Risoluzione degli problemi durante la sincronizzazioneTroubleshooting Errors during synchronization

Gli errori potrebbero verificarsi durante la sincronizzazione dei dati dell'identità da Windows Server Active Directory (AD DS) ad Azure Active Directory (Azure AD).Errors could occur when identity data is synchronized from Windows Server Active Directory (AD DS) to Azure Active Directory (Azure AD). L'articolo offre una panoramica delle diverse tipologie di errori di sincronizzazione, di alcuni scenari possibili che causano tali errori e delle possibili soluzioni per correggere questi errori.This article provides an overview of different types of sync errors, some of the possible scenarios that cause those errors and potential ways to fix the errors. In questo articolo vengono descritti soltanto gli errori più comuni.This article includes the common error types and may not cover all the possible errors.

L'articolo presuppone che il lettore abbia sufficiente familiarità con i basilari concetti di progettazione di Azure AD e Azure AD Connect.This article assumes the reader is familiar with the underlying design concepts of Azure AD and Azure AD Connect.

Insieme alla versione più recente di Azure AD Connect ((agosto 2016 o successive)), nel portale di Azure è disponibile un report sugli errori di sincronizzazione a complemento di Azure AD Connect Health per la sincronizzazione.With the latest version of Azure AD Connect (August 2016 or higher), a report of Synchronization Errors is available in the Azure Portal as part of Azure AD Connect Health for sync.

A partire dal 1 settembre 2016 la funzionalità Azure Active Directory Duplicate Attribute Resiliency (Resilienza degli attributi duplicati di Azure Active Directory) verrà abilitata per impostazione predefinita per tutti i nuovi tenant di Azure Active Directory.Starting September 1, 2016 Azure Active Directory Duplicate Attribute Resiliency feature will be enabled by default for all the new Azure Active Directory Tenants. Nei prossimi mesi questa funzionalità verrà abilitata automaticamente per i tenant esistenti.This feature will be automatically enabled for existing tenants in the upcoming months.

Azure AD Connect esegue 3 tipi di operazioni dalle directory che mantiene sincronizzate: importazione, sincronizzazione ed esportazione.Azure AD Connect performs 3 types of operations from the directories it keeps in sync: Import, Synchronization and Export. Gli errori possono verificarsi durante tutte le operazioni.Errors can take place in all the operations. L'articolo si concentra prevalentemente sugli errori che si verificano durante l'esportazione in Azure AD.This article mainly focuses on errors during Export to Azure AD.

Errori durante l'esportazione in Azure ADErrors during Export to Azure AD

La sezione seguente descrive le differenti tipologie di errori di sincronizzazione che possono verificarsi durante l'esportazione in Azure AD usando il connettore di Azure AD,Following section describes different types of synchronization errors that can occur during the export operation to Azure AD using the Azure AD connector. identificabile dal formato del nome: "contoso.onmicrosoft.com".This connector can be identified by the name format being "contoso.onmicrosoft.com". Quando si verificano un errore durante l'esportazione in Azure AD significa che l'operazione di (aggiunta, aggiornamento, eliminazione e così via) tentata dal (motore di sincronizzazione) di Azure AD Connect in Azure Active Directory non è andata a buon fine.Errors during Export to Azure AD indicate that the operation (add, update, delete etc.) attempted by Azure AD Connect (Sync Engine) on Azure Active Directory failed.

