Attribut för Exchange Online skrivs inte tillbaka till den lokala AD-katalogtjänsten

Problem

När du har ställt in Exchange-federation för en hybriddistribution och försöker använda verktyget Microsoft Azure Active Directory-synkronisering för att synkronisera Azure Active Directory (Azure AD) med din lokala Active Directory kan följande problem uppstå:

  • Ändringar som görs i objekt via administrationscentret för Exchange eller Exchange Online PowerShell synkroniseras inte till den lokala Active Directory-installationen.
  • Exchange Server-funktioner som förväntas fungera tillsammans för molnet och lokalt fungerar inte som förväntat.
  • Det går inte att visa eller dela onlinekalendrar med lokala användare eller Exchange Online-användare.
  • Du får inte den senaste ledig/upptagen-informationen mellan lokala användare och molnanvändare.
  • Ett fel 8344 uppstår i Microsoft Identity Integration Server (MIIS) som säger "Otillräcklig åtkomstbehörighet för att utföra åtgärden".

Dessa symptom kan uppstå om delade Exchange-funktioner inte är aktiverade och om felaktiga behörigheter tillämpas på Active Directory-attribut.

Lösning

Lös problemet så här:

Steg 1: Kör konfigurationsguiden för verktyget Azure Active Directory-synkronisering

Kontrollera att den senaste versionen av verktyget för katalogsynkronisering är installerad och att du kör konfigurationsguiden för verktyget Azure Active Directory Sync. När du kör guiden uppmanas du på en skärm att aktivera omfattande samexistens. Slutför guiden och starta sedan katalogsynkroniseringen.

Alternativt kan du köra Enable-MSOnlineRichCoexistence cmdleten när verktyget Katalogsynkronisering har installerats för att aktivera återskrivningsfunktionen. Den här cmdleten måste köras med hjälp av företagsuppgifter eller köras av företagets administratör.

Steg 2: Bekräfta MSOL_AD_Sync_RichCoexistence behörigheter

Om steg 1 inte löser problemet kontrollerar du att MSOL_AD_Sync-användaren tillhör MSOL_AD_Sync_RichCoexistence-gruppen och att gruppen har behörigheten Tillåt för den användare som upplever problemet, där återskrivning inte fungerar för följande attribut:

  • msExchSafeSendersHash
  • msExchBlockedSendersHash
  • msExchSafeRecipientHash
  • msExchArchiveStatus
  • msExchUCVoiceMailSettings
  • ProxyAddresses

Gör så här:

  1. I Active Directory kontrollerar du att MSOL_AD_Sync_RichCoexistence gruppen finns och att MSOL_AD_Sync är medlem i gruppen.

  2. I den lokala miljön använder du Active Directory - användare och datorer för att öppna användaregenskaperna för den användare som upplever problemet.

  3. Klicka på Avancerat på fliken Säkerhet.

    Anteckning

    Du måste aktivera avancerade funktioner för att slutföra steg 3.

  4. Kontrollera att gruppen MSOL_AD_Sync_RichCoexistence visas. Om gruppen inte finns med i listan lägger du till gruppen och kontrollerar att gruppen beviljas behörighet att skriva till de attribut som listas tidigare.

Anteckning

Steg 2 kan vara obligatoriskt om objektet inte ärver behörigheter från det överordnade objektet. Det här problemet kan lösas genom att se till att objektet ärver behörigheter från det överordnade objektet.

Mer information

Kör Enable-MSOnlineRichCoexistence cmdleten genom att följa de här stegen:

  1. Öppna Windows PowerShell, skriv Import-Module DirSync och tryck sedan på Retur.

  2. Skriv in följande cmdlet och tryck sedan på Retur:

    Enable-MSOnlineRichCoexistence
    
  3. När du uppmanas att ange autentiseringsuppgifter anger du dina autentiseringsuppgifter som företagsadministratör.

När du kör Enable-MSOnlineRichCoexistence cmdleten utför cmdleten följande åtgärder:

  • Kontrollerar att katalogsynkroniseringen körs. Om katalogsynkroniseringen körs visas följande varningsmeddelande:

    MSO-katalogsynkronisering synkroniseras. Försök igen senare.

  • Anger skrivbehörigheter för alla attribut MSOL_AD_SYNC det katalogsynkronisering som skapats i den lokala miljön.

  • Läser in KÄLL-MA- och metaversumkonfigurationer för det återskrivningsalternativ som valts. För att göra detta kör Set-MSOnlineWriteBack cmdleten Import-MIISServerConfig [-file path] cmdleten, där filsökvägen representerar platsen för ma- och metaversumkonfigurationsfilerna som ingår i installationen av katalogsynkronisering.

  • Anger AD MA-autentiseringsuppgifter eftersom cmdleten har installerat en "ny" käll-MA med hjälp av följande cmdlet:

    Set-MIISADMAconfiguration [-forest] [-login] [-password] [-MA Name]
    
  • Anger mål-MA-autentiseringsuppgifter med hjälp av följande cmdlet:

    Set-MIISExtMAConfiguration [-MOAC login] [-MOAC password] [-connection URL] [-MA Name]
    
  • Anger FullSyncNeeded registervärdet för att ange en fullständig synkronisering.

  • Samtal Start-OnlineCoexistenceSync för att starta katalogsynkronisering med hjälp av de nya konfigurationerna. Den första synkroniseringen är en fullständig synkronisering.

Referenser

Behöver du fortfarande hjälp? Gå till Microsoft Community eller webbplatsen för Azure Active Directory-forumen.