Kenmerken van Exchange Online worden niet teruggeschreven naar on-premises AD-adreslijstservice

Probleem

Wanneer u Exchange-Federatie hebt ingesteld voor een hybride implementatiescenario en u probeert het Microsoft Azure Active Directory-synchronisatieprogramma te gebruiken om Azure Active Directory (Azure AD) te synchroniseren met uw on-premises Active Directory, kunnen de volgende problemen optreden:

  • Wijzigingen die worden aangebracht in objecten via het Exchange-Beheercentrum of Exchange Online PowerShell worden niet gesynchroniseerd met de on-premises Active Directory-installatie.
  • Functies van Exchange server die naar verwachting samenwerken voor de Cloud en on-premises werken niet zoals verwacht.
  • U kunt geen onlineagenda's met lokale gebruikers of Exchange Online-gebruikers weergeven of delen.
  • U ontvangt niet de meest recente beschikbaarheidsinfo tussen on-premises en Cloud gebruikers.
  • Er is een fout 8344 opgetreden in Microsoft Identity Integration Server (MIIS) met de melding ' onvoldoende toegangsrechten om de bewerking uit te voeren '.

Deze problemen kunnen optreden als gedeelde Exchange-functies niet zijn ingeschakeld en als de verkeerde machtigingen worden toegepast op Active Directory-kenmerken.

Oplossing

Ga als volgt te werk om dit probleem op te lossen:

Stap 1: de wizard Configuratie van Azure Active Directory-synchronisatie uitvoeren

Zorg ervoor dat de nieuwste versie van het hulpprogramma Directory-synchronisatie is geïnstalleerd en dat u de wizard Configuratie van Azure Active Directory-synchronisatie uitvoert. Wanneer u de wizard uitvoert, wordt er een scherm weergegeven waarin u uitgebreide samenwerking kunt inschakelen. Voltooi de wizard en start adreslijstsynchronisatie.

U kunt ook de Enable-MSOnlineRichCoexistence cmdlet uitvoeren nadat u het hulpprogramma Directory-synchronisatie hebt geïnstalleerd, zodat de functie write-back wordt ingeschakeld. Deze cmdlet moet worden uitgevoerd met behulp van Enterprise credentials of moet worden uitgevoerd door de beheerder van het bedrijf.

Stap 2: MSOL_AD_Sync_RichCoexistence machtigingen bevestigen

Als het probleem niet is verholpen nadat u stap 1 hebt uitgeschakeld, controleert u of de MSOL_AD_Sync gebruiker lid is van de groep MSOL_AD_Sync_RichCoexistence en dat de groep machtigingen toestaat voor de gebruiker die het probleem ondervindt, waarbij write-back niet werkt voor de volgende kenmerken:

  • msExchSafeSendersHash
  • msExchBlockedSendersHash
  • msExchSafeRecipientHash
  • msExchArchiveStatus
  • msExchUCVoiceMailSettings
  • ProxyAddresses

Ga hiervoor als volgt te werk:

  1. Zorg er in Active Directory voor dat de groep MSOL_AD_Sync_RichCoexistence bestaat en dat de MSOL_AD_Sync gebruiker lid is van de groep.

  2. In de on-premises omgeving gebruikt u Active Directory: gebruikers en computers om de gebruikerseigenschappen te openen voor de gebruiker die het probleem ondervindt.

  3. Klik op het tabblad beveiliging op Geavanceerd.

    Notitie

    U dient geavanceerde functies in te schakelen om stap 3 te voltooien.

  4. Zorg ervoor dat de groep MSOL_AD_Sync_RichCoexistence wordt weergegeven. Als de groep niet wordt vermeld, voegt u deze toe en controleert u of de groep is gemachtigd om te schrijven naar de kenmerken die hierboven worden vermeld.

Notitie

Stap 2 kan vereist zijn als het object geen machtigingen van de bovenliggende site overneemt. Dit probleem kan worden opgelost door ervoor te zorgen dat het object machtigingen overneemt van het bovenliggende object.

Meer informatie

Voer de volgende stappen uit om de cmdlet uit te voeren Enable-MSOnlineRichCoexistence :

  1. Open Windows PowerShell, typ Import-Module DirSync en druk vervolgens op ENTER.

  2. Typ de volgende cmdlet en druk vervolgens op ENTER:

    Enable-MSOnlineRichCoexistence
    
  3. Wanneer u om referenties wordt gevraagd, voert u uw beheerdersreferenties voor uw bedrijf in.

Wanneer u de Enable-MSOnlineRichCoexistence cmdlet uitvoert, voert de cmdlet de volgende acties uit:

  • Hiermee wordt gecontroleerd of adreslijstsynchronisatie wordt uitgevoerd. Als adreslijstsynchronisatie wordt uitgevoerd, wordt het volgende waarschuwingsbericht weergegeven:

    Bezig met synchroniseren van MBO-Directory synchronisatie wordt later opnieuw geprobeerd.

  • Hiermee stelt u de machtigingen voor schrijven in voor alle kenmerken voor het MSOL_AD_SYNC-account dat door adreslijstsynchronisatie in de on-premises omgeving is gemaakt.

  • Laadt de bron-MA en de omgekeerde configuraties voor de optie voor write-back die is geselecteerd. Dit kunt u doen door de cmdlet uit te voeren en te klikken op de Set-MSOnlineWriteBack Import-MIISServerConfig [-file path] locatie van de ma en de META -configuratiebestanden die zijn opgenomen in de installatie van adreslijstsynchronisatie.

  • Hiermee stelt u de inloggegevens voor AD-MA in, omdat via de cmdlet een nieuwe bron-MA is geïnstalleerd met behulp van de volgende cmdlet:

    Set-MIISADMAconfiguration [-forest] [-login] [-password] [-MA Name]
    
  • Hiermee stelt u de referenties voor het doel-MA in met behulp van de volgende cmdlet:

    Set-MIISExtMAConfiguration [-MOAC login] [-MOAC password] [-connection URL] [-MA Name]
    
  • Hiermee stelt FullSyncNeeded u de registerwaarde in om een volledige synchronisatie aan te geven.

  • Oproepen Start-OnlineCoexistenceSync om adreslijstsynchronisatie te starten met de nieuwe configuraties. De eerste synchronisatie is een volledige synchronisatie.

Verwijzingen

Meer hulp nodig? Ga naar Microsoft Community of de website van Azure Active Directory-forums.