Panoramica degli errori di esportazione

Errori di mancata corrispondenza dei datiData Mismatch Errors

InvalidSoftMatchInvalidSoftMatch

DescriptionDescription

  • Quando il (motore di sincronizzazione) di Azure AD Connect invia il comando ad Azure Active Directory di aggiungere o aggiornare gli oggetti, Azure AD associa l'oggetto in ingresso usando l'attributo sourceAnchor all'attributo immutableId degli oggetti presenti in Azure AD.When Azure AD Connect (sync engine) instructs Azure Active Directory to add or update objects, Azure AD matches the incoming object using the sourceAnchor attribute to the immutableId attribute of objects in Azure AD. Tale corrispondenza viene detta corrispondenza rigida.This match is called a Hard Match.
  • Quando Azure AD non trova alcun oggetto che corrisponda all'attributo immutableId con l'attributo sourceAnchor dell'oggetto in ingresso, prima di eseguire il provisioning di un nuovo oggetto, esegue il fallback per usare gli attributi UserPrincipalName e ProxyAddresses per trovare una corrispondenza.When Azure AD does not find any object that matches the immutableId attribute with the sourceAnchor attribute of the incoming object, before provisioning a new object, it falls back to use the ProxyAddresses and UserPrincipalName attributes to find a match. Tale corrispondenza viene detta corrispondenza flessibile.This match is called a Soft Match. La corrispondenza flessibile è pensata per associare gli oggetti già presenti in Azure AD (che sono distribuiti in Azure AD) ai nuovi oggetti aggiunti o aggiornati durante la sincronizzazione che rappresentano la stessa entità (utenti, gruppi) in locale.The Soft Match is designed to match objects already present in Azure AD (that are sourced in Azure AD) with the new objects being added/updated during synchronization that represent the same entity (users, groups) on premises.
  • L'errore InvalidSoftMatch si verifica quando la corrispondenza rigida non trova oggetti corrispondenti E la corrispondenza flessibile trova un oggetto corrispondente, che però ha un differente valore dell'attributo immutableId rispetto all'attributo SourceAnchor dell'oggetto in ingresso, indicando che l'oggetto corrispondente è stato sincronizzato con un altro oggetto dall'Active Directory locale.InvalidSoftMatch error occurs when the hard match does not find any matching object AND soft match finds a matching object but that object has a different value of immutableId than the incoming object's SourceAnchor, suggesting that the matching object was synchronized with another object from on premises Active Directory.

In altre parole, affinché la corrispondenza flessibile funzioni, l'oggetto con cui stabilire una corrispondenza di questo tipo non deve avere alcun valore per l'attributo immutableId.In other words, in order for the soft match to work, the object to be soft-matched with should not have any value for the immutableId. Se la corrispondenza rigida di un qualsiasi oggetto con l'attributo immutableId impostato con un valore non riesce, ma tale oggetto soddisfa i criteri della corrispondenza flessibile, l'operazione restituirà come risultato un errore di sincronizzazione di tipo InvalidSoftMatch.If any object with immutableId set with a value is failing the hard-match but satisfying the soft-match criteria, the operation would result in an InvalidSoftMatch synchronization error.

Schema di Azure Active Directory non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti.Azure Active Directory schema does not allow two or more objects to have the same value of the following attributes. )L'elenco è incompleto.((This is not an exhaustive list.)

  • ProxyAddressesProxyAddresses
  • UserPrincipalNameUserPrincipalName
  • onPremisesSecurityIdentifieronPremisesSecurityIdentifier
  • ObjectIdObjectId

Nota

La funzionalità Resilienza degli attributi duplicati di Azure Active Directory viene anche implementata come comportamento predefinito di Azure Active Directory.Azure AD Attribute Duplicate Attribute Resiliency feature is also being rolled out as the default behavior of Azure Active Directory. Ciò ridurrà il numero degli errori di sincronizzazione rilevati da Azure AD Connect (e da altri client di sincronizzazione), rendendo Azure AD più resiliente nella modalità di gestione degli attributi ProxyAddresses e UserPrincipalName duplicati che sono presenti negli ambienti AD locali.This will reduce the number of synchronization errors seen by Azure AD Connect (as well as other sync clients) by making Azure AD more resilient in the way it handles duplicated ProxyAddresses and UserPrincipalName attributes present in on premises AD environments. Questa funzionalità non risolve gli errori di duplicazione,This feature does not fix the duplication errors. pertanto c'è ancora bisogno di correggere i dati.So the data still needs to be fixed. Tuttavia, questa funzionalità consente il provisioning di nuovi oggetti per i quali, altrimenti, viene bloccato il provisioning a causa dei valori duplicati in Azure AD.But it allows provisioning of new objects which are otherwise blocked from being provisioned due to duplicated values in Azure AD. Ciò riduce anche il numero di errori di sincronizzazione restituito al client di sincronizzazione.This will also reduce the number of synchronization errors returned to the synchronization client. Se questa funzionalità è abilitata per il tenant, non si verificheranno gli errori di sincronizzazione InvalidSoftMatch rilevati durante il provisioning di nuovi oggetti.If this feature is enabled for your Tenant, you will not see the InvalidSoftMatch synchronization errors seen during provisioning of new objects.

