Tolerantie voor synchronisatie- en duplicatiekenmerken identificerenIdentity synchronization and duplicate attribute resiliency

Tolerantie van dubbele kenmerk is een functie in Azure Active Directory die wordt veroorzaakt door problemen elimineren UserPrincipalName en ProxyAddress veroorzaakt een conflict bij het uitvoeren van een van de Microsoft hulpprogramma's voor synchronisatie.Duplicate Attribute Resiliency is a feature in Azure Active Directory that will eliminate friction caused by UserPrincipalName and ProxyAddress conflicts when running one of Microsoft’s synchronization tools.

Deze twee kenmerken in het algemeen moeten uniek zijn in alle gebruiker, groep, of Neem contact op met objecten in een bepaalde Azure Active Directory-tenant.These two attributes are generally required to be unique across all User, Group, or Contact objects in a given Azure Active Directory tenant.

Notitie

Alleen gebruikers kunnen de UPN's hebben.Only Users can have UPNs.

Het nieuwe gedrag waarmee deze functie is in de cloud-gedeelte van de synchronisatie-pijplijn, daarom is het client agnostische en relevant zijn voor een Microsoft-synchronisatie product met inbegrip van Azure AD Connect, DirSync en MIM-Connector.The new behavior that this feature enables is in the cloud portion of the sync pipeline, therefore it is client agnostic and relevant for any Microsoft synchronization product including Azure AD Connect, DirSync and MIM + Connector. De algemene term 'synchronisatieclient' wordt gebruikt in dit document om weer te geven van een van deze producten.The generic term “sync client” is used in this document to represent any one of these products.

Gedrag van het huidigeCurrent behavior

Als er een poging voor het inrichten van een nieuw object met een UPN of ProxyAddress-waarde die in strijd is met deze beperking voor uniekheid, blokkeert Azure Active Directory dat object worden gemaakt.If there is an attempt to provision a new object with a UPN or ProxyAddress value that violates this uniqueness constraint, Azure Active Directory blocks that object from being created. Op dezelfde manier als een object wordt bijgewerkt met een niet-unieke UPN of ProxyAddress, mislukt de update.Similarly, if an object is updated with a non-unique UPN or ProxyAddress, the update fails. De inrichting poging of de update wordt opnieuw uitgevoerd door de synchronisatieclient bij elke cyclus exporteren en blijft mislukken, totdat het conflict opgelost is.The provisioning attempt or update is retried by the sync client upon each export cycle, and continues to fail until the conflict is resolved. Een e-mailbericht fout rapport wordt gegenereerd na elke poging en een fout wordt vastgelegd door de synchronisatieclient.An error report email is generated upon each attempt and an error is logged by the sync client.

Probleem met de tolerantie van dubbel kenmerkBehavior with Duplicate Attribute Resiliency

In plaats van volledig mislukken in te richten of bijwerken van een object met een dubbel kenmerk, Azure Active Directory 'in quarantaine plaatst' de dubbel kenmerk die de beperking voor uniekheid schendt.Instead of completely failing to provision or update an object with a duplicate attribute, Azure Active Directory “quarantines” the duplicate attribute which would violate the uniqueness constraint. Als dit kenmerk vereist is voor het inrichten, zoals UserPrincipalName, wordt een tijdelijke aanduiding door de service toegewezen.If this attribute is required for provisioning, like UserPrincipalName, the service assigns a placeholder value. De indeling van deze tijdelijke waarden isThe format of these temporary values is
<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com”.<OriginalPrefix>+<4DigitNumber>@<InitialTenantDomain>.onmicrosoft.com”.
Als het kenmerk niet vereist is, zoals een ProxyAddress, Azure Active Directory gewoon in quarantaine plaatst het conflict-kenmerk en wordt voortgezet met het maken van het object of de update.If the attribute is not required, like a ProxyAddress, Azure Active Directory simply quarantines the conflict attribute and proceeds with the object creation or update.

