotokoluje instance s ID události 6941, která obsahuje jednu z následujících chybových zpráv:

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error. 

Error Name: AttributeValueMustBeUnique
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [UserPrincipalName john@contoso.com;]. Correct or remove the duplicate values in your local directory. Please refer to https://support.microsoft.com/kb/2647098 for more information on identifying objects with duplicate attribute values.

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error.

Error Name: InvalidSoftMatch
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [ProxyAddresses SMTP:john@contoso.com;]. Correct or remove the duplicate values in your local directory.

Příčina

K tomuto problému může dojít v případě, že objekty uživatelů ve schématu místní služby Active Directory Domain Services (AD DS) mají duplicitní nebo neplatné hodnoty aliasů a tyto objekty uživatelů se během synchronizace adresářů správně nesynchronizují ze schématu služby AD DS do Microsoftu 365.

Všechny hodnoty aliasů v Microsoftu 365 musí být pro danou organizaci jedinečné. I když máte za znakem @v adrese SMTP (Simple Mail Transfer Protocol) více jedinečných přípon, všechny hodnoty aliasů musí být jedinečné.

V místním prostředí můžete mít stejné hodnoty aliasů, pokud jsou jedinečné na základě přípon za znakem @v adrese SMTP.

Pokud vytváříte objekty, které mají v cloudu duplicitní hodnoty aliasů pro Microsoft 365, aby byly aliasy jedinečné, je k jednomu aliasu připojeno jedinečné číslo. (Pokud jsou například duplicitní hodnoty aliasů "Albert", jedna z nich se automaticky změní na "Albert2". Pokud se už používá "Albert2", alias se změní na Albert3 a tak dále.) Pokud se ale v místní službě AD DS vytvoří objekty, které mají duplicitní hodnoty aliasů, dojde při spuštění synchronizace adresářů ke kolizi objektů a synchronizace objektů selže.

Řešení

Pokud chcete tento problém vyřešit, určete duplicitní hodnoty a hodnoty, které jsou v konfliktu s jinými objekty služby AD DS. Chcete-li to provést, použijte jednu z následujících metod.

Metoda 1: Použití nástroje IdFix Microsoft Entra Synchronizace Nástroje pro nápravu chyb

K identifikaci duplicitních nebo neplatných atributů použijte nástroj IdFix Microsoft Entra Synchronization Tool Pro nápravu chyb. Chcete-li vyřešit duplicitní atributy pomocí nástroje IdFix, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

2857385 se po spuštění nástroje IdFix zobrazí ve sloupci CHYBA u dvou nebo více objektů duplicitní.

Metoda 2: Mapování existujícího místního uživatele na uživatele Microsoft Entra

Chcete-li to provést, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

2641663 Použití párování protokolu SMTP k porovnání místních uživatelských účtů s uživatelskými účty Microsoftu 365 pro synchronizaci adresářů

Metoda 3: Určení konfliktů atributů, které jsou způsobeny objekty, které nebyly vytvořeny v Microsoft Entra ID prostřednictvím synchronizace adresářů

Chcete-li zjistit konflikty atributů způsobené objekty uživatelů, které byly vytvořeny pomocí nástrojů pro správu Microsoft 365 (a které nebyly vytvořeny v Id Microsoft Entra prostřednictvím synchronizace adresářů), postupujte takto:

  1. Určete jedinečné atributy místního uživatelského účtu služby AD DS. Chcete-li to provést, na počítači, který má nainstalované nástroje podpory systému Windows, postupujte takto:

    1. Klikněte na Start, klikněte na Spustit, zadejte ldp.exe a klikněte na OK.

    2. Klikněte na Připojení, klikněte na Připojit, zadejte název počítače řadiče domény služby AD DS a klikněte na OK.

    3. Klikněte na Připojení, klikněte na Vytvořit vazbu a potom klikněte na OK.

    4. Klikněte na Zobrazení, klikněte na Stromové zobrazení, v rozevíracím seznamu BaseDN vyberte doménu SLUŽBY AD DS a potom klikněte na OK.

    5. V navigačním podokně vyhledejte a poklikejte na objekt, který se nesynchronizuje správně. Podokno Podrobnosti na pravé straně okna obsahuje seznam všech atributů objektu. Následující příklad ukazuje atributy objektu:

      Snímek obrazovky ukazuje příklad atributů objektu.

    6. Poznamenejte si hodnoty atributu userPrincipalName a každé adresy SMTP v atributu proxyAddresses s více hodnotami. Tyto hodnoty budete potřebovat později.

