Atributy pro Exchange Online se nezapisují zpátky do místní adresářové služby AD.

Problém

Když nastavíte Exchange Federation pro scénář hybridního nasazení, když se pokusíte pomocí synchronizačního nástroje Microsoft Azure Active Directory synchronizovat Azure Active Directory (Azure AD) se službou Active Directory, může dojít k následujícím problémům:

  • Změny provedené v objektech prostřednictvím centra pro správu Exchange nebo PowerShellu online Exchange se nesynchronizují s místní instalací služby Active Directory.
  • Funkce serveru Exchange, které jsou očekávané pro práci v cloudu a místním, nefungují očekávaným způsobem.
  • Online kalendáře se nedají zobrazit nebo sdílet s místními uživateli nebo uživateli Exchange Online.
  • Nezískáváte nejaktuálnější informace o volném čase mezi místním a cloudovým uživatelem.
  • V serveru Microsoft Identity Integration Server (MIIS) se zobrazuje 8344 chyba, která říká "nedostatečná přístupová práva k provedení operace."

K těmto příznakům může dojít, pokud nejsou povolené sdílené funkce Exchange a pro atributy služby Active Directory jsou použité nesprávné oprávnění.

Řešení

Pro vyřešení tohoto problému postupujte takto.

Krok 1: spuštění Průvodce konfigurací nástroje Azure Active Directory

Ujistěte se, že máte nainstalovanou nejnovější verzi nástroje pro synchronizaci adresářů a spustíte Průvodce konfigurací nástroje Azure Active Directory Sync. Po spuštění Průvodce se zobrazí výzva, abyste umožnili bohatou koexistenci. Dokončete průvodce a spusťte synchronizaci adresáře.

Můžete také spustit Enable-MSOnlineRichCoexistence rutinu po instalaci nástroje pro synchronizaci adresářů a povolit funkci zpětného zápisu. Tato rutina musí být spuštěna pomocí přihlašovacích údajů rozlehlé sítě nebo musí být spuštěna správcem rozlehlé sítě.

Krok 2: potvrzení MSOL_AD_Sync_RichCoexistence oprávnění

Pokud se tím problém nevyřeší, zkontrolujte, jestli MSOL_AD_Sync uživatel patří do skupiny MSOL_AD_Sync_RichCoexistence a jestli má tato skupina oprávnění Povolit uživateli, u kterého se vyskytl problém, když se zpětný zápis nefunguje u těchto atributů:

  • msExchSafeSendersHash
  • msExchBlockedSendersHash
  • msExchSafeRecipientHash
  • msExchArchiveStatus
  • msExchUCVoiceMailSettings
  • ProxyAddresses

Postupujte takto:

  1. Ve službě Active Directory se ujistěte, že existuje skupina MSOL_AD_Sync_RichCoexistence a že je MSOL_AD_Sync uživatele členem skupiny.

  2. V místním prostředí můžete pomocí modulu Uživatelé a počítače služby Active Directory otevřít uživatelské vlastnosti pro uživatele, který má problém.

  3. Na kartě zabezpečení klikněte na Upřesnit.

    Poznámka

    K dokončení kroku 3 musíte povolit rozšířené funkce.

  4. Zkontrolujte, že je uvedená skupina MSOL_AD_Sync_RichCoexistence. Pokud není uvedený v seznamu, přidejte skupinu a ujistěte se, že je skupině povolená možnost povolit oprávnění zapisovat do atributů uvedených výše.

Poznámka

Pokud objekt nedědí oprávnění od nadřazeného objektu, může být vyžadován krok 2. Tento problém můžete vyřešit tak, že zajistěte, aby objekt zdědil oprávnění od nadřazeného objektu.

Další informace

Pro spuštění Enable-MSOnlineRichCoexistence rutiny postupujte takto:

  1. Otevřete Windows PowerShell, zadejte Import-Module DirSync a stiskněte ENTER.

  2. Zadejte následující rutinu a stiskněte klávesu ENTER:

    Enable-MSOnlineRichCoexistence
    
  3. Až budete vyzváni k zadání přihlašovacích údajů, zadejte svoje přihlašovací údaje správce podniku.

Při spuštění Enable-MSOnlineRichCoexistence rutiny provede rutina následující akce:

  • Zkontroluje, jestli je synchronizace adresářů běží. Pokud je synchronizace adresářů běží, zobrazí se následující upozornění:

    Synchronizace adresáře MSO se synchronizuje, zkuste to znovu později.

  • Nastaví oprávnění k zápisu u všech atributů účtu MSOL_AD_SYNC, které jsou v prostředí místní synchronizace vytvořené.

  • Načte konfiguraci zdroje MA a Metaverse pro vybranou možnost zpětného zápisu. K tomu Set-MSOnlineWriteBack rutina spustí Import-MIISServerConfig [-file path] rutinu, kde cesta k souboru představuje umístění souborů konfigurace MA a Metaverse, které jsou součástí instalace synchronizace adresářů.

  • Nastaví přihlašovací údaje služby AD MA, protože rutina nainstalovala "New" Source MA pomocí následující rutiny:

    Set-MIISADMAconfiguration [-forest] [-login] [-password] [-MA Name]
    
  • Nastaví cílové přihlašovací údaje MA pomocí následující rutiny:

    Set-MIISExtMAConfiguration [-MOAC login] [-MOAC password] [-connection URL] [-MA Name]
    
  • Nastaví FullSyncNeeded hodnotu registru, která označuje úplnou synchronizaci.

  • Volání Start-OnlineCoexistenceSync ke spuštění synchronizace adresáře pomocí nových konfigurací První synchronizace je úplná synchronizace.

Odkazy

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.