Назад | Перейти на главную страницу

Office 365 DirSync - дублирующийся конфликт UserPrincipalName

У меня возникла проблема, когда в приведенной ниже последовательности произошло следующее (и подтверждено во второй раз с тестовой учетной записью, а клиент O365 в примере - mydomain.onmicrosoft.com):

  1. Электронная почта была создана в Office 365 с адресом электронной почты testuser@mydomain.com
  2. Локальная учетная запись AD была создана с локальным UPN @ corp.mydomain.com AD (по ошибке мы также добавили mydomain.com в UPN, но был выбран неправильный).
  3. AD Sync запустился, и мы смогли увидеть в списке пользователя testuser@mydomain.onmicrosoft.com (показать Синхронизировано с Active Directory в списке пользователей портала Office 365)
  4. Затем мы меняем UPN учетной записи AD на @ mydomain.com.
  5. Мы получаем ошибку для статуса Dir Sync We detected a duplicate UserPrincipalName conflict on the value testuser@mydomain.com. All attribute values need to be unique across objects. To resolve this conflict, first determine which object should be using the conflicting value. Then, update or remove the conflicting value from the other object(s). This error was detected on 9/7/17 12:32 PM.

Списки следующие:

UserPrincipalName: testuser@mydomain.com
Status:Unlicensed
Last DirSync time:
Source anchor:
Source of authority:Cloud
Created on:9/7/17 3:49 PM

UserPrincipalName: testuser@mydomain.onmicrosoft.com (Modified automatically)
Status:Unlicensed
Last DirSync time:9/7/17 4:32 PM
Source anchor:+fWWJ+utoUS9xeB2ofeKew==
Source of authority:On-premises Active Directory
Created on:9/7/17 4:02 PM
Proxy addresses:

Согласно https://support.microsoft.com/en-us/help/2641663/how-to-use-smtp-matching-to-match-on-premises-user-accounts-to-office

Я следил за подробностями здесь и установил адрес электронной почты локальной учетной записи AD в профиле пользователя на testuser@mydomain.com, установил UPN на mydomain.com, а также добавил прокси-адрес SMTP: testuser@mydomain.com на вкладке атрибутов user, но по-прежнему получаю ту же ошибку.

Любые идеи, пожалуйста, как я могу связать перечисленные testuser@mydomain.onmicrosoft.com (Учетная запись AD) на testuser@mydomain.com (Почтовый ящик Office 365)?

Технически, если Azure AD Connect настроен правильно, он не должен синхронизировать пользователя с недопустимым (corp.mydomain.com) UPN. Когда-нибудь тебе придется рассказать мне, как ты заставил это случиться. Вы также авторизовали corp.mydomain.com в Office 365?

Однако теперь локальный пользователь привязан к пользователю облака через Anchor / ImmutableID.

  • Если все в порядке, удалите локальную учетную запись пользователя и выполните синхронизацию. Это должно удалить учетную запись пользователя в облаке.
  • Восстановить удаленного пользователя аккаунт в облаке. Теперь это "Только облако"
  • Измените учетную запись пользователя Office 365 на новый вход / UPN / основной SMTP и все.
  • Удалите ImmutableID облачного пользователя из PowerShell в Office 365: Set-MsolUser -UserPrincipalName <clouduserUPN> -ImmutableID $null
  • Создайте новую учетную запись пользователя AD с правильным UPN и ProxyAddresses, которые теперь соответствуют UPN / логину пользователя Cloud.
  • Теперь синхронизируйте. Azure AD Connect будет соответствовать локального пользователя к пользователю облака и синхронизируются.

Если вы не можете удалить локальную учетную запись AD на шаге 1, отфильтруйте локального пользователя в Azure AD Connect and Sync. Это приведет к удалению учетной записи пользователя в Office 365, чтобы вы могли выполнить шаг 2. Затем удалите фильтр перед окончательной синхронизацией.

Эта проблема может быть вызвана тем, что вы не добавить свой домен в Office 365.

Во-первых, мы знаем, что Office 365 использует облачную службу проверки подлинности пользователей Azure Active Directory для управления пользователями. Каждый каталог Azure AD имеет начальное доменное имя в виде domainname.onmicrosoft.com. Первоначальное доменное имя нельзя изменить или удалить, но вы также можете добавить свое корпоративное доменное имя в Azure AD.

Например, в вашей организации, вероятно, есть другие доменные имена, используемые для ведения бизнеса, и пользователи, которые входят в систему, используя ваше корпоративное доменное имя. Добавление имен пользовательских доменов в Azure AD позволяет назначать имена пользователей в каталоге, знакомые вашим пользователям, например «alice@contoso.com.» Вместо «alice @ .onmicrosoft.com». Процесс прост:

  1. Добавьте собственное доменное имя в свой каталог
  2. Добавьте DNS-запись для доменного имени у регистратора доменного имени
  3. Проверьте имя личного домена в Azure AD

Вы можете добавить свой домен на портал Office 365 прямо здесь:

Если вы планируете интегрировать локальный Windows Server AD с Azure AD, вам необходимо выбрать Я планирую настроить этот домен для единого входа с моей локальной Active Directory Установите флажок при запуске средства Azure AD Connect для синхронизации каталогов. Вам также необходимо зарегистрировать то же доменное имя, которое вы выбрали для интеграции с локальным каталогом, в Домен Azure AD шаг в мастере. Вы можете увидеть, как выглядит этот шаг в мастере, в эти инструкции. Если у вас нет инструмента Azure AD Connect, вы можете скачать здесь.

Подробнее о том, как добавить домен и пользователей в Office 365, см. этот официальный документ.