Synchronisatiefouten oplossenTroubleshooting Errors during synchronization

Fouten kunnen zich voordoen wanneer identiteitsgegevens worden gesynchroniseerd vanuit Windows Server Active Directory (AD DS) naar Azure Active Directory (Azure AD).Errors could occur when identity data is synchronized from Windows Server Active Directory (AD DS) to Azure Active Directory (Azure AD). Dit artikel bevat een overzicht van verschillende typen synchronisatiefouten enkele van de mogelijke scenario's die ertoe leiden dat deze fouten en mogelijke manieren de fouten te herstellen.This article provides an overview of different types of sync errors, some of the possible scenarios that cause those errors and potential ways to fix the errors. In dit artikel bevat de algemene fouttypen en kan geen betrekking op alle mogelijke fouten.This article includes the common error types and may not cover all the possible errors.

In dit artikel wordt ervan uitgegaan dat de lezer bekend bent met de onderliggende is ontwerpconcepten van Azure AD en Azure AD Connect.This article assumes the reader is familiar with the underlying design concepts of Azure AD and Azure AD Connect.

Met de meest recente versie van Azure AD Connect (augustus 2016 of hoger), een rapport over synchronisatiefouten is beschikbaar in de Azure-portal als onderdeel van Azure AD Connect Health voor synchroniseren.With the latest version of Azure AD Connect (August 2016 or higher), a report of Synchronization Errors is available in the Azure portal as part of Azure AD Connect Health for sync.

Vanaf 1 September 2016 Azure Active Directory dubbel kenmerk tolerantie functie wordt standaard ingeschakeld voor alle de nieuwe Azure Active Directory-Tenants.Starting September 1, 2016 Azure Active Directory Duplicate Attribute Resiliency feature will be enabled by default for all the new Azure Active Directory Tenants. Deze functie wordt automatisch ingeschakeld voor bestaande tenants in de komende maanden.This feature will be automatically enabled for existing tenants in the upcoming months.

Azure AD Connect worden drie typen bewerkingen uit de directory's synchroon blijven uitgevoerd: Import, synchronisatie en exporteren.Azure AD Connect performs three types of operations from the directories it keeps in sync: Import, Synchronization, and Export. Fouten plaatsvinden in alle bewerkingen.Errors can take place in all the operations. In dit artikel richt zich voornamelijk op fouten tijdens het exporteren naar Azure AD.This article mainly focuses on errors during Export to Azure AD.

Fouten tijdens het exporteren naar Azure ADErrors during Export to Azure AD

Volgende sectie wordt beschreven verschillende soorten synchronisatiefouten die zich kunnen voordoen tijdens de exportbewerking naar Azure AD met behulp van de Azure AD-connector.Following section describes different types of synchronization errors that can occur during the export operation to Azure AD using the Azure AD connector. Deze connector kan worden geïdentificeerd door de indeling wordt 'contoso. onmicrosoft.com'.This connector can be identified by the name format being "contoso.onmicrosoft.com". Fouten tijdens het exporteren naar Azure AD geven aan dat de bewerking (toevoegen, bijwerken en verwijderen enz.) door Azure AD Connect geprobeerd (synchronisatie-Engine) op Azure Active Directory is mislukt.Errors during Export to Azure AD indicate that the operation (add, update, delete etc.) attempted by Azure AD Connect (Sync Engine) on Azure Active Directory failed.

Overzicht van de fouten exporteren

Fouten niet-overeenkomende gegevensData Mismatch Errors

InvalidSoftMatchInvalidSoftMatch

DescriptionDescription

  • Wanneer Azure AD Connect (synchronisatie-engine) geeft Azure Active Directory wilt toevoegen of bijwerken van objecten, Azure AD overeenkomt met de binnenkomende object via de sourceAnchor kenmerk aan de immutableId kenmerk van objecten in Azure AD.When Azure AD Connect (sync engine) instructs Azure Active Directory to add or update objects, Azure AD matches the incoming object using the sourceAnchor attribute to the immutableId attribute of objects in Azure AD. Deze overeenkomst is met de naam een harde overeenkomen met.This match is called a Hard Match.
  • Wanneer Azure AD geen vindt elk object dat overeenkomt met de immutableId kenmerk met de sourceAnchor kenmerk van het binnenkomende object, voordat u een nieuwe inricht een object, wordt gebruikgemaakt van voor het gebruik van de kenmerken ProxyAddresses en UserPrincipalName te vinden.When Azure AD does not find any object that matches the immutableId attribute with the sourceAnchor attribute of the incoming object, before provisioning a new object, it falls back to use the ProxyAddresses and UserPrincipalName attributes to find a match. Deze overeenkomst is met de naam een zachte overeenkomen met.This match is called a Soft Match. De zachte overeenkomen met is ontworpen om objecten die al aanwezig in Azure AD (die afkomstig zijn in Azure AD) met de nieuwe objecten worden toegevoegd/bijgewerkt tijdens de synchronisatie die staan voor de dezelfde entiteit (gebruikers, groepen) on-premises te koppelen.The Soft Match is designed to match objects already present in Azure AD (that are sourced in Azure AD) with the new objects being added/updated during synchronization that represent the same entity (users, groups) on premises.
  • InvalidSoftMatch fout treedt op wanneer een overeenkomst met de vaste geen overeenkomende objecten vindt en zachte match vindt u een overeenkomend object maar dat object is een andere waarde van immutableId dan de binnenkomende object SourceAnchor, voorstellen dat het overeenkomende object is gesynchroniseerd met een ander object vanuit on-premises Active Directory.InvalidSoftMatch error occurs when the hard match does not find any matching object AND soft match finds a matching object but that object has a different value of immutableId than the incoming object's SourceAnchor, suggesting that the matching object was synchronized with another object from on premises Active Directory.