Scenari di esempio per InvalidSoftMatchExample Scenarios for InvalidSoftMatch

  1. Nell'Active Directory locale sono presenti due o più oggetti con lo stesso valore dell'attributo ProxyAddresses,Two or more objects with the same value of ProxyAddresses attribute exists in on premises Active Directory. ma il provisioning viene eseguito in Azure AD soltanto per un oggetto.Only one is getting provisioned in Azure AD.
  2. Nell'Active Directory locale sono presenti due o più oggetti con lo stesso valore dell'attributo userPrincipalName,Two or more objects with the same value of userPrincipalName exists in on premises Active Directory. ma il provisioning viene eseguito in Azure AD soltanto per un oggetto.Only one is getting provisioned in Azure AD.
  3. Un oggetto è stato aggiunto all'Active Directory locale con lo stesso valore dell'attributo ProxyAddresses a quello di un oggetto già presente in Azure Active Directory.An object was added in the on premises Active Directory with the same value of ProxyAddresses attribute as that of an existing object in Azure Active Directory. Per l'oggetto aggiunto in locale non viene eseguito il provisioning in Azure Active Directory.The object added on premises is not getting provisioned in Azure Active Directory.
  4. Un oggetto è stato aggiunto all'Active Directory locale con lo stesso valore dell'attributo userPrincipalName a quello di un account presente in Azure Active Directory.An object was added in on premises Active Directory with the same value of userPrincipalName attribute as that of an account in Azure Active Directory. Per l'oggetto non viene eseguito il provisioning in Azure Active Directory.The object is not getting provisioned in Azure Active Directory.
  5. Un account sincronizzato è stato spostato da Foresta A a Foresta B. Azure AD Connect (motore di sincronizzazione) stava usando l'attributo ObjectGUID per calcolare l'attributo SourceAnchor.A synced account was moved from Forest A to Forest B. Azure AD Connect (sync engine) was using ObjectGUID attribute to compute the SourceAnchor. Dopo lo spostamento della foresta, il valore dell'attributo SourceAnchor è differente.After the forest move, the value of the SourceAnchor is different. La sincronizzazione del nuovo oggetto (da Foresta B) con l'oggetto esistente in Azure AD non riesce.The new object (from Forest B) is failing to sync with the existing object in Azure AD.
  6. Un oggetto sincronizzato è stato accidentalmente eliminato dall'Active Directory locale e un nuovo oggetto è stato creato in Active Directory per la stessa entità (ad esempio un utente) senza eliminare l'account in Azure Active Directory.A synced object got accidentally deleted from on premises Active Directory and a new object was created in Active Directory for the same entity (such as user) without deleting the account in Azure Active Directory. La sincronizzazione del nuovo account con l'oggetto di Azure AD esistente non riesce.The new account fails to sync with the existing Azure AD object.
  7. Azure AD Connect è stato disinstallato e reinstallato.Azure AD Connect was uninstalled and re-installed. Durante la reinstallazione, come attributo SourceAnchor è stato scelto un attributo differente.During the re-installation, a different attribute was chosen as the SourceAnchor. La sincronizzazione di tutti gli oggetti già sincronizzati in precedenza è stata interrotta restituendo l'errore InvalidSoftMatch.All the objects that had previously synced stopped syncing with InvalidSoftMatch error.

Caso di esempio:Example case:

  1. Bob Smith è un utente sincronizzato in Azure Active Directory da un'Active Directory locale di contoso.comBob Smith is a synced user in Azure Active Directory from on premises Active Directory of contoso.com
  2. Il parametro UserPrincipalName di Bob Smith viene configurato come bobs@contoso.com.Bob Smith's UserPrincipalName is set as bobs@contoso.com.
  3. "abcdefghijklmnopqrstuv = =" è l'attributo SourceAnchor calcolato da Azure AD Connect usando l'attributo objectGUID di Bob Smith dall'Active Directory locale, che corrisponde all'attributo immutableId di Bob Smith in Azure Active Directory."abcdefghijklmnopqrstuv==" is the SourceAnchor calculated by Azure AD Connect using Bob Smith's objectGUID from on premises Active Directory, which is the immutableId for Bob Smith in Azure Active Directory.
  4. Bob dispone anche dei seguenti valori per l'attributo proxyAddresses:Bob also has following values for the proxyAddresses attribute:
    • smtp:bobs@contoso.com
    • smtp:bob.smith@contoso.com
    • smtp:bob@contoso.com
  5. Un nuovo utente, Bob Taylor, viene aggiunto all'Active Directory locale.A new user, Bob Taylor, is added to the on premises Active Directory.
  6. Il parametro UserPrincipalName di Bob Taylor viene configurato come bobt@contoso.com.Bob Taylor's UserPrincipalName is set as bobt@contoso.com.
  7. "abcdefghijkl0123456789 = =" " è l'attributo sourceAnchor calcolato da Azure AD Connect usando l'attributo objectGUID di Bob Taylor dall'Active Directory locale."abcdefghijkl0123456789=="" is the sourceAnchor calculated by Azure AD Connect using Bob Taylor's objectGUID from on premises Active Directory. L'oggetto di Bob Taylor NON è stato ancora sincronizzato ad Azure Active Directory.Bob Taylor's object has NOT synced to Azure Active Directory yet.
  8. Bob Taylor dispone dei valori seguenti per l'attributo proxyAddressesBob Taylor has the following values for the proxyAddresses attribute
    • smtp:bobt@contoso.com
    • smtp:bob.taylor@contoso.com
    • smtp:bob@contoso.com
  9. Durante la sincronizzazione, Azure AD Connect riconoscerà l'aggiunta di Bob Taylor nell'Active Directory locale e chiederà ad Azure AD di apportare la stessa modifica.During sync, Azure AD Connect will recognize the addition of Bob Taylor in on premises Active Directory and ask Azure AD to make the same change.
  10. Azure AD eseguirà prima una corrispondenza rigida,Azure AD will first perform hard match. ossia eseguirà la ricerca per vedere se esiste un qualsiasi oggetto con l'attributo immutableId uguale a "abcdefghijkl0123456789==".That is, it will search if there is any object with the immutableId equal to "abcdefghijkl0123456789==". La corrispondenza rigida avrà esito negativo se nessun altro oggetto in Azure AD avrà quell'attributo immutableId.Hard Match will fail as no other object in Azure AD will have that immutableId.
  11. Azure AD tenterà quindi di eseguire la corrispondenza flessibile con Bob Taylor,Azure AD will then attempt to soft-match Bob Taylor. ossia, eseguirà la ricerca per vedere se esiste un qualsiasi oggetto con l'attributo proxyAddresses uguale ai tre valori, compreso smtp:bob@contoso.comThat is, it will search if there is any object with proxyAddresses equal to the three values, including smtp:bob@contoso.com
  12. Azure AD troverà l'oggetto di Bob Smith che corrisponde ai criteri della corrispondenza flessibile.Azure AD will find Bob Smith's object to match the soft-match criteria. Tuttavia, il valore dell'attributo immutableId per questo oggetto è "abcdefghijklmnopqrstuv==",But this object has the value of immutableId = "abcdefghijklmnopqrstuv==". il quale indica che l'oggetto è stato sincronizzato da un altro oggetto presente nell'Active Directory locale.which indicates this object was synced from another object from on premises Active Directory. Di conseguenza, Azure AD non può eseguire la corrispondenza flessibile di questi oggetti e viene restituito l'errore di sincronizzazione InvalidSoftMatch.Thus, Azure AD cannot soft-match these objects and results in an InvalidSoftMatch sync error.

Come correggere l'errore InvalidSoftMatchHow to fix InvalidSoftMatch error

La causa più comune dell'errore InvalidSoftMatch è che due oggetti con attributi SourceAnchor (immutableId) differenti hanno lo stesso valore per gli attributi ProxyAddresses e/o UserPrincipalName, i quali vengono usati durante il processo di corrispondenza flessibile in Azure AD.The most common reason for the InvalidSoftMatch error is two objects with different SourceAnchor (immutableId) have the same value for the ProxyAddresses and/or UserPrincipalName attributes, which are used during the soft-match process on Azure AD. Per risolvere l'errore di corrispondenza flessibileIn order to fix the Invalid Soft Match

  1. Identificare il valore duplicato degli attributi proxyAddresses, userPrincipalName o un altro valore di attributo che ha causato l'errore.Identify the duplicated proxyAddresses, userPrincipalName or other attribute value that's causing the error. Identificare anche i due (o più) oggetti coinvolti nel conflitto.Also identify which two (or more) objects are involved in the conflict. Il report generato da Azure AD Connect Health per la sincronizzazione consente di identificare i due oggetti.The report generated by Azure AD Connect Health for sync can help you identify the two objects.
  2. Identificare l'oggetto che deve continuare ad avere il valore duplicato e quello che deve essere modificato.Identify which object should continue to have the duplicated value and which object should not.
  3. Rimuovere il valore duplicato dall'oggetto che NON deve avere tale valore.Remove the duplicated value from the object that should NOT have that value. Si noti che è necessario apportare la modifica nella directory in cui l'oggetto è originato.Note that you should make the change in the directory where the object is sourced from. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.In some cases, you may need to delete one of the objects in conflict.
  4. Se si apporta la modifica nell'Active Directory locale, consentire ad Azure AD Connect di sincronizzare la modifica.If you made the change in the on premises AD, let Azure AD Connect sync the change.

Si noti che il report sugli errori di sincronizzazione all'interno di Azure AD Connect Health per la sincronizzazione viene aggiornato ogni 30 minuti e include gli errori rilevati durante il tentativo di sincronizzazione più recente.Note that Sync error report within Azure AD Connect Health for sync is updated every 30 minutes and includes the errors from the latest synchronization attempt.

