Exchange Onlinen määritteitä ei kirjoiteta takaisin paikalliseen AD-hakemistopalveluun

Ongelma

Kun olet määrittänyt Exchange-yhdistämisen yhdistelmäkäyttöönottoskenaariota varten ja yrität synkronoida Azure Active Directoryn (Azure AD) paikallisen Active Directoryn kanssa Microsoft Azure Active Directory -synkronointityökalun avulla, saattaa ilmetä seuraavia ongelmia:

  • Objekteihin Exchange-hallintakeskuksen tai Exchange Online PowerShellin kautta tehtyjä muutoksia ei synkronoida paikalliseen Active Directory -asennukseen.
  • Exchange Serverin ominaisuudet, joiden odotetaan toimivan yhdessä pilvipalvelua ja paikallisia, eivät toimi odotetulla tavalla.
  • Et voi tarkastella tai jakaa online-kalentereita paikallisten käyttäjien tai Exchange Online -käyttäjien kanssa.
  • Et saa ajankohtaisimpia vapaita ja varattuja tietoja paikallisten ja pilvipalvelujen käyttäjien välillä.
  • Microsoft Identity Integration Serverissä (MIIS) ilmenee virhe 8344, jossa lukee "Toiminnon suorittamiseen ei ole riittäviä käyttöoikeuksia".

Näitä oireita saattaa ilmetä, jos jaetut Exchange-ominaisuudet eivät ole käytössä ja jos Active Directory -määritteisiin käytetään virheellisiä käyttöoikeuksia.

Ratkaisu

Voit ratkaista ongelman tekemällä seuraavat toimet:

Vaihe 1: Suorita Azure Active Directory -synkronointityökalun ohjattu määritystoiminto

Varmista, että Hakemistosynkronointityökalun uusin versio on asennettu ja että suoritat ohjatun Azure Active Directory -synkronointityökalun määritystoiminnon. Kun suoritat ohjatun toiminnon, yksi näyttö kehottaa sallimaan monipuolisen rinnakkaiselon. Suorita ohjattu toiminto loppuun ja käynnistä sitten hakemistosynkronointi.

Vaihtoehtoisesti voit ottaa takaisinkirjoitustoiminnon käyttöön suorittamalla Enable-MSOnlineRichCoexistence-cmdlet-nännin Hakemistosynkronointityökalun asentamisen jälkeen. Tämä cmdlet-komento on suoritettava yrityksen tunnistetiedoilla, tai yrityksen järjestelmänvalvojan on suoritettava se.

Vaihe 2: Vahvista MSOL_AD_Sync_RichCoexistence käyttöoikeudet

Jos vaihe 1 ei ratkaise ongelmaa, tarkista, että MSOL_AD_Sync käyttäjä kuuluu MSOL_AD_Sync_RichCoexistence ryhmään ja että ryhmällä on sallitut käyttöoikeudet käyttäjälle, jolla ongelma ilmenee, jos takaisinkirjoitus ei toimi seuraavissa määritteissä:

  • Kävi koulua msExchSafeSendersHash
  • Kävi koulua msExchBlockedSendersHash
  • Kävi koulua msExchSafeRecipientHash
  • Kävi koulua msExchArchiveStatus
  • msExchUCVoiceMailAsetukset
  • ProxyAddresses

Voit tehdä tämän seuraavasti:

  1. Varmista Active Directoryssa, että MSOL_AD_Sync_RichCoexistence ryhmä on olemassa ja että MSOL_AD_Sync käyttäjä on ryhmän jäsen.

  2. Avaa paikallisen ympäristön Active Directoryn käyttäjät ja tietokoneet -toiminnolla sen käyttäjän ominaisuudet, joka on ongelma.

  3. Valitse Suojaus-välilehdessä Lisäasetukset.

    Huomautus

    Vaiheen 3 suorittaminen edellyttää lisäominaisuuksien käyttöönottoa.

  4. Varmista, että MSOL_AD_Sync_RichCoexistence-ryhmä on luettelossa. Jos sitä ei ole luettelossa, lisää ryhmä ja varmista, että ryhmälle on myönnetty käyttöoikeudet kirjoittaa aiemmin lueteltuihin määritteisiin.

Huomautus

Vaihe 2 saattaa olla pakollinen, jos objekti ei peri käyttöoikeuksia pääobjektilta. Tämä ongelma voidaan ratkaista varmistamalla, että objekti perii käyttöoikeudet pääobjektista.

Lisätietoja

Voit suorittaa Enable-MSOnlineRichCoexistence-cmdlet-otoksen seuraavasti:

  1. Avaa Windows PowerShell, kirjoita Import-Module DirSync ja paina sitten Enter-näppäintä.

  2. Kirjoita seuraava cmdlet-komento ja paina sitten Enter-näppäintä:

    Enable-MSOnlineRichCoexistence
    
  3. Kun sinulta kysytään tunnistetietoja, anna yrityksen järjestelmänvalvojan tunnistetiedot.

Kun suoritat Enable-MSOnlineRichCoexistence-cmdlet-otoksen, cmdlet suorittaa seuraavat toimet:

  • Tarkistaa, että hakemistosynkronointi on käynnissä. Jos hakemistosynkronointi on käynnissä, näyttöön tulee seuraava varoitussanoma:

    MSO-hakemistosynkronointi synkronoidaan, yritä myöhemmin uudelleen.

  • Määrittää kirjoitusoikeudet kaikkiin MSOL_AD_SYNC tilin määritteisiin, jotka hakemistosynkronointi on luotu paikallisessa ympäristössä.

  • Lataa valitun takaisinkirjoitusasetuksen lähde-MA- ja metaversumimääritykset. Voit tehdä tämän, Set-MSOnlineWriteBack-cmdlet suorittaa Import-MIISServerConfig [-file path] -cmdlet-määrityksen, jossa tiedostopolku edustaa hakemistosynkronoinnin asennukseen sisältyvien MA- ja metaverse-määritystiedostojen sijaintia.

  • Määrittää AD MA-tunnistetiedot, koska cmdlet-komento on asentanut "uuden" lähdemyöntäjän käyttämällä seuraavaa cmdlet-komentoa:

    Set-MIISADMAconfiguration [-forest] [-login] [-password] [-MA Name]
    
  • Määrittää Target MA -tunnistetiedot käyttämällä seuraavaa cmdlet-komentoa:

    Set-MIISExtMAConfiguration [-MOAC login] [-MOAC password] [-connection URL] [-MA Name]
    
  • Määrittää FullSyncNeeded-rekisteriarvon ilmaisemaan täydellisen synkronoinnin.

  • Kehottaa Start-OnlineCoexistenceSynciä aloittamaan hakemistosynkronoinnin uusien kokoonpanojen avulla. Ensimmäinen synkronointi on täydellinen synkronointi.

Lisätietoja

Tarvitsetko lisää ohjeita? Siirry Microsoft Community tai Azure Active Directory -keskustelupalsta sivuille.