Назад | Перейти на главную страницу

Ошибка Active Directory ADSync с несуществующей учетной записью

У меня странная ошибка ADSync, в которой говорится, что мой локальный активный каталог содержит два объекта с одинаковым свойством ProxyAddress. Один из аккаунтов имя пользователя@ domain.tld (что правильно), а второй - имя пользователя@ domain.onmicrosoft.com (который, на мой взгляд, отсутствует в AD) - и, согласно отчету об ошибках DirSync, оба они содержат один и тот же конфликтующий ProxyAddress имя пользователя@ domain.tld. AzureAD показывает, что обе учетные записи исходят из локальной Active Directory. Дело в том, что кто-то мог создать * учетную запись onmicrosoft.com несколько лет назад для тестирования office365.

Пока я проверил две вещи:

  1. Небольшой скрипт powershell для проверки того же прокси-адреса в локальной AD:
Get-ADUser -Filter * -Properties proxyAddresses | foreach {
    foreach($address in $_.proxyAddresses) {
        if ($address -eq 'smtp:username@domain.tld') {
            Write-Host $address
        }
    }
 }
  1. Проверка неизменяемых идентификаторов конфликтующих аккаунтов:
$user = Get-ADUser legit_account
$immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())
$immutableid #shows the same as legit account in DirSync report

$badImmutableID = 'base64 copied from bad account DirSync error report=='


$users = get-aduser -Filter *
foreach ($usr in $users) {
    $currImmutableID = [System.Convert]::ToBase64String($usr.ObjectGUID.tobytearray())
    if ($currImmutableID -eq $badImmutableID) {
        $usr
    }
}

Этот сценарий не обеспечивает вывода с плохим immutableID (но работает с другими).

Я фактически застрял на этом этапе - AzureAD не позволяет мне удалить плохую учетную запись для разрешения конфликта, говоря, что я должен решить его в локальной AD, пока такой учетной записи нет. Любые идеи будут высоко оценены.

Вам нужно отключить синхронизацию AD перед удалением этой плохой учетной записи,

Шаг 1 - Установите модуль Azure Active Directory для Windows PowerShell.

Install-Module -Name MSOnline
Install-Module -Name AzureAD

Шаг 2 - Подключиться к Azure AD

Connect-MsolService

Шаг 3 - Отключить синхронизацию каталогов

Set-MsolDirSyncEnabled –EnableDirSync $false

Шаг 4 - Проверить статус синхронизации каталогов

(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

Продолжайте периодически запускать этот командлет, пока он не вернет значение False, а затем переходите к следующему шагу. Обратите внимание, что в этот период нельзя будет использовать Azure AD.

Шаг 5 - Удалить потерянный объект

Remove-MsolUser -UserPrincipalName user@domain.onmicrosoft.com

Шаг 6 - Включить синхронизацию каталогов

Set-MsolDirSyncEnabled -EnableDirSync $true

Больше информации здесь: Вы не можете управлять или удалять объекты, которые были синхронизированы с помощью инструмента Azure Active Directory Sync.

Изменить: - ВНИМАНИЕ: Как указал Cyrill U, повторное включение синхронизации может занять до 72 часов, так что это необходимо учитывать перед этой процедурой.

Больше информации: Синхронизацию каталогов для Office 365, Azure или Intune нельзя активировать или деактивировать