Met andere woorden, in volgorde voor de zachte match om te werken, het object dat moet worden voorlopig vergeleken met de mogen geen waarde voor de immutableId.In other words, in order for the soft match to work, the object to be soft-matched with should not have any value for the immutableId. Als een met object immutableId instellen met een waarde is niet mogelijk de harde-overeenkomst, maar die voldoen aan de criteria zachte match, de bewerking resulteert in een synchronisatiefout InvalidSoftMatch.If any object with immutableId set with a value is failing the hard-match but satisfying the soft-match criteria, the operation would result in an InvalidSoftMatch synchronization error.

Azure Active Directory-schema is niet toegestaan voor twee of meer objecten hebben dezelfde waarde van de volgende kenmerken.Azure Active Directory schema does not allow two or more objects to have the same value of the following attributes. (Dit is geen uitputtende lijst.)(This is not an exhaustive list.)

  • ProxyAddressesProxyAddresses
  • UserPrincipalNameUserPrincipalName
  • onPremisesSecurityIdentifieronPremisesSecurityIdentifier
  • ObjectIdObjectId

Notitie

Azure AD-kenmerk dubbel kenmerk tolerantie functie wordt ook als het standaardgedrag van Azure Active Directory wordt uitgerold.Azure AD Attribute Duplicate Attribute Resiliency feature is also being rolled out as the default behavior of Azure Active Directory. Zo beperkt u het aantal synchronisatiefouten gezien door Azure AD Connect (evenals andere clients sync) door Azure AD beter bestand is tegen in de manier waarop die dubbele ProxyAddresses en UserPrincipalName kenmerken aanwezig zijn in on-premises AD-omgevingen worden verwerkt.This will reduce the number of synchronization errors seen by Azure AD Connect (as well as other sync clients) by making Azure AD more resilient in the way it handles duplicated ProxyAddresses and UserPrincipalName attributes present in on premises AD environments. Deze functie de duplicatie fouten niet wordt opgelost.This feature does not fix the duplication errors. De gegevens moeten dus nog steeds worden hersteld.So the data still needs to be fixed. Maar het inrichten van nieuwe objecten die anders zijn geblokkeerd vanwege dubbele waarden wordt ingericht in Azure AD.But it allows provisioning of new objects which are otherwise blocked from being provisioned due to duplicated values in Azure AD. Zo beperkt u ook het aantal synchronisatiefouten geretourneerd naar de synchronisatie-client.This will also reduce the number of synchronization errors returned to the synchronization client. Als deze functie is ingeschakeld voor uw Tenant, ziet u niet de InvalidSoftMatch synchronisatie-fouten weergegeven tijdens het inrichten van nieuwe objecten.If this feature is enabled for your Tenant, you will not see the InvalidSoftMatch synchronization errors seen during provisioning of new objects.

