Повторяющиеся или недопустимые атрибуты препятствуют синхронизации каталогов в Microsoft 365

Симптомы

В Microsoft 365 администратор получает следующее предупреждение электронной почты при завершении синхронизации каталогов:

From: [MSOnlineServicesTeam@MicrosoftOnline.com](mailto:msonlineservicesteam@microsoftonline.com)Subject: Directory Synchronization Error Report

Отчет об ошибке в сообщении электронной почты может содержать одно или несколько следующих сообщений об ошибках:

• Синхронизированный объект с тем же прокси-адресом уже существует в каталоге Microsoft Online Services.
• Не удалось обновить этот объект, так как идентификатор пользователя не найден.
• Не удалось обновить этот объект в Microsoft Online Services, так как следующие атрибуты, связанные с этим объектом, имеют значения, которые уже могут быть связаны с другим объектом в локальном каталоге.
• Не удалось обновить этот объект, так как следующие атрибуты, связанные с этим объектом, уже могут быть связаны с другим объектом в локальных службах каталогов: [UserPrincipalName john@contoso.com;]. Исправьте или удалите повторяющиеся значения в локальном каталоге.
• Не удалось обновить этот объект, так как следующие атрибуты, связанные с этим объектом, имеют значения, которые уже могут быть связаны с другим объектом в локальных службах каталогов: [ProxyAddresses SMTP:john@contoso.com;]. Исправьте или удалите повторяющиеся значения в локальном каталоге.

Кроме того, если вы используете службу синхронизации идентификатора Microsoft Entra (Connect), экземпляр события 6941, содержащий одно из следующих сообщений об ошибках, регистрируется в средстве просмотра событий входа в приложение:

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error. 

Error Name: AttributeValueMustBeUnique
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [UserPrincipalName john@contoso.com;]. Correct or remove the duplicate values in your local directory. Please refer to https://support.microsoft.com/kb/2647098 for more information on identifying objects with duplicate attribute values.

Event ID: 6941
Log Name: Application
Source: ADSync
Level: Error
Details:
ECMA2 MA export run caused an error.

Error Name: InvalidSoftMatch
Error Detail: Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [ProxyAddresses SMTP:john@contoso.com;]. Correct or remove the duplicate values in your local directory.

Причина

Эта проблема может возникнуть, если объекты пользователей в локальной схеме доменных служб Active Directory (AD DS) имеют повторяющиеся или недопустимые значения псевдонимов, а если эти объекты пользователя не синхронизированы со схемой AD DS с Microsoft 365 правильно во время синхронизации каталогов.

Все значения псевдонимов в Microsoft 365 должны быть уникальными для данной организации. Даже если у вас несколько уникальных суффиксов после знака (@) в адресе ПРОТОКОЛА SMTP, все значения псевдонимов должны быть уникальными.

В локальной среде можно иметь значения псевдонима, которые совпадают, если они уникальны на основе суффиксов после знака (@) в SMTP-адресе.

Если вы создаете объекты с повторяющимися значениями псевдонимов в облаке для Microsoft 365, чтобы сделать псевдоним уникальным, один псевдоним имеет уникальный номер, добавленный к нему. (Например, если повторяющиеся значения псевдонима являются "Альберт", один из них автоматически становится "Альберт2". Если "Альберт2" уже используется, псевдоним становится "Альберт3", и т. д.) Однако если объекты с повторяющимися значениями псевдонима создаются в локальной службе AD DS, конфликт объектов возникает при выполнении синхронизации каталогов, а синхронизация объектов завершается сбоем.

Решение

Чтобы