Nota

L'attributo immutableId, per definizione, non deve cambiare nel corso della durata dell'oggetto.ImmutableId, by definition, should not change in the lifetime of the object. Se non si è configurato Azure AD Connect tenendo in considerazione alcuni degli scenari riportati nell'elenco precedente, si potrebbe incorrere in una situazione in cui Azure AD Connect calcola un valore differente dell'attributo SourceAnchor per l'oggetto di Active Directory che rappresenta la stessa entità (stesso gruppo/utente/contatto e così via) che dispone di un oggetto di Azure AD esistente che si desidera continuare a usare.If Azure AD Connect was not configured with some of the scenarios in mind from the above list, you could end up in a situation where Azure AD Connect calculates a different value of the SourceAnchor for the AD object that represents the same entity (same user/group/contact etc) that has an existing Azure AD Object that you wish to continue using.

ObjectTypeMismatchObjectTypeMismatch

DescriptionDescription

Quando Azure AD tenta una corrispondenza flessibile tra due oggetti, è possibile che i due oggetti appartenenti a una "tipologia di oggetto" differente (ad esempio, utente, gruppo, contatto e così via) abbiano gli stessi valori per gli attributi usati per eseguire tale corrispondenza.When Azure AD attempts to soft match two objects, it is possible that two objects of different "object type" (such as User, Group, Contact etc.) have the same values for the attributes used to perform the soft match. Poiché la duplicazione di questi attributi non è consentita in Azure AD, l'operazione può portare alla restituzione di un errore di sincronizzazione "ObjectTypeMismatch".As duplication of these attributes is not permitted in Azure AD, the operation can result in "ObjectTypeMismatch" synchronization error.

Scenari di esempio per l'errore ObjectTypeMismatchExample Scenarios for ObjectTypeMismatch error

  • In Office 365 viene creato un gruppo di protezione abilitato alla posta elettronica.A mail enabled security group is created in Office 365. L'amministratore aggiunge un nuovo utente o contatto all'Active Directory locale (che non è ancora stato sincronizzato con Azure AD) con lo stesso valore per l'attributo ProxyAddresses del gruppo di Office 365.Admin adds a new user or contact in on premises AD (that's not synchronized to Azure AD yet) with the same value for the ProxyAddresses attribute as that of the Office 365 group.

Caso di esempioExample case

  1. L'amministratore crea un nuovo gruppo di sicurezza abilitato alla posta elettronica in Office 365 per il reparto addetto alle imposte e mette a disposizione un indirizzo di posta elettronica come tax@contoso.com. Ciò consente di assegnare l'attributo ProxyAddresses per questo gruppo con il valore di smtp:tax@contoso.comAdmin creates a new mail enabled security group in Office 365 for the Tax department and provides an email address as tax@contoso.com. This assigns the ProxyAddresses attribute for this group with the value of smtp:tax@contoso.com
  2. Un nuovo utente entra in Contoso.com, per il quale viene creato un account locale con l'attributo proxyAddress come smtp:tax@contoso.comA new user joins Contoso.com and an account is created for the user on premises with the proxyAddress as smtp:tax@contoso.com
  3. Quando Azure AD Connect sincronizzerà il nuovo account utente, verrà restituito l'errore "ObjectTypeMismatch".When Azure AD Connect will sync the new user account, it will get the "ObjectTypeMismatch" error.

Come correggere l'errore ObjectTypeMismatchHow to fix ObjectTypeMismatch error

La causa più comune dell'errore ObjectTypeMismatch è che due oggetti di tipo differente (utente, gruppo, contatto e così via) hanno lo stesso valore per l'attributo ProxyAddresses.The most common reason for the ObjectTypeMismatch error is two objects of different type (User, Group, Contact etc.) have the same value for the ProxyAddresses attribute. Per correggere l'errore ObjectTypeMismatch:In order to fix the ObjectTypeMismatch:

  1. Identificare il valore duplicato dell'attributo proxyAddresses (o su un altro attributo) che ha causato l'errore.Identify the duplicated proxyAddresses (or other attribute) value that's causing the error. Identificare anche i due (o più) oggetti coinvolti nel conflitto.Also identify which two (or more) objects are involved in the conflict. Il report generato da Azure AD Connect Health per la sincronizzazione consente di identificare i due oggetti.The report generated by Azure AD Connect Health for sync can help you identify the two objects.
  2. Identificare l'oggetto che deve continuare ad avere il valore duplicato e quello che deve essere modificato.Identify which object should continue to have the duplicated value and which object should not.
  3. Rimuovere il valore duplicato dall'oggetto che NON deve avere tale valore.Remove the duplicated value from the object that should NOT have that value. Si noti che è necessario apportare la modifica nella directory in cui l'oggetto è originato.Note that you should make the change in the directory where the object is sourced from. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.In some cases, you may need to delete one of the objects in conflict.
  4. Se si apporta la modifica nell'Active Directory locale, consentire ad Azure AD Connect di sincronizzare la modifica.If you made the change in the on premises AD, let Azure AD Connect sync the change. Il report sugli errori di sincronizzazione all'interno di Azure AD Connect Health per la sincronizzazione viene aggiornato ogni 30 minuti e include gli errori rilevati durante il tentativo di sincronizzazione più recente.Sync error report within Azure AD Connect Health for sync gets updated every 30 minutes and includes the errors from the latest synchronization attempt.

Attributi duplicatiDuplicate Attributes

AttributeValueMustBeUniqueAttributeValueMustBeUnique

DescriptionDescription

Lo schema di Azure Active Directory non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti,Azure Active Directory schema does not allow two or more objects to have the same value of the following attributes. vale a dire che ogni oggetto in Azure AD è obbligato ad avere un valore univoco di questi attributi a una determinata istanza.That is each object in Azure AD is forced to have a unique value of these attributes at a given instance.

  • ProxyAddressesProxyAddresses
  • UserPrincipalNameUserPrincipalName

Se Azure AD Connect tenta di aggiungere un nuovo oggetto o di aggiornare un oggetto esistente con un valore degli attributi indicati sopra che è già stato assegnato a un altro oggetto in Azure Active Directory, l'operazione restituisce l'errore di sincronizzazione "AttributeValueMustBeUnique".If Azure AD Connect attempts to add a new object or update an existing object with a value for the above attributes that is already assigned to another object in Azure Active Directory, the operation results in the "AttributeValueMustBeUnique" sync error.

Scenari possibili:Possible Scenarios:

  1. Il valore duplicato viene assegnato a un oggetto già sincronizzato, che entra in conflitto con un altro oggetto sincronizzato.Duplicate value is assigned to an already synced object, which conflicts with another synced object.

Caso di esempio:Example case:

  1. Bob Smith è un utente sincronizzato in Azure Active Directory da un'Active Directory locale di contoso.comBob Smith is a synced user in Azure Active Directory from on premises Active Directory of contoso.com
  2. Il parametro UserPrincipalName di Bob Smith in locale è configurato come bobs@contoso.com.Bob Smith's UserPrincipalName on premises is set as bobs@contoso.com.
  3. Bob dispone anche dei seguenti valori per l'attributo proxyAddresses:Bob also has following values for the proxyAddresses attribute:
    • smtp:bobs@contoso.com
    • smtp:bob.smith@contoso.com
    • smtp:bob@contoso.com
  4. Un nuovo utente, Bob Taylor, viene aggiunto all'Active Directory locale.A new user, Bob Taylor, is added to the on premises Active Directory.
  5. Il parametro UserPrincipalName di Bob Taylor viene configurato come bobt@contoso.com.Bob Taylor's UserPrincipalName is set as bobt@contoso.com.
  6. Bob Taylor dispone dei valori seguenti per l'attributo proxyAddresses:Bob Taylor has the following values for the ProxyAddresses attribute i. smtp:bobt@contoso.com ii.smtp:bobt@contoso.com ii. smtp:bob.taylor@contoso.comsmtp:bob.taylor@contoso.com
  7. L'oggetto di Bob Taylor viene sincronizzato correttamente con Azure AD.Bob Taylor's object is synchronized with Azure AD successfully.
  8. L'amministratore ha deciso di aggiornare l'attributo ProxyAddresses di Bob Taylor con il seguente valore: i.Admin decided to update Bob Taylor's ProxyAddresses attribute with the following value: i. smtp:bob@contoso.com
  9. Azure AD tenterà di aggiornare l'oggetto di Bob Taylor in Azure AD con il valore indicato sopra, ma tale operazione avrà esito negativo poiché il valore di ProxyAddresses è già stato assegnato a Bob Smith; di conseguenza verrà restituito l'errore "AttributeValueMustBeUnique".Azure AD will attempt to update Bob Taylor's object in Azure AD with the above value, but that operation will fail as that ProxyAddresses value is already assigned to Bob Smith, resulting in "AttributeValueMustBeUnique" error.