Voorbeeldscenario's voor InvalidSoftMatchExample Scenarios for InvalidSoftMatch

  1. Er bestaan twee of meer objecten met dezelfde waarde voor het kenmerk ProxyAddresses in on-premises Active Directory.Two or more objects with the same value for the ProxyAddresses attribute exist in on-premises Active Directory. Slechts één wordt ophalen ingericht in Azure AD.Only one is getting provisioned in Azure AD.
  2. Twee of meer objecten met dezelfde waarde voor het kenmerk userPrincipalName bestaat in on-premises Active Directory.Two or more objects with the same value for the userPrincipalName attribute exists in on-premises Active Directory. Slechts één wordt ophalen ingericht in Azure AD.Only one is getting provisioned in Azure AD.
  3. Een object is toegevoegd aan de on-premises Active Directory met dezelfde waarde voor kenmerk ProxyAddresses als die van een bestaand object in Azure Active Directory.An object was added in the on premises Active Directory with the same value of ProxyAddresses attribute as that of an existing object in Azure Active Directory. Het object toegevoegd on-premises wordt niet ophalen van ingericht in Azure Active Directory.The object added on premises is not getting provisioned in Azure Active Directory.
  4. Een object is toegevoegd in on-premises Active Directory met dezelfde waarde voor userPrincipalName-kenmerk als die van een account in Azure Active Directory.An object was added in on premises Active Directory with the same value of userPrincipalName attribute as that of an account in Azure Active Directory. Het object is niet ophalen van ingericht in Azure Active Directory.The object is not getting provisioned in Azure Active Directory.
  5. Een gesynchroniseerde-account is verplaatst in Forest A in Forest B. Azure AD Connect (sync engine genoemd) kenmerk ObjectGUID werd gebruikt voor het berekenen van de SourceAnchor.A synced account was moved from Forest A to Forest B. Azure AD Connect (sync engine) was using ObjectGUID attribute to compute the SourceAnchor. De waarde van het SourceAnchor verschilt na de verplaatsing forest.After the forest move, the value of the SourceAnchor is different. Het nieuwe object (in Forest B) kan niet worden gesynchroniseerd met het bestaande object in Azure AD.The new object (from Forest B) is failing to sync with the existing object in Azure AD.
  6. Een gesynchroniseerde object hebt u per ongeluk verwijderd uit on-premises Active Directory en een nieuw object is gemaakt in Active Directory voor dezelfde entiteit (bijvoorbeeld gebruiker) zonder te verwijderen van het account in Azure Active Directory.A synced object got accidentally deleted from on premises Active Directory and a new object was created in Active Directory for the same entity (such as user) without deleting the account in Azure Active Directory. Het nieuwe account kan niet worden gesynchroniseerd met de bestaande Azure AD-object.The new account fails to sync with the existing Azure AD object.
  7. Azure AD Connect is verwijderd en opnieuw geïnstalleerd.Azure AD Connect was uninstalled and reinstalled. Tijdens de installatie is een ander kenmerk gekozen als het SourceAnchor.During the reinstallation, a different attribute was chosen as the SourceAnchor. Alle objecten die eerder was gesynchroniseerd gestopt synchroniseren met InvalidSoftMatch fout.All the objects that had previously synced stopped syncing with InvalidSoftMatch error.

Voorbeeld van de aanvraag:Example case:

  1. Bob Smith is een gesynchroniseerde gebruiker in Azure Active Directory vanuit on-premises Active Directory van contoso.comBob Smith is a synced user in Azure Active Directory from on premises Active Directory of contoso.com
  2. Bob Smith UserPrincipalName is ingesteld als **bobs@contoso.com**.Bob Smith's UserPrincipalName is set as **bobs@contoso.com**.
  3. "abcdefghijklmnopqrstuv ==" is de SourceAnchor berekend door Azure AD Connect met behulp van Bob Smith objectGUID van on-premises Active Directory, dit is de immutableId voor Bob Smith in Azure Active Directory."abcdefghijklmnopqrstuv==" is the SourceAnchor calculated by Azure AD Connect using Bob Smith's objectGUID from on premises Active Directory, which is the immutableId for Bob Smith in Azure Active Directory.
  4. Bob heeft ook de volgende waarden voor de proxyAddresses kenmerk:Bob also has following values for the proxyAddresses attribute:
    • smtp: bobs@contoso.comsmtp: bobs@contoso.com
    • smtp: bob.smith@contoso.comsmtp: bob.smith@contoso.com
    • **smtp: bob@contoso.com****smtp: bob@contoso.com**
  5. Een nieuwe gebruiker Bob Taylor, wordt toegevoegd aan de on-premises Active Directory.A new user, Bob Taylor, is added to the on premises Active Directory.
  6. Bob Taylor van UserPrincipalName is ingesteld als **bobt@contoso.com**.Bob Taylor's UserPrincipalName is set as **bobt@contoso.com**.
  7. "abcdefghijkl0123456789 ==" " is de sourceAnchor berekend door Azure AD Connect met behulp van Bob Taylor objectGUID uit op de lokale Active Directory."abcdefghijkl0123456789=="" is the sourceAnchor calculated by Azure AD Connect using Bob Taylor's objectGUID from on premises Active Directory. Bob Taylor van object is niet gesynchroniseerd met Azure Active Directory nog.Bob Taylor's object has NOT synced to Azure Active Directory yet.
  8. Bob Taylor heeft de volgende waarden voor het kenmerk proxyAddressesBob Taylor has the following values for the proxyAddresses attribute
    • smtp: bobt@contoso.comsmtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.comsmtp: bob.taylor@contoso.com
    • **smtp: bob@contoso.com****smtp: bob@contoso.com**
  9. Azure AD Connect wordt tijdens de synchronisatie, herkent de toevoeging van Bob Taylor in on-premises Active Directory en Azure AD naar dezelfde wijziging vragen.During sync, Azure AD Connect will recognize the addition of Bob Taylor in on premises Active Directory and ask Azure AD to make the same change.
  10. Azure AD wordt eerst harde overeenkomst uitvoeren.Azure AD will first perform hard match. Dat wil zeggen, wordt de zoekopdracht uitgevoerd als er een object met de immutableId gelijk is aan "abcdefghijkl0123456789 ==".That is, it will search if there is any object with the immutableId equal to "abcdefghijkl0123456789==". Vaste overeenkomst mislukken omdat er geen andere objecten in Azure AD die immutableId zal hebben.Hard Match will fail as no other object in Azure AD will have that immutableId.
  11. Azure AD wordt vervolgens probeert te zachte match Bob Taylor.Azure AD will then attempt to soft-match Bob Taylor. Dat wil zeggen, wordt de zoekopdracht uitgevoerd als er een object met proxyAddresses gelijk zijn aan de drie waarden, met inbegrip van smtp: bob@contoso.comThat is, it will search if there is any object with proxyAddresses equal to the three values, including smtp: bob@contoso.com
  12. Azure AD vindt van Bob Smith-object om te voldoen aan de zachte match-criteria.Azure AD will find Bob Smith's object to match the soft-match criteria. Maar dit object heeft de waarde van immutableId = "abcdefghijklmnopqrstuv ==".But this object has the value of immutableId = "abcdefghijklmnopqrstuv==". wat aangeeft dat dit object is gesynchroniseerd vanuit een ander object vanuit on-premises Active Directory.which indicates this object was synced from another object from on premises Active Directory. Dus, Azure AD kan geen zachte match deze objecten en de resultaten in een InvalidSoftMatch -synchronisatiefout.Thus, Azure AD cannot soft-match these objects and results in an InvalidSoftMatch sync error.