      Název atributu Příklad Poznámky
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (GroupName)/cn=Recipients/cn=GUID; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com; Číslo zobrazené v závorkách vedle popisku atributu označuje počet hodnot adres proxy serveru v atributu s více hodnotami. Každá jedinečná hodnota adresy proxy serveru je označena středníkem (;)). Hodnota primární adresy proxy serveru SMTP je označená velkými písmeny SMTP:.
      userPrincipalName 7628376@contoso.com

      Poznámka

      Ldp.exe je součástí systému Windows Server 2008 a v nástrojích podpory systému Windows Server 2003. Nástroje podpory systému Windows Server 2003 jsou součástí instalačního média systému Windows Server 2003. Nebo chcete-li získat nástroj, přejděte na následující web společnosti Microsoft: Windows Server 2003 Service Pack 2 32-bit nástroje podpory

  2. Připojte se k Microsoftu 365 pomocí modulu Azure Active Directory pro Windows PowerShell. Uděláte to takto:

    1. Klikněte na Start, klikněte na Všechny programy, klikněte na Microsoft Entra ID a potom klikněte na Modul Azure Active Directory pro Windows PowerShell.

    2. Zadejte následující příkazy v pořadí, v jakém jsou uvedeny, a po každém příkazu stiskněte Klávesu Enter:

      $cred = get-credential

      Poznámka

      Po zobrazení výzvy zadejte přihlašovací údaje správce Microsoftu 365.

      Connect-MSOLService –credential $cred

      Poznámka

      Moduly PowerShellu Azure AD a MSOnline jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci o vyřazení z provozu. Po tomto datu se podpora těchto modulů omezí na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou fungovat až do 30. března 2025.

      Pro interakci s ID Microsoft Entra (dříve Azure AD) doporučujeme migrovat na Microsoft Graph PowerShell . Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Po 30. červnu 2024 může dojít k přerušení verze 1.0.x nástroje MSOnline.

      Nechejte okno konzoly otevřené. Budete ho muset použít v dalším kroku.

  3. Zkontrolujte duplicitní atributy userPrincipalName v Microsoftu 365.

    V připojení konzoly, které jste otevřeli v kroku 2, zadejte následující příkazy v pořadí, v jakém jsou uvedeny, a po každém příkazu stiskněte klávesu Enter:

    $userUPN = "<search UPN>"

    Poznámka

    Zástupný symbol "search UPN" v tomto příkazu představuje atribut UserPrincipalName, který jste si poznamenali v kroku 1f.

    get-msoluser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    Nechejte okno konzoly otevřené. Použijete ho znovu v dalším kroku.

  4. Zkontrolujte duplicitní proxyAddressesattributes. V připojení konzoly, které jste otevřeli v kroku 2, zadejte následující příkazy v pořadí, v jakém jsou uvedeny, a po každém příkazu stiskněte klávesu Enter:

    $UserCredential = Get-Credential
Connect-ExchangeOnline -Credential $UserCredential

  5. Pro každou položku adresy proxy serveru, kterou jste zaznamenali v kroku 1f, zadejte následující příkazy v pořadí, v jakém jsou uvedeny, a za každým příkazem stiskněte Enter:

    $proxyAddress = "<search proxyAddress>"

    Poznámka

    Zástupný symbol "search proxyAddress" v tomto příkazu představuje hodnotu atributu proxyAddresses, kterou jste zaznamenali v kroku 1f.

    Get-EXOMailbox | Where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MsolUser -ObjectID $_.ExternalDirectoryObjectId | Where {($_.LastDirSyncTime -eq $null)}}

Položky, které se vrátí po spuštění příkazů v kroku 3 a 4, představují objekty uživatelů, které nebyly vytvořeny prostřednictvím synchronizace adresářů a které mají atributy, které jsou v konfliktu s objektem, který se nesynchronizuje správně.

Po zjištění konfliktních nebo neplatných hodnot atributů vyřešte problém podle kroků v následujícím článku znalostní báze Microsoft Knowledge Base:

2643629 Při použití synchronizačního nástroje Azure Active Directory Se nesynchronizují jeden nebo více objektů

Další informace

Příkazy Windows PowerShellu v tomto článku vyžadují modul Azure Active Directory pro Windows PowerShell. Další informace o modulu Azure Active Directory pro Windows PowerShell naleznete na následujícím webu společnosti Microsoft:

Rutiny Microsoft Entra

Stále potřebujete pomoc? Přejděte na web Microsoft Community.