Bij het kenmerk in quarantaine plaatsen, wordt informatie over het conflict in de dezelfde fout rapport e-mail die wordt gebruikt in het oude gedrag verzonden.Upon quarantining the attribute, information about the conflict is sent in the same error report email used in the old behavior. Deze informatie wordt alleen weergegeven in het foutenrapport één keer als de quarantaine gebeurt, het is niet blijven echter moeten worden vastgelegd in toekomstige e-mailberichten.However, this info only appears in the error report one time, when the quarantine happens, it does not continue to be logged in future emails. Ook, omdat de uitvoer van dit object is geslaagd, de synchronisatieclient Meld u niet een fout en probeert niet opnieuw voor het maken / bijwerken van de bewerking op de volgende synchronisatiecycli.Also, since the export for this object has succeeded, the sync client does not log an error and does not retry the create / update operation upon subsequent sync cycles.

Ter ondersteuning van dit gedrag is een nieuw kenmerk toegevoegd aan de gebruiker, groep en neem contact op met object-klassen:To support this behavior a new attribute has been added to the User, Group, and Contact object classes:
DirSyncProvisioningErrorsDirSyncProvisioningErrors

Dit is een kenmerk met meerdere waarden dat wordt gebruikt voor het opslaan van de conflicterende kenmerken die schendt de beperking voor uniekheid moeten ze worden toegevoegd normaal.This is a multi-valued attribute that is used to store the conflicting attributes that would violate the uniqueness constraint should they be added normally. Een achtergrondtaak van de timer is ingeschakeld in Azure Active Directory, die elk uur naar dubbel kenmerk conflicten die zijn opgelost, en worden de kenmerken in kwestie automatisch verwijderd uit quarantaine wordt uitgevoerd.A background timer task has been enabled in Azure Active Directory that runs every hour to look for duplicate attribute conflicts that have been resolved, and automatically removes the attributes in question from quarantine.

Inschakelen van tolerantie van dubbel kenmerkEnabling Duplicate Attribute Resiliency

Tolerantie van dubbele kenmerk is het standaardgedrag voor alle Azure Active Directory-tenants.Duplicate Attribute Resiliency will be the new default behavior across all Azure Active Directory tenants. Dit is op die standaard voor alle tenants die ingeschakeld synchronisatie voor de eerste keer op 22 augustus 2016 of hoger.It will be on by default for all tenants that enabled synchronization for the first time on August 22nd, 2016 or later. Tenants die ingeschakeld synchroniseren vóór deze datum is de functie is ingeschakeld in batches.Tenants that enabled sync prior to this date will have the feature enabled in batches. Deze implementatie zal beginnen in September 2016 en een e-mailmelding verzonden naar contact op met technische berichtgeving van elke tenant met de specifieke datum wanneer de functie wordt ingeschakeld.This rollout will begin in September 2016, and an email notification will be sent to each tenant's technical notification contact with the specific date when the feature will be enabled.

Notitie

Nadat de tolerantie van dubbel-kenmerk is ingeschakeld kan niet worden uitgeschakeld.Once Duplicate Attribute Resiliency has been turned on it cannot be disabled.

Als u wilt controleren of de functie is ingeschakeld voor uw tenant, kunt u doen door de meest recente versie van de Azure Active Directory PowerShell-module downloaden en uitvoeren:To check if the feature is enabled for your tenant, you can do so by downloading the latest version of the Azure Active Directory PowerShell module and running:

Get-MsolDirSyncFeatures -Feature DuplicateUPNResiliency

Get-MsolDirSyncFeatures -Feature DuplicateProxyAddressResiliency

Notitie

U kunt de cmdlet Set-MsolDirSyncFeature niet meer gebruiken proactief de tolerantie van dubbele kenmerk-functie inschakelen voordat deze is ingeschakeld voor uw tenant.You can no longer use Set-MsolDirSyncFeature cmdlet to proactively enable the Duplicate Attribute Resiliency feature before it is turned on for your tenant. Als u de functie testen, moet u een nieuwe Azure Active Directory-tenant maken.To be able to test the feature, you will need to create a new Azure Active Directory tenant.