Voor het oplossen van InvalidSoftMatch foutHow to fix InvalidSoftMatch error

De meest voorkomende reden voor de fout InvalidSoftMatch is twee objecten met andere SourceAnchor (immutableId) hebben dezelfde waarde voor de kenmerken ProxyAddresses en/of de UserPrincipalName, die worden gebruikt tijdens de zachte match verwerken in Azure AD.The most common reason for the InvalidSoftMatch error is two objects with different SourceAnchor (immutableId) have the same value for the ProxyAddresses and/or UserPrincipalName attributes, which are used during the soft-match process on Azure AD. Als u wilt de ongeldige zachte Match oplossenIn order to fix the Invalid Soft Match

  1. Identificeer de dubbele proxyAddresses, userPrincipalName of andere kenmerkwaarde die de fout wordt veroorzaakt.Identify the duplicated proxyAddresses, userPrincipalName, or other attribute value that's causing the error. Ook bepalen welke twee (of meer) objecten betrokken zijn bij het conflict.Also identify which two (or more) objects are involved in the conflict. Het rapport dat is gegenereerd door Azure AD Connect Health voor synchroniseren kunt u de twee objecten identificeren.The report generated by Azure AD Connect Health for sync can help you identify the two objects.
  2. Bepalen welk object moet nog steeds de dubbele waarde en welk object moet niet.Identify which object should continue to have the duplicated value and which object should not.
  3. Verwijder de dubbele waarde uit het object dat die waarde mag geen.Remove the duplicated value from the object that should NOT have that value. U moet de wijziging aanbrengt in de map waar het object is afkomstig uit.You should make the change in the directory where the object is sourced from. In sommige gevallen moet u mogelijk een van de objecten in conflict verwijderen.In some cases, you may need to delete one of the objects in conflict.
  4. Als u de wijziging hebt aangebracht in de on-premises AD, kunt u Azure AD Connect synchroniseren van de wijziging.If you made the change in the on premises AD, let Azure AD Connect sync the change.

Foutenrapporten synchronisatie in Azure AD Connect Health voor synchroniseren worden elke 30 minuten bijgewerkt en de fouten van de laatste synchronisatiepoging bevatten.Sync error reports within Azure AD Connect Health for sync are updated every 30 minutes and include the errors from the latest synchronization attempt.

Notitie

ImmutableId, moet per definitie niet wijzigen in de levensduur van het object.ImmutableId, by definition, should not change in the lifetime of the object. Als Azure AD Connect is niet geconfigureerd met een aantal van de scenario's waarmee u rekening moet in de bovenstaande lijst, u kan terechtkomen in een situatie waarin Azure AD Connect wordt berekend met een andere waarde van het SourceAnchor voor de AD-object met dezelfde entiteit (dezelfde gebruiker/groep / Neem contact op met enzovoort) waarvoor een bestaande Azure AD-Object, dat u wilt blijven gebruiken.If Azure AD Connect was not configured with some of the scenarios in mind from the above list, you could end up in a situation where Azure AD Connect calculates a different value of the SourceAnchor for the AD object that represents the same entity (same user/group/contact etc) that has an existing Azure AD Object that you wish to continue using.

ObjectTypeMismatchObjectTypeMismatch

DescriptionDescription

Wanneer Azure AD probeert te zacht overeenkomen met twee objecten, is het mogelijk dat twee objecten van verschillende "objecttype' (zoals gebruiker, groep, enz. Neem contact op met) hebben de dezelfde waarden voor de kenmerken die wordt gebruikt voor het uitvoeren van de zachte match.When Azure AD attempts to soft match two objects, it is possible that two objects of different "object type" (such as User, Group, Contact etc.) have the same values for the attributes used to perform the soft match. Duplicatie van deze kenmerken is niet toegestaan in Azure AD, kan de bewerking 'ObjectTypeMismatch' synchronisatiefout leiden.As duplication of these attributes is not permitted in Azure AD, the operation can result in "ObjectTypeMismatch" synchronization error.

