Atrybuty usługi Exchange Online nie są zapisywane ponownie w lokalnej usłudze katalogowej AD

Problem

Po skonfigurowaniu usługi Exchange Federation dla scenariusza wdrażania hybrydowego podczas próby synchronizowania usługi Azure Active Directory (Azure AD) z lokalną usługą Active Directory przy użyciu narzędzia Microsoft Azure Active Directory

  • Zmiany wprowadzone w obiektach za pośrednictwem Centrum administracyjnego programu Exchange lub programu Exchange Online PowerShell nie są synchronizowane z lokalną instalacją usługi Active Directory.
  • Funkcje programu Exchange Server, które powinny współpracować z chmurą i lokalnie, nie działają zgodnie z oczekiwaniami.
  • Nie można wyświetlać ani udostępniać kalendarzy online z użytkownikami lokalnymi ani użytkownikami usługi Exchange Online.
  • Nie otrzymujesz najnowszych informacji o wolnych/zajętych między użytkownikami lokalnymi i w chmurze.
  • Wystąpił błąd 8344 w programie Microsoft Identity Integration Server (MIIS) z informacją "Brak praw dostępu do wykonania operacji".

Te objawy mogą wystąpić, jeśli współużytkowane funkcje programu Exchange nie są włączone, a w przypadku atrybutów usługi Active Directory są stosowane niepoprawne uprawnienia.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj podane dalej czynności.

Krok 1. uruchomienie Kreatora konfiguracji narzędzia do synchronizacji usługi Azure Active Directory

Upewnij się, że jest zainstalowana najnowsza wersja narzędzia do synchronizacji katalogów, a następnie uruchom Kreatora konfiguracji narzędzia do synchronizacji usługi Azure Active Directory. Po uruchomieniu kreatora na ekranie zostanie wyświetlony monit o włączenie bogatego współistnienia. Ukończ Kreator, a następnie Rozpocznij synchronizację katalogów.

Możesz też uruchomić Enable-MSOnlineRichCoexistence polecenie cmdlet po zainstalowaniu narzędzia do synchronizacji katalogów w celu włączenia funkcji zapisu wstecznego. To polecenie cmdlet musi być uruchamiane przy użyciu poświadczeń przedsiębiorstwa lub powinno być uruchamiane przez administratora przedsiębiorstwa.

Krok 2: Potwierdzanie uprawnień MSOL_AD_Sync_RichCoexistence

Jeśli krok 1 nie rozwiąże problemu, sprawdź, czy MSOL_AD_Sync użytkownik należy do grupy MSOL_AD_Sync_RichCoexistence i że grupa zezwolił na uprawnienia użytkownika, którego dotyczy problem, w którym nie jest wykonywane wykonywanie kopii zapasowych następujących atrybutów:

  • msExchSafeSendersHash
  • msExchBlockedSendersHash
  • msExchSafeRecipientHash
  • msExchArchiveStatus
  • msExchUCVoiceMailSettings
  • ProxyAddresses

Aby to zrobić, wykonaj następujące kroki.

  1. Upewnij się, że w usłudze Active Directory istnieje grupa MSOL_AD_Sync_RichCoexistence, a użytkownik MSOL_AD_Sync jest członkiem grupy.

  2. W środowisku lokalnym Użyj przystawki Użytkownicy i komputery usługi Active Directory, aby otworzyć właściwości użytkownika dla użytkownika, którego dotyczy problem.

  3. Na karcie zabezpieczenia kliknij pozycję Zaawansowane.

    Uwaga

    Aby wykonać krok 3, należy włączyć funkcję zaawansowane.

  4. Upewnij się, że na liście znajduje się grupa MSOL_AD_Sync_RichCoexistence. Jeśli nie ma jej na liście, Dodaj ją, a następnie upewnij się, że jest ona udzielana, aby uprawnienia mogły zapisywać w wymienionych powyżej atrybutach.

Uwaga

Jeśli obiekt nie dziedziczy uprawnień z elementu nadrzędnego, może być wymagany krok 2. Ten problem można rozwiązać, upewniając się, że obiekt dziedziczy uprawnienia z obiektu nadrzędnego.

Więcej informacji

Aby uruchomić Enable-MSOnlineRichCoexistence polecenie cmdlet, wykonaj następujące czynności:

  1. Otwórz program Windows PowerShell, wpisz Import-Module DirSync, a następnie naciśnij klawisz ENTER.

  2. Wpisz następujące polecenie cmdlet, a następnie naciśnij klawisz ENTER:

    Enable-MSOnlineRichCoexistence
    
  3. Gdy zostanie wyświetlony monit o podanie poświadczeń, wprowadź poświadczenia administratora przedsiębiorstwa.

Po uruchomieniu polecenia cmdlet polecenie Enable-MSOnlineRichCoexistence cmdlet wykonuje następujące czynności:

  • Sprawdzanie, czy jest uruchomiona Synchronizacja katalogów. Jeśli synchronizacja katalogów jest uruchomiona, zostanie wyświetlony następujący komunikat ostrzegawczy:

    Synchronizacja katalogu MSO jest synchronizowana. Spróbuj ponownie później.

  • Ustawia uprawnienia do zapisu dotyczące wszystkich atrybutów dla konta MSOL_AD_SYNC, które zostało utworzone w środowisku lokalnym.

  • Ładuje źródłową konfigurację MA i Metaverse dla zaznaczonej opcji wstecz. W tym celu Set-MSOnlineWriteBack polecenie cmdlet uruchamia polecenie Import-MIISServerConfig [-file path] cmdlet, gdzie ścieżka pliku reprezentuje lokalizację plików konfiguracji ma i Metaverse, które są dostępne w instalacji synchronizacji katalogów.

  • Ustawia poświadczenia usługi AD o nieprawidłowym użyciu, ponieważ polecenie cmdlet zainstalowało nowe źródło, które MA następujące polecenie cmdlet:

    Set-MIISADMAconfiguration [-forest] [-login] [-password] [-MA Name]
    
  • Ustawia element docelowy MA poświadczenia przy użyciu następującego polecenia cmdlet:

    Set-MIISExtMAConfiguration [-MOAC login] [-MOAC password] [-connection URL] [-MA Name]
    
  • Ustawia FullSyncNeeded wartość rejestru wskazującą pełną synchronizację.

  • Połączenia Start-OnlineCoexistenceSync rozpoczynające synchronizację katalogów przy użyciu nowych konfiguracji. Pierwsza synchronizacja to pełna synchronizacja.

Informacje

Nadal potrzebujesz pomocy? Przejdź do witryny Microsoft Community lub forów Azure Active Directory.