Мы используем Azure AD Connect около 18 месяцев без каких-либо серьезных проблем с синхронизацией. Однако на этой неделе мы неожиданно столкнулись со сценарием, когда большая группа определенных пользователей исключается из синхронизации. К счастью, это происходит только в нашем промежуточном экземпляре Azure AD, но я хочу быть готовым к тому, когда / если это произойдет в производственной среде. Все эти пользователи созданы с помощью кода .NET, поэтому я уверен, что должна быть общая причина, по которой они не синхронизируются, но мы не можем понять, что это такое.
Чтобы все снова заработало, я выполнил полную синхронизацию, которая дала обратный эффект - удалила большое количество пользователей из Azure AD 😢. Я не могу заставить кого-либо из этих пользователей снова синхронизироваться с Azure AD.
Одна вещь, которая действительно странная, заключается в том, что я могу запустить Get-ADUser и получить пользователя с помощью инструмента устранения неполадок Azure AD Connect, который не может видеть пользователя.
Пример:
PS C:\Windows\system32> get-aduser x.y -properties *
AccountExpirationDate :
accountExpires : 9223372036854775807
AccountLockoutTime :
AccountNotDelegated : False
AllowReversiblePasswordEncryption : False
AuthenticationPolicy : {}
AuthenticationPolicySilo : {}
BadLogonCount : 0
badPasswordTime : 0
badPwdCount : 0
CannotChangePassword : False
CanonicalName : xxxxx.xxxxx.com/yyyyyy/x.y
Certificates : {}
City :
CN : x.y
codePage : 0
Company :
CompoundIdentitySupported : {}
Country :
countryCode : 0
Created : 11/11/2019 3:37:45 PM
createTimeStamp : 11/11/2019 3:37:45 PM
Deleted :
Department :
Description :
DisplayName : x y
DistinguishedName : CN=x.y,OU=yyyyyy,DC=xxxxx,DC=xxxxx,DC=com
Division :
DoesNotRequirePreAuth : False
dSCorePropagationData : {1/1/1601 12:00:00 AM}
EmailAddress : x.y@test.com
EmployeeID :
EmployeeNumber :
Enabled : True
Fax :
GivenName : x
HomeDirectory :
HomedirRequired : False
HomeDrive :
HomePage :
HomePhone :
Initials :
instanceType : 4
isDeleted :
KerberosEncryptionType : {}
LastBadPasswordAttempt :
LastKnownParent :
lastLogoff : 0
lastLogon : 0
LastLogonDate :
LockedOut : False
logonCount : 0
LogonWorkstations :
mail : x.y@test.com
Manager :
MemberOf : {CN=yyyyyy RD Users,OU=yyyyyy,DC=xxxxx,DC=
MNSLogonAccount : False
MobilePhone :
Modified : 11/11/2019 3:37:45 PM
modifyTimeStamp : 11/11/2019 3:37:45 PM
msDS-User-Account-Control-Computed : 0
Name : x.y
nTSecurityDescriptor : System.DirectoryServices.ActiveDirectorySecurity
ObjectCategory : CN=Person,CN=Schema,CN=Configuration,DC=xxxxx,DC=xxxxx,
ObjectClass : user
ObjectGUID : 47e489c9-3c07-4e0f-a7a8-9a8035d7250d
objectSid : S-1-5-21-2788353538-1765426516-1583780121-6489
Office :
OfficePhone :
Organization :
OtherName :
PasswordExpired : False
PasswordLastSet : 11/11/2019 3:37:45 PM
PasswordNeverExpires : False
PasswordNotRequired : True
POBox :
PostalCode :
PrimaryGroup : CN=Domain Users,CN=Users,DC=xxxxx,DC=xxxxx,DC=com
primaryGroupID : 513
PrincipalsAllowedToDelegateToAccount : {}
ProfilePath :
ProtectedFromAccidentalDeletion : False
pwdLastSet : 132179602657179811
SamAccountName : x.y
sAMAccountType : 805306368
ScriptPath :
sDRightsEffective : 15
ServicePrincipalNames : {}
SID : S-1-5-21-2788353538-1765426516-1583780121-6489
SIDHistory : {}
SmartcardLogonRequired : False
sn : y
State :
StreetAddress :
Surname : y
Title :
TrustedForDelegation : False
TrustedToAuthForDelegation : False
UseDESKeyOnly : False
userAccountControl : 544
userCertificate : {}
UserPrincipalName : x.y@xxxxx.xxxxx.com
uSNChanged : 1587587
uSNCreated : 1587583
whenChanged : 11/11/2019 3:37:45 PM
whenCreated : 11/11/2019 3:37:45 PM
Инструмент устранения неполадок Azure AD Connect Когда я ввожу DN пользователя в средство устранения неполадок Azure AD Connect, я получаю сообщение об ошибке:
Не удалось найти объект в локальной AD с различающимся именем = "CN = x.y, OU = xxxxxx, DC = xxxxx, DC = xxxxx, DC = com".
Я действительно застрял на этом этапе и не могу понять, как двигаться дальше. Ни в одной из документов Azure AD Connect не было указаний о том, как я могу это выяснить.