Voorbeeldscenario's voor ObjectTypeMismatch foutExample Scenarios for ObjectTypeMismatch error

  • Een e-mailtoegang beveiligingsgroep wordt gemaakt in Office 365.A mail enabled security group is created in Office 365. Beheerder voegt een nieuwe gebruiker of contactpersoon in on-premises AD (die niet wordt gesynchroniseerd met Azure AD nog) met dezelfde waarde voor het kenmerk ProxyAddresses als die van de Office 365-groep.Admin adds a new user or contact in on premises AD (that's not synchronized to Azure AD yet) with the same value for the ProxyAddresses attribute as that of the Office 365 group.

Voorbeeld van de aanvraagExample case

  1. Beheerder maakt een nieuwe e-mailtoegang-beveiligingsgroep in Office 365 voor de btw-afdeling en biedt een e-mailadres als tax@contoso.com.Admin creates a new mail enabled security group in Office 365 for the Tax department and provides an email address as tax@contoso.com. Deze groep is de waarde van het kenmerk ProxyAddresses van toegewezen **smtp: tax@contoso.com**This group is assigned the ProxyAddresses attribute value of **smtp: tax@contoso.com**
  2. Een nieuwe gebruiker lid wordt van Contoso.com en een account is bedoeld voor de gebruiker on-premises met de proxyAddress als **smtp: tax@contoso.com**A new user joins Contoso.com and an account is created for the user on premises with the proxyAddress as **smtp: tax@contoso.com**
  3. Wanneer Azure AD Connect het nieuwe gebruikersaccount synchroniseert, krijgt deze de fout 'ObjectTypeMismatch'.When Azure AD Connect will sync the new user account, it will get the "ObjectTypeMismatch" error.

Voor het oplossen van ObjectTypeMismatch foutHow to fix ObjectTypeMismatch error

De meest voorkomende reden voor de fout ObjectTypeMismatch is twee objecten van het andere type (gebruiker, groep, enz. Neem contact op met) hebben dezelfde waarde voor het kenmerk ProxyAddresses.The most common reason for the ObjectTypeMismatch error is two objects of different type (User, Group, Contact etc.) have the same value for the ProxyAddresses attribute. Als u wilt de ObjectTypeMismatch oplossen:In order to fix the ObjectTypeMismatch:

  1. Identificeren van de dubbele proxyAddresses (of een ander kenmerk) waarde die de fout wordt veroorzaakt.Identify the duplicated proxyAddresses (or other attribute) value that's causing the error. Ook bepalen welke twee (of meer) objecten betrokken zijn bij het conflict.Also identify which two (or more) objects are involved in the conflict. Het rapport dat is gegenereerd door Azure AD Connect Health voor synchroniseren kunt u de twee objecten identificeren.The report generated by Azure AD Connect Health for sync can help you identify the two objects.
  2. Bepalen welk object moet nog steeds de dubbele waarde en welk object moet niet.Identify which object should continue to have the duplicated value and which object should not.
  3. Verwijder de dubbele waarde uit het object dat die waarde mag geen.Remove the duplicated value from the object that should NOT have that value. Houd er rekening mee dat moet u de wijziging hebt aangebracht in de map waar het object is afkomstig uit.Note that you should make the change in the directory where the object is sourced from. In sommige gevallen moet u mogelijk een van de objecten in conflict verwijderen.In some cases, you may need to delete one of the objects in conflict.
  4. Als u de wijziging hebt aangebracht in de on-premises AD, kunt u Azure AD Connect synchroniseren van de wijziging.If you made the change in the on premises AD, let Azure AD Connect sync the change. Rapport over synchronisatiefouten in Azure AD Connect Health voor synchroniseren wordt elke 30 minuten bijgewerkt en de fouten van de laatste synchronisatiepoging bevat.Sync error report within Azure AD Connect Health for sync gets updated every 30 minutes and includes the errors from the latest synchronization attempt.

Dubbele kenmerkenDuplicate Attributes

AttributeValueMustBeUniqueAttributeValueMustBeUnique

DescriptionDescription

Azure Active Directory-schema is niet toegestaan voor twee of meer objecten hebben dezelfde waarde van de volgende kenmerken.Azure Active Directory schema does not allow two or more objects to have the same value of the following attributes. Dat is dat elk object in Azure AD wordt gedwongen om een unieke waarde van deze kenmerken voor een bepaald geval.That is each object in Azure AD is forced to have a unique value of these attributes at a given instance.