Objecten met DirSyncProvisioningErrors identificerenIdentifying Objects with DirSyncProvisioningErrors

Er zijn momenteel twee methoden voor het identificeren van objecten die u deze fouten als gevolg van conflicten tijdens het dubbele eigenschap, Azure Active Directory PowerShell hebt en de Microsoft 365-beheercentrum.There are currently two methods to identify objects that have these errors due to duplicate property conflicts, Azure Active Directory PowerShell and the Microsoft 365 admin center. Er zijn plannen om uit te breiden naar extra portal op basis van rapportage in de toekomst.There are plans to extend to additional portal based reporting in the future.

Azure Active Directory PowerShellAzure Active Directory PowerShell

Het volgende is van de waarde true voor de PowerShell-cmdlets in dit onderwerp:For the PowerShell cmdlets in this topic, the following is true:

  • Alle van de volgende cmdlets zijn hoofdlettergevoelig.All of the following cmdlets are case sensitive.
  • De – ErrorCategory PropertyConflict moet altijd worden opgenomen.The –ErrorCategory PropertyConflict must always be included. Er zijn momenteel geen andere typen ErrorCategory, maar dit kan in de toekomst worden uitgebreid.There are currently no other types of ErrorCategory, but this may be extended in the future.

Eerst aan de slag door te voeren Connect-MsolService en referenties in te voeren voor een tenantbeheerder.First, get started by running Connect-MsolService and entering credentials for a tenant administrator.

Gebruik vervolgens de volgende cmdlets en operators om fouten op verschillende manieren weer te geven:Then, use the following cmdlets and operators to view errors in different ways:

  1. Alles weergevenSee All
  2. Door de eigenschapstypeBy Property Type
  3. Door de conflicterende waardeBy Conflicting Value
  4. Met behulp van een tekenreeks zoekenUsing a String Search
  5. GesorteerdSorted
  6. In een beperkt aantal of alleIn a Limited Quantity or All

Alles bekijkenSee all

Wanneer verbinding is gemaakt, een algemeen overzicht van het kenmerk inrichten uitvoeren fouten in de tenant:Once connected, to see a general list of attribute provisioning errors in the tenant run:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict

Dit resulteert in een resultaat als volgt uit:This produces a result like the following:
Get-MsolDirSyncProvisioningErrorGet-MsolDirSyncProvisioningError

Door de eigenschapstypeBy property type

Toevoegen als fouten wilt bekijken door de eigenschapstype, de - PropertyName markeren met de UserPrincipalName of ProxyAddresses argument:To see errors by property type, add the -PropertyName flag with the UserPrincipalName or ProxyAddresses argument:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName UserPrincipalName

ofOr

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyName ProxyAddresses

Door de conflicterende waardeBy conflicting value

Om te zien van fouten met betrekking tot een bepaalde eigenschap toevoegen de - eigenschapwaarde vlag ( - PropertyName moet ook worden gebruikt bij het toevoegen van deze vlag):To see errors relating to a specific property add the -PropertyValue flag (-PropertyName must be used as well when adding this flag):

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -PropertyValue User@domain.com -PropertyName UserPrincipalName

Een brede reeks search gebruik doen de - SearchString vlag.To do a broad string search use the -SearchString flag. Dit kan worden gebruikt onafhankelijk van alle bovenstaande vlaggen, met uitzondering van - ErrorCategory PropertyConflict, die is vereist:This can be used independently from all of the above flags, with the exception of -ErrorCategory PropertyConflict, which is always required:

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -SearchString User

In een beperkt aantal of alleIn a limited quantity or all

  1. MaxResults <Int > kan worden gebruikt om de query naar een specifiek aantal waarden te beperken.MaxResults <Int> can be used to limit the query to a specific number of values.
  2. Alle kan worden gebruikt om te controleren of alle resultaten worden opgehaald in het geval dat een groot aantal fouten bestaat.All can be used to ensure all results are retrieved in the case that a large number of errors exists.