Come correggere l'errore AttributeValueMustBeUniqueHow to fix AttributeValueMustBeUnique error

La causa più comune dell'errore AttributeValueMustBeUnique è che due oggetti con attributi SourceAnchor (immutableId) differenti hanno lo stesso valore per gli attributi ProxyAddresses e/o UserPrincipalName.The most common reason for the AttributeValueMustBeUnique error is two objects with different SourceAnchor (immutableId) have the same value for the ProxyAddresses and/or UserPrincipalName attributes. Per correggere l'errore AttributeValueMustBeUniqueIn order to fix AttributeValueMustBeUnique error

  1. Identificare il valore duplicato degli attributi proxyAddresses, userPrincipalName o un altro valore di attributo che ha causato l'errore.Identify the duplicated proxyAddresses, userPrincipalName or other attribute value that's causing the error. Identificare anche i due (o più) oggetti coinvolti nel conflitto.Also identify which two (or more) objects are involved in the conflict. Il report generato da Azure AD Connect Health per la sincronizzazione consente di identificare i due oggetti.The report generated by Azure AD Connect Health for sync can help you identify the two objects.
  2. Identificare l'oggetto che deve continuare ad avere il valore duplicato e quello che deve essere modificato.Identify which object should continue to have the duplicated value and which object should not.
  3. Rimuovere il valore duplicato dall'oggetto che NON deve avere tale valore.Remove the duplicated value from the object that should NOT have that value. Si noti che è necessario apportare la modifica nella directory in cui l'oggetto è originato.Note that you should make the change in the directory where the object is sourced from. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.In some cases, you may need to delete one of the objects in conflict.
  4. Se si apporta la modifica nell'Active Directory locale, consentire ad Azure AD Connect di sincronizzare la modifica per correggere l'errore.If you made the change in the on premises AD, let Azure AD Connect sync the change for the error to get fixed.

-Gli attributi duplicati o non validi impediscono la sincronizzazione delle directory in Office 365-Duplicate or invalid attributes prevent directory synchronization in Office 365

Errori di convalida dei datiData Validation Failures

IdentityDataValidationFailedIdentityDataValidationFailed

DescriptionDescription

Azure Active Directory applica varie restrizioni sui dati prima di consentire la scrittura dei dati nella directoryAzure Active Directory enforces various restrictions on the data itself before allowing that data to be written into the directory. al fine di garantire agli utenti finali di beneficiare delle migliori esperienze mentre usano le applicazioni che dipendono da questi dati.This is to ensure that end users get the best possible experiences while using the applications that depend on this data.

ScenariScenarios

a.a. Il valore dell'attributo UserPrincipalName contiene caratteri non validi o non supportati.The UserPrincipalName attribute value has invalid/unsupported characters. b.b. L'attributo UserPrincipalName non è conforme al formato richiesto.The UserPrincipalName attribute does not follow the required format.

Come correggere l'errore IdentityDataValidationFailedHow to fix IdentityDataValidationFailed error

a.a. Assicurarsi che l'attributo userPrincipalName contenga caratteri supportati e rispetti il formato richiesto.Ensure that the userPrincipalName attribute has supported characters and required format.

FederatedDomainChangeErrorFederatedDomainChangeError

DescrizioneDescription

Questo è un caso specifico che restituisce un errore di sincronizzazione "FederatedDomainChangeError" quando il suffisso dell'attributo UserPrincipalName di un utente viene modificato da un dominio federato a un altro dominio federato.This is a specific case that results in a "FederatedDomainChangeError" sync error when the suffix of a user's UserPrincipalName is changed from one federated domain to another federated domain.

ScenariScenarios

Per un utente sincronizzato, il suffisso dell'attributo UserPrincipalName è stato modificato da un dominio federato a un altro dominio federato locale.For a synchronized user, the UserPrincipalName suffix was changed from one federated domain to another federated domain on premises. Ad esempio, UserPrincipalName = bob@contoso.com è stato modificato in UserPrincipalName = bob@fabrikam.com.For example, UserPrincipalName = bob@contoso.com was changed to UserPrincipalName = bob@fabrikam.com.

EsempioExample

  1. Bob Smith, un account di Contoso.com, viene aggiunto come nuovo utente in Active Directory con l'attributo UserPrincipalName bob@contoso.comBob Smith, an account for Contoso.com, gets added as a new user in Active Directory with the UserPrincipalName bob@contoso.com
  2. Bob passa a un'altra divisione di Contoso.com denominata Fabrikam.com e il suo attributo UserPrincipalName diventa bob@fabrikam.comBob moves to a different division of Contoso.com called Fabrikam.com and his UserPrincipalName is changed to bob@fabrikam.com
  3. Entrambi i domini di contoso.com e fabrikam.com sono domini federati con Azure Active Directory.Both contoso.com and fabrikam.com domains are federated domains with Azure Active Directory.
  4. L'attributo userPrincipalName di Bob non viene aggiornato e si verifica l'errore di sincronizzazione "FederatedDomainChangeError".Bob's userPrincipalName does not get updated and results in a "FederatedDomainChangeError" sync error.

Modalità di correzioneHow to fix

Se il suffisso dell'attributo UserPrincipalName dell'utente è stato aggiornato da bob@contoso.com a bob@fabrikam.com, dove entrambi i domini contoso.com e fabrikam.com sono domini federati, seguire questa procedura per correggere l'errore di sincronizzazione.If a user's UserPrincipalName suffix was updated from bob@contoso.com to bob@fabrikam.com, where both contoso.com and fabrikam.com are federated domains, then follow these steps to fix the sync error

  1. Aggiornare l'attributo UserPrincipalName dell'utente in Azure AD da bob@contoso.com a bob@contoso.onmicrosoft.com. È possibile utilizzare il comando PowerShell seguente con il modulo di Azure AD PowerShell: Set-MsolUserPrincipalName -UserPrincipalName bob@contoso.com -NewUserPrincipalName bob@contoso.onmicrosoft.comUpdate the user's UserPrincipalName in Azure AD from bob@contoso.com to bob@contoso.onmicrosoft.com. You can use the following PowerShell command with the Azure AD PowerShell Module: Set-MsolUserPrincipalName -UserPrincipalName bob@contoso.com -NewUserPrincipalName bob@contoso.onmicrosoft.com
  2. Consentire al ciclo di sincronizzazione successivo di eseguire un nuovo tentativo di sincronizzazione.Allow the next sync cycle to attempt synchronization. Questa volta la sincronizzazione andrà a buon fine e permetterà di aggiornare l'attributo UserPrincipalName di Bob su bob@fabrikam.com, come previsto.This time synchronization will be successful and it will update the UserPrincipalName of Bob to bob@fabrikam.com as expected.

LargeObjectLargeObject

DescrizioneDescription

Quando un attributo supera il limite di dimensioni consentite, di lunghezza o di conteggio impostati dallo schema di Azure Active Directory, la sincronizzazione restituisce come risultato un errore di sincronizzazione di tipo LargeObject o ExceededAllowedLength.When an attribute exceeds the allowed size limit, length limit or count limit set by Azure Active Directory schema, the synchronization operation results in the LargeObject or ExceededAllowedLength sync error. In genere questo errore si verifica per gli attributi seguenti:Typically this error occurs for the following attributes

  • userCertificateuserCertificate
  • userSMIMECertificateuserSMIMECertificate
  • thumbnailPhotothumbnailPhoto
  • proxyAddressesproxyAddresses

Scenari possibiliPossible Scenarios

  1. L'attributo userCertificate di Bob contiene troppi certificati assegnati a Bob,Bob's userCertificate attribute is storing too many certificates assigned to Bob. tra i quali possono esserci certificati scaduti o meno recenti.These may include older, expired certificates. Il limite rigido consente 15 certificati.The hard limit is 15 certificates. Per altre informazioni su come gestire gli errori di LargeObject con attributo userCertificate, vedere l'articolo Handling LargeObject errors caused by userCertificate attribute (Gestione degli errori di LargeObject causati dall'attributo userCertificate).For more information on how to handle LargeObject errors with userCertificate attribute, please refer to article Handling LargeObject errors caused by userCertificate attribute.
  2. L'attributo userSMIMECertificate di Bob contiene troppi certificati assegnati a Bob,Bob's userSMIMECertificate attribute is storing too many certificates assigned to Bob. tra i quali possono esserci certificati scaduti o meno recenti.These may include older, expired certificates. Il limite rigido consente 15 certificati.The hard limit is 15 certificates.
  3. L'attributo thumbnailPhoto di Bob impostato in Active Directory è troppo grande per essere sincronizzato in Azure AD.Bob's thumbnailPhoto set in Active Directory is too large to be synced in Azure AD.
  4. Durante il popolamento automatico dell'attributo ProxyAddresses in Active Directory a un oggetto sono stati assegnati troppi elementi ProxyAddresses.During automatic population of the ProxyAddresses attribute in Active Directory, an object has too many ProxyAddresses assigned.

Modalità di correzioneHow to fix

  1. Verificare che l'attributo che ha causato l'errore non superi il limite consentito.Ensure that the attribute causing the error is within the allowed limitation.