  • ProxyAddressesProxyAddresses
  • UserPrincipalNameUserPrincipalName

Als Azure AD Connect probeert om een nieuw object toevoegen of bijwerken van een bestaand object met een waarde voor de bovenstaande kenmerken die al is toegewezen aan een ander object in Azure Active Directory, wordt de bewerking resulteert in de synchronisatiefout 'AttributeValueMustBeUnique'.If Azure AD Connect attempts to add a new object or update an existing object with a value for the above attributes that is already assigned to another object in Azure Active Directory, the operation results in the "AttributeValueMustBeUnique" sync error.

Possible Scenarios:Possible Scenarios:

  1. Dubbele waarde is toegewezen aan een reeds gesynchroniseerd object, veroorzaakt een met een ander gesynchroniseerd object conflict.Duplicate value is assigned to an already synced object, which conflicts with another synced object.

Voorbeeld van de aanvraag:Example case:

  1. Bob Smith is een gesynchroniseerde gebruiker in Azure Active Directory vanuit on-premises Active Directory van contoso.comBob Smith is a synced user in Azure Active Directory from on premises Active Directory of contoso.com
  2. Bob Smith UserPrincipalName on-premises is ingesteld als **bobs@contoso.com**.Bob Smith's UserPrincipalName on premises is set as **bobs@contoso.com**.
  3. Bob heeft ook de volgende waarden voor de proxyAddresses kenmerk:Bob also has following values for the proxyAddresses attribute:
    • smtp: bobs@contoso.comsmtp: bobs@contoso.com
    • smtp: bob.smith@contoso.comsmtp: bob.smith@contoso.com
    • **smtp: bob@contoso.com****smtp: bob@contoso.com**
  4. Een nieuwe gebruiker Bob Taylor, wordt toegevoegd aan de on-premises Active Directory.A new user, Bob Taylor, is added to the on premises Active Directory.
  5. Bob Taylor van UserPrincipalName is ingesteld als **bobt@contoso.com**.Bob Taylor's UserPrincipalName is set as **bobt@contoso.com**.
  6. Bob Taylor heeft de volgende waarden voor de ProxyAddresses kenmerk i.Bob Taylor has the following values for the ProxyAddresses attribute i. smtp: bobt@contoso.com ii.smtp: bobt@contoso.com ii. smtp: bob.taylor@contoso.comsmtp: bob.taylor@contoso.com
  7. Bob Taylor van object wordt gesynchroniseerd met Azure AD is.Bob Taylor's object is synchronized with Azure AD successfully.
  8. Beheerder besloten om bij te werken van Bob Taylor ProxyAddresses kenmerk met de volgende waarde: ik.Admin decided to update Bob Taylor's ProxyAddresses attribute with the following value: i. **smtp: bob@contoso.com****smtp: bob@contoso.com**
  9. Azure AD probeert te Bob Taylor van object bijwerken in Azure AD met de bovenstaande waarde, maar waarbij de bewerking mislukt als dat ProxyAddresses-waarde al aan Bob Smith, toegewezen is "AttributeValueMustBeUnique" fout tot gevolg.Azure AD will attempt to update Bob Taylor's object in Azure AD with the above value, but that operation will fail as that ProxyAddresses value is already assigned to Bob Smith, resulting in "AttributeValueMustBeUnique" error.

Voor het oplossen van AttributeValueMustBeUnique foutHow to fix AttributeValueMustBeUnique error

De meest voorkomende reden voor de fout AttributeValueMustBeUnique is twee objecten met andere SourceAnchor (immutableId) dezelfde waarde voor de ProxyAddresses en/of de UserPrincipalName kenmerken hebben.The most common reason for the AttributeValueMustBeUnique error is two objects with different SourceAnchor (immutableId) have the same value for the ProxyAddresses and/or UserPrincipalName attributes. Als u wilt AttributeValueMustBeUnique fout oplossenIn order to fix AttributeValueMustBeUnique error

  1. Identificeer de dubbele proxyAddresses, userPrincipalName of andere kenmerkwaarde die de fout wordt veroorzaakt.Identify the duplicated proxyAddresses, userPrincipalName or other attribute value that's causing the error. Ook bepalen welke twee (of meer) objecten betrokken zijn bij het conflict.Also identify which two (or more) objects are involved in the conflict. Het rapport dat is gegenereerd door Azure AD Connect Health voor synchroniseren kunt u de twee objecten identificeren.The report generated by Azure AD Connect Health for sync can help you identify the two objects.
  2. Bepalen welk object moet nog steeds de dubbele waarde en welk object moet niet.Identify which object should continue to have the duplicated value and which object should not.
  3. Verwijder de dubbele waarde uit het object dat die waarde mag geen.Remove the duplicated value from the object that should NOT have that value. Houd er rekening mee dat moet u de wijziging hebt aangebracht in de map waar het object is afkomstig uit.Note that you should make the change in the directory where the object is sourced from. In sommige gevallen moet u mogelijk een van de objecten in conflict verwijderen.In some cases, you may need to delete one of the objects in conflict.
  4. Als u de wijziging hebt aangebracht in de on-premises AD, kunt u Azure AD Connect synchroniseren van de wijziging voor de fout is opgelost.If you made the change in the on premises AD, let Azure AD Connect sync the change for the error to get fixed.