Get-MsolDirSyncProvisioningError -ErrorCategory PropertyConflict -MaxResults 5

Microsoft 365-beheercentrumMicrosoft 365 admin center

U kunt directory synchronisatiefouten weergeven in het Microsoft 365-beheercentrum.You can view directory synchronization errors in the Microsoft 365 admin center. Het rapport in de Microsoft 365 admin center weergeven gebruiker objecten op waarvoor deze fouten.The report in the Microsoft 365 admin center only displays User objects that have these errors. Het wordt niet weergegeven informatie over conflicten tussen groepen en contactpersonen.It does not show info about conflicts between Groups and Contacts.

Actieve gebruikersActive Users

Zie voor instructies over het weergeven van directory synchronisatie van fouten in het Microsoft 365-beheercentrum directory synchronisatiefouten in Office 365 identificeren.For instructions on how to view directory synchronization errors in the Microsoft 365 admin center, see Identify directory synchronization errors in Office 365.

Rapport over mappensynchronisatie fout identiteitIdentity synchronization error report

Wanneer een object met dubbel kenmerk conflict wordt verwerkt met dit nieuwe gedrag een melding is opgenomen in de standaard Identity synchronisatie foutenrapport e-mail die wordt verzonden naar de technische berichtgeving contact op met de knop voor de tenant.When an object with a duplicate attribute conflict is handled with this new behavior a notification is included in the standard Identity Synchronization Error Report email that is sent to the Technical Notification contact for the tenant. Er is echter een belangrijke wijziging in dit gedrag.However, there is an important change in this behavior. In het verleden, zou informatie over een dubbel kenmerk conflict worden opgenomen in elke volgende foutrapport totdat het conflict is opgelost.In the past, information about a duplicate attribute conflict would be included in every subsequent error report until the conflict was resolved. Met dit nieuwe gedrag, wordt de foutmelding voor een bepaalde conflict alleen weergegeven eenmaal - op het moment dat de Conflicterend kenmerk in quarantaine is geplaatst.With this new behavior, the error notification for a given conflict does only appear once- at the time the conflicting attribute is quarantined.

Hier volgt een voorbeeld van hoe het e-mailmelding voor een conflict ProxyAddress uitziet:Here is an example of what the email notification looks like for a ProxyAddress conflict:
Actieve gebruikersActive Users

Het oplossen van conflictenResolving conflicts

Het oplossen van de strategie en de resolutie tactieken voor deze fouten moet niet verschillen van de manier waarop dubbel kenmerk fouten in het verleden zijn verwerkt.Troubleshooting strategy and resolution tactics for these errors should not differ from the way duplicate attribute errors were handled in the past. Het enige verschil is dat de taak timer vervalmechanisme via de tenant aan de servicezijde automatisch het kenmerk in kwestie aan het juiste object toevoegen nadat het conflict opgelost is.The only difference is that the timer task sweeps through the tenant on the service-side to automatically add the attribute in question to the proper object once the conflict is resolved.

Het volgende artikel geeft een overzicht van de verschillende strategieën gehanteerd oplossen van problemen: Dubbele of ongeldige kenmerken te voorkomen dat de directory-synchronisatie in Office 365.The following article outlines various troubleshooting and resolution strategies: Duplicate or invalid attributes prevent directory synchronization in Office 365.

Bekende problemenKnown issues

Geen van deze bekende problemen zorgt ervoor dat gegevens verloren gaan of de service degradatie.None of these known issues causes data loss or service degradation. Sommige hiervan zijn aesthetic, anderen ertoe leiden dat standaard "vooraf tolerantie" dubbel kenmerk fouten moeten worden gegenereerd in plaats van het conflict-kenmerk en een andere in quarantaine plaatsen zorgt ervoor dat bepaalde fouten vereist extra handmatig bijwerken.Several of them are aesthetic, others cause standard “pre-resiliency” duplicate attribute errors to be thrown instead of quarantining the conflict attribute, and another causes certain errors to require extra manual fix-up.

