Duplicitní nebo neplatné atributy zabraňují synchronizaci adresářů v Office 365

Poznámka

Office 365 ProPlus se přejmenuje na Microsoft 365 Apps for enterprise. Pro další informace o této změně si přečtěte tento blog.

Příznaky

V Microsoft Office 365 při dokončení synchronizace adresáře Správce obdrží upozornění na následující e-mailovou zprávu:

From: [MSOnlineServicesTeam@MicrosoftOnline.com](mailto:msonlineservicesteam@microsoftonline.com)Subject: Directory Synchronization Error Report

Zpráva o chybě v e-mailové zprávě smí obsahovat jednu nebo několik následujících chybových zpráv:

  • Synchronizovaný objekt se stejnou proxy adresou už v adresáři služeb Microsoft Online Services existuje.
  • Tento objekt nelze aktualizovat, protože nebylo nalezeno ID uživatele.
  • Tento objekt nejde aktualizovat v online službách Microsoftu, protože následující atributy přidružené k tomuto objektu mají hodnoty, které už můžou být přidružené k jinému objektu v místním adresáři.
  • Tento objekt nejde aktualizovat, protože následující atributy přidružené k tomuto objektu mají hodnoty, které už můžou být přidružené k jinému objektu v místních adresářových službách: [UserPrincipalName john @ contoso.com;]. Opravte nebo odeberte duplicitní hodnoty v místním adresáři.
  • Tento objekt nejde aktualizovat, protože následující atributy přidružené k tomuto objektu mají hodnoty, které už můžou být přidružené k jinému objektu v místních adresářových službách: [ProxyAddresses SMTP:john @ contoso.com]. Opravte nebo odeberte duplicitní hodnoty v místním adresáři.

Pokud používáte službu synchronizace služby Azure Active Directory (Connect), je navíc do prohlížeče událostí přihlášení aplikace protokolována instance ID události 6941, která obsahuje jednu z následujících chybových zpráv:

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error. 

Error Name: AttributeValueMustBeUnique
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [UserPrincipalName john@contoso.com;]. Correct or remove the duplicate values in your local directory. Please refer to https://support.microsoft.com/kb/2647098 for more information on identifying objects with duplicate attribute values.
Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error.

Error Name: InvalidSoftMatch
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [ProxyAddresses SMTP:john@contoso.com;]. Correct or remove the duplicate values in your local directory.

Příčina

K tomuto problému může dojít, pokud objekty uživatelů v místním schématu služby AD DS (Active Directory Domain Services) obsahují duplicitní nebo neplatné hodnoty aliasu a pokud tyto objekty uživatelů nejsou synchronizované ze schématu služby AD DS v Office 365 správně během synchronizace adresářů.

Všechny hodnoty aliasů v Office 365 musí být pro danou organizaci jedinečné. I v případě, že máte více jedinečných přípon za znakem @ (Simple Mail Transfer Protocol), musí být všechny hodnoty aliasu jedinečné.

V místním prostředí můžete mít hodnoty aliasů stejné, jako by byly jedinečné podle přípony za znakem @ (@) v adrese SMTP.

Pokud vytvoříte objekty, které mají duplicitní hodnoty aliasu v cloudu pro Office 365, aby byly aliasy jedinečné, bude k němu přidán jedinečný počet. (Pokud je třeba duplicitní hodnoty aliasu "Albert", bude jedna z nich automaticky "Albert2". Pokud už se používá "Albert2", stane se alias "Albert3" a tak dál.) Pokud jsou ale objekty, které mají duplicitní hodnoty aliasu, vytvořeny v místní službě AD DS, dojde při spuštění synchronizace adresáře ke kolizi objektů a synchronizace objektu se nezdaří.

Řešení

Tento problém vyřešíte určením duplicitních hodnot a hodnot, které kolidují s jinými objekty služby AD DS. K tomu použijte některou z následujících metod:

Metoda 1: použití nástroje pro řešení potíží s opravou chyb v nástroji Microsoft Azure Active Directory

K identifikaci duplicitních nebo neplatných atributů použijte nástroj IdFix Microsoft Azure Active Directory synchronizace. Pokud chcete vyřešit duplicitní atributy pomocí nástroje IdFix, podívejte se na následující článek znalostní báze Microsoft Knowledge Base:

2857385 "duplicitní" se zobrazí ve sloupci Error pro dva nebo více objektů po spuštění nástroje IdFix

Metoda 2: namapujte existujícího místního uživatele k Azure AD

Postup najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

2641663 jak používat přiřazování SMTP pro párování místních uživatelských účtů s uživatelskými účty Office 365 pro synchronizaci adresářů

Metoda 3: určení konfliktů atributů, které jsou způsobeny objekty, které nebyly vytvořeny v Azure AD prostřednictvím synchronizace adresářů

Pokud chcete určit konflikty atributů, které jsou způsobené objekty uživatele vytvořenými pomocí nástrojů pro správu Office 365 (a které se nevytvořily v Azure AD pomocí synchronizace adresářů), postupujte takto:

  1. Určete jedinečné atributy uživatelského účtu služby AD DS. V počítači, ve kterém jsou nainstalované nástroje podpory systému Windows, postupujte takto:

    1. Klikněte na tlačítko Start, na příkaz spustit, zadejte ldp.exe a klikněte na tlačítko OK.

    2. Klikněte na připojení, klikněte na připojit, zadejte název počítače řadiče domény služby AD DS a klikněte na OK.

    3. Klikněte na připojení, klikněte na svázata potom klikněte na OK.

    4. Klikněte na zobrazení, klikněte na stromové zobrazení, v rozevíracím seznamu BASEDNvyberte doménu služby AD DS a klikněte na OK.

    5. V navigačním podokně najděte a poklikejte na objekt, který se nesynchronizuje správně. V podokně podrobností na pravé straně okna jsou uvedeny všechny atributy objektů. Následující příklad ukazuje atributy objektu:

      Příklad atributů objektu

    6. Zaznamenejte hodnoty atributu userPrincipalName a každou adresu SMTP v atributu vícehodnotového proxyAddresses. Tyto hodnoty budete potřebovat později.

      Název atributu Příklad Poznámky
      proxyAddresses proxyAddresses (3): x500:/o = Exchange/ou = skupina pro správu Exchange (název_skupiny)/cn = Recipients/cn = GUID; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com; Číslo zobrazené v závorkách vedle popisku atributu označuje počet hodnot adresy proxy serveru v atributu s více hodnotami. Každá hodnota adresy proxy je označena středníkem (;). Hodnota primárního proxy adresy SMTP je označená velkými písmeny "SMTP:"
      Třídy 7628376@contoso.com

      Poznámka

      Ldp.exe je součástí systémů Windows Server 2008 a Windows Server 2003 Support Tools. Nástroje podpory systému Windows Server 2003 jsou součástí instalačního média Windows Server 2003. Pokud chcete nástroj získat, přejděte na následující web společnosti Microsoft: aktualizace Service Pack pro systém Windows 2003 pro 2 32 – nástroje podpory

  2. Připojte se k Office 365 pomocí modulu Azure Active Directory pro Windows PowerShell. Postupujte takto:

    1. Klikněte na Start, klikněte na všechny programy, klikněte na Azure Active Directorya potom klikněte na modul Azure Active Directory pro Windows PowerShell.

    2. Do pořadí, ve kterém jsou prezentována, zadejte následující příkazy a za každým příkazem stiskněte ENTER:

      $cred = get-credential
      

      Poznámka

      Po zobrazení výzvy zadejte přihlašovací údaje správce Office 365.

      Connect-MSOLService –credential $cred
      

      Nechte okno konzoly otevřené. Budete ji muset použít v dalším kroku.

  3. Zkontrolujte duplicitní atributy userPrincipalName v Office 365.

    V připojení konzoly, které jste otevřeli v kroku 2, zadejte následující příkazy v pořadí, ve kterém jsou prezentovány, a za každým příkazem stiskněte ENTER:

    $userUPN = "<search UPN>"
    

    Poznámka

    Zástupný symbol "Search UPN" "v tomto příkazu" představuje atribut UserPrincipalName, který jste nahráli v kroku 1f.

    get-MSOLUser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
    

    Nechte okno konzoly otevřené. Použijete ho v dalším kroku.

  4. Zkontrolujte duplicitní proxyAddressesattributes. V připojení konzoly, které jste otevřeli v kroku 2, zadejte následující příkazy v pořadí, ve kterém jsou prezentovány, a za každým příkazem stiskněte ENTER:

    $SessionExO = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $Cred -Authentication Basic -AllowRedirection
    
    Import-PSSession $sessionExO -prefix:Cloud
    
  5. Do každé položky adresy proxy, kterou jste nahráli v kroku 1F, zadejte následující příkazy v uvedeném pořadí a po každém příkazu stiskněte ENTER:

    $proxyAddress = "<search proxyAddress>"
    

    Poznámka

    Zástupný symbol "Search proxyAddress" v tomto příkazu představuje hodnotu atributu proxyAddresses, který jste nahráli v kroku 1f.

    Get-Cloudmailbox | Where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MsolUser -ObjectID $_.ExternalDirectoryObjectId | Where {($_.LastDirSyncTime -eq $null)}}
    

Položky, které jsou vráceny po spuštění příkazů v kroku 3 a 4, představují objekty uživatele, které nebyly vytvořeny prostřednictvím synchronizace adresářů, a které mají atributy, které kolidují s objektem, který se nesynchronizuje správně.

Po určení konfliktních nebo neplatných hodnot atributů můžete problém vyřešit pomocí kroků v následujícím článku znalostní báze Microsoft Knowledge Base:

2643629 při použití nástroje Azure Active Directory Sync se nesynchronizují některé objekty.

Další informace

Příkazy Windows PowerShell v tomto článku vyžadují modul Azure Active Directory pro Windows PowerShell. Další informace o modulu Azure Active Directory pro Windows PowerShell naleznete na následujícím webu společnosti Microsoft:

Rutiny služby Azure Active Directory

Stále potřebujete pomoc? Přejděte na web Microsoft Community.