-Dubbele of ongeldige kenmerken te voorkomen dat de directory-synchronisatie in Office 365-Duplicate or invalid attributes prevent directory synchronization in Office 365

Mislukte gegevensvalidatieData Validation Failures

IdentityDataValidationFailedIdentityDataValidationFailed

DescriptionDescription

Azure Active Directory worden afgedwongen voor verschillende beperkingen met betrekking tot de gegevens zelf voordat toe te staan dat gegevens worden geschreven naar de map.Azure Active Directory enforces various restrictions on the data itself before allowing that data to be written into the directory. Deze beperkingen zijn om ervoor te zorgen dat eindgebruikers de best mogelijke ervaring tijdens het gebruik van de toepassingen die afhankelijk van deze gegevens zijn krijgen.These restrictions are to ensure that end users get the best possible experiences while using the applications that depend on this data.

Scenario'sScenarios

a.a. De waarde van het kenmerk UserPrincipalName bevat de ongeldige/niet-ondersteunde tekens.The UserPrincipalName attribute value has invalid/unsupported characters. b.b. Het kenmerk UserPrincipalName voldoet niet aan de vereiste indeling.The UserPrincipalName attribute does not follow the required format.

Voor het oplossen van IdentityDataValidationFailed foutHow to fix IdentityDataValidationFailed error

a.a. Zorg ervoor dat het kenmerk userPrincipalName is ondersteund tekens en de vereiste indeling.Ensure that the userPrincipalName attribute has supported characters and required format.

FederatedDomainChangeErrorFederatedDomainChangeError

DescriptionDescription

Deze aanvraag resulteert in een "FederatedDomainChangeError" fout synchroniseren wanneer het achtervoegsel van de UserPrincipalName van een gebruiker is gewijzigd van een federatief domein in een ander federatief domein.This case results in a "FederatedDomainChangeError" sync error when the suffix of a user's UserPrincipalName is changed from one federated domain to another federated domain.

Scenario'sScenarios

Voor een gesynchroniseerde gebruiker, is het achtervoegsel UserPrincipalName van een federatief domein gewijzigd in een ander federatief domein on-premises.For a synchronized user, the UserPrincipalName suffix was changed from one federated domain to another federated domain on premises. Bijvoorbeeld, *UserPrincipalName = bob@contoso.com* is gewijzigd in *UserPrincipalName = bob@fabrikam.com* .For example, *UserPrincipalName = bob@contoso.com* was changed to *UserPrincipalName = bob@fabrikam.com*.

VoorbeeldExample

  1. Bob Smith, een account voor Contoso.com is, wordt toegevoegd als een nieuwe gebruiker in Active Directory met de UserPrincipalName bob@contoso.comBob Smith, an account for Contoso.com, gets added as a new user in Active Directory with the UserPrincipalName bob@contoso.com
  2. Bob wordt verplaatst naar een andere afdeling van Contoso.com, Fabrikam.com genoemd en zijn UserPrincipalName is gewijzigd in bob@fabrikam.comBob moves to a different division of Contoso.com called Fabrikam.com and his UserPrincipalName is changed to bob@fabrikam.com
  3. Domeinen voor contoso.com en fabrikam.com zijn federatieve domeinen met Azure Active Directory.Both contoso.com and fabrikam.com domains are federated domains with Azure Active Directory.
  4. Berend userPrincipalName niet wordt bijgewerkt en resulteert in een synchronisatiefout 'FederatedDomainChangeError'.Bob's userPrincipalName does not get updated and results in a "FederatedDomainChangeError" sync error.

Voor het oplossen vanHow to fix

Als de UserPrincipalName-achtervoegsel van een gebruiker is bijgewerkt van bob @contoso.com naar bob @fabrikam.com, waarbij beide contoso.com en fabrikam.com zijn federatieve domeinen, klikt u vervolgens als volgt te werk om op te lossen de synchronisatiefoutIf a user's UserPrincipalName suffix was updated from bob@contoso.com to bob@fabrikam.com, where both contoso.com and fabrikam.com are federated domains, then follow these steps to fix the sync error

  1. Bijwerken van de gebruiker UserPrincipalName in Azure AD van bob@contoso.com naar bob@contoso.onmicrosoft.com.Update the user's UserPrincipalName in Azure AD from bob@contoso.com to bob@contoso.onmicrosoft.com. Met de Azure AD PowerShell-Module kunt u de volgende PowerShell-opdracht: Set-MsolUserPrincipalName -UserPrincipalName bob@contoso.com -NewUserPrincipalName bob@contoso.onmicrosoft.comYou can use the following PowerShell command with the Azure AD PowerShell Module: Set-MsolUserPrincipalName -UserPrincipalName bob@contoso.com -NewUserPrincipalName bob@contoso.onmicrosoft.com
  2. Toestaan dat de volgende synchronisatiecyclus om synchronisatie.Allow the next sync cycle to attempt synchronization. Deze tijdsynchronisatie is voltooid en de UserPrincipalName van Bob aan wordt bijgewerkt bob@fabrikam.com zoals verwacht.This time synchronization will be successful and it will update the UserPrincipalName of Bob to bob@fabrikam.com as expected.

LargeObjectLargeObject

DescriptionDescription

Wanneer een kenmerk overschrijdt de maximale toegestane grootte, de maximale lengte of de limiet voor het aantal ingesteld door Azure Active Directory-schema, de synchronisatiebewerking resulteert in de LargeObject of ExceededAllowedLength-synchronisatiefout.When an attribute exceeds the allowed size limit, length limit or count limit set by Azure Active Directory schema, the synchronization operation results in the LargeObject or ExceededAllowedLength sync error. Deze fout treedt meestal op voor de volgende kenmerkenTypically this error occurs for the following attributes

  • userCertificateuserCertificate
  • userSMIMECertificateuserSMIMECertificate
  • thumbnailPhotothumbnailPhoto
  • proxyAddressesproxyAddresses

Mogelijke scenario 'sPossible Scenarios

  1. Te veel certificaten die zijn toegewezen aan Bob opslaat Berend userCertificate kenmerk.Bob's userCertificate attribute is storing too many certificates assigned to Bob. Deze kunnen oudere, verlopen certificaten bevatten.These may include older, expired certificates. De vaste limiet is 15 certificaten.The hard limit is 15 certificates. Raadpleeg voor meer informatie over het verwerken van LargeObject-fouten met het kenmerk userCertificate artikel afhandeling van LargeObject-fouten die zijn veroorzaakt door userCertificate kenmerk.For more information on how to handle LargeObject errors with userCertificate attribute, please refer to article Handling LargeObject errors caused by userCertificate attribute.
  2. Te veel certificaten die zijn toegewezen aan Bob opslaat Berend usersmimecertificate wordt door kenmerk.Bob's userSMIMECertificate attribute is storing too many certificates assigned to Bob. Deze kunnen oudere, verlopen certificaten bevatten.These may include older, expired certificates. De vaste limiet is 15 certificaten.The hard limit is 15 certificates.
  3. Berend thumbnailphoto wordt door instellen in Active Directory is te groot om te worden gesynchroniseerd in Azure AD.Bob's thumbnailPhoto set in Active Directory is too large to be synced in Azure AD.
  4. Tijdens automatische populatie van het ProxyAddresses-kenmerk in Active Directory heeft een object te veel ProxyAddresses toegewezen.During automatic population of the ProxyAddresses attribute in Active Directory, an object has too many ProxyAddresses assigned.

Voor het oplossen vanHow to fix

  1. Zorg ervoor dat het kenmerk dat de fout veroorzaakt binnen de toegestane beperking.Ensure that the attribute causing the error is within the allowed limitation.

Conflict met bestaande beheerdersrolExisting Admin Role Conflict

DescriptionDescription

Een bestaande Admin rol Conflict van een gebruikersobject tijdens de synchronisatie wordt uitgevoerd wanneer dat gebruikersobject heeft:An Existing Admin Role Conflict will occur on a user object during synchronization when that user object has:

  • beheerdersmachtigingen enadministrative permissions and
  • de dezelfde UserPrincipalName als een bestaande Azure AD-objectthe same UserPrincipalName as an existing Azure AD object

Azure AD Connect is niet toegestaan op zachte overeenkomst met een gebruikersobject van on-premises AD met een gebruikersobject in Azure AD en waaraan een beheerdersrol toegewezen.Azure AD Connect is not allowed to soft match a user object from on-premises AD with a user object in Azure AD that has an administrative role assigned to it. Zie voor meer informatie Azure AD UserPrincipalName populatieFor more information see Azure AD UserPrincipalName population

Bestaande Admin

Voor het oplossen vanHow to fix

Om op te lossen dit probleem als volgt een van de volgende:To resolve this issue do one of the following:

  • Wijzig de UserPrincipalName in een waarde die komt niet overeen met die van een gebruiker met beheerdersrechten in Azure AD - Hiermee u een nieuwe gebruiker in Azure AD met de overeenkomende UserPrincipalName maaktchange the UserPrincipalName to a value that does not match that of an Admin user in Azure AD - which will create a new user in Azure AD with the matching UserPrincipalName
  • Verwijder de beheerdersrol van de gebruiker met beheerdersrechten in Azure AD, zodat de zachte match tussen het on-premises-gebruikersobject en het bestaande object van de Azure AD-gebruiker.remove the administrative role from the Admin user in Azure AD, which will enable the soft match between the on-premises user object and the existing Azure AD user object.

Notitie

U kunt de beheerdersrol toewijzen aan het bestaande gebruikersobject opnieuw nadat de zachte match tussen het on-premises-gebruikersobject en het Azure AD-gebruikersobject is voltooid.You can assign the administrative role to the existing user object again after the soft match between the on-premises user object and the Azure AD user object has completed.