Core gedrag:Core behavior:

  1. Objecten met een specifiek kenmerk configuraties blijven ontvangen ze foutberichten uitvoer in plaats van de dubbele kenmerken in quarantaine wordt geplaatst.Objects with specific attribute configurations continue to receive export errors as opposed to the duplicate attribute(s) being quarantined.
    Bijvoorbeeld:For example:

    a.a. Nieuwe gebruiker wordt gemaakt in AD met een UPN van Jaap@contoso.com en ProxyAddress smtp:Joe@contoso.comNew user is created in AD with a UPN of Joe@contoso.com and ProxyAddress smtp:Joe@contoso.com

    b.b. De eigenschappen van dit object in strijd zijn met een bestaande groep, waarbij ProxyAddress is SMTP:Joe@contoso.com.The properties of this object conflict with an existing Group, where ProxyAddress is SMTP:Joe@contoso.com.

    c.c. Bij het exporteren, een ProxyAddress conflict fout wordt gegenereerd in plaats van de kenmerken van het conflict in quarantaine geplaatst.Upon export, a ProxyAddress conflict error is thrown instead of having the conflict attributes quarantined. De bewerking wordt opnieuw geprobeerd bij elke volgende synchronisatiecyclus als zijn zou voordat de tolerantiefunctie is ingeschakeld.The operation is retried upon each subsequent sync cycle, as it would have been before the resiliency feature was enabled.

  2. Als twee groepen zijn gemaakt van on-premises met hetzelfde SMTP-adres, een mislukt om in te richten op de eerste poging met een standard dubbele ProxyAddress fout.If two Groups are created on-premises with the same SMTP address, one fails to provision on the first attempt with a standard duplicate ProxyAddress error. De dubbele waarde is echter goed in quarantaine op de volgende synchronisatiecyclus.However, the duplicate value is properly quarantined upon the next sync cycle.

Office-Portal rapport:Office Portal Report:

  1. Het gedetailleerde foutbericht voor twee objecten in een conflict UPN is hetzelfde.The detailed error message for two objects in a UPN conflict set is the same. Hiermee wordt aangegeven dat ze hebben beide al hun UPN gewijzigd / in quarantaine geplaatst wanneer u in feite alleen een van deze waren voor alle gegevens zijn gewijzigd.This indicates that they have both had their UPN changed / quarantined, when in fact only a one of them had any data changed.

  2. Het gedetailleerde foutbericht voor een conflict UPN ziet u de verkeerde displayName voor een gebruiker die hun UPN gewijzigd heeft/in quarantaine geplaatst.The detailed error message for a UPN conflict shows the wrong displayName for a user who has had their UPN changed/quarantined. Bijvoorbeeld:For example:

    a.a. Gebruiker A synchronisaties eerst met een UPN = gebruiker@contoso.com.User A syncs up first with UPN = User@contoso.com.

    b.b. Gebruiker B wordt geprobeerd om te worden gesynchroniseerd volgende met UPN = gebruiker@contoso.com.User B is attempted to be synced up next with UPN = User@contoso.com.

    c.c. Gebruiker B UPN is gewijzigd in User1234@contoso.onmicrosoft.com en gebruiker@contoso.com wordt toegevoegd aan DirSyncProvisioningErrors .User B’s UPN is changed to User1234@contoso.onmicrosoft.com and User@contoso.com is added to DirSyncProvisioningErrors.

    d.d. Het foutbericht voor gebruiker B moet geven aan dat gebruiker A al gebruiker@contoso.com zoals weergegeven in een UPN, maar het gebruiker B eigen displayName.The error message for User B should indicate that User A already has User@contoso.com as a UPN, but it shows User B’s own displayName.

Rapport over mappensynchronisatie fout identiteit:Identity synchronization error report:

De koppeling voor stappen over het oplossen van dit probleem is onjuist:The link for steps on how to resolve this issue is incorrect:
Actieve gebruikersActive Users

Deze moet verwijzen naar https://aka.ms/duplicateattributeresiliency .It should point to https://aka.ms/duplicateattributeresiliency.

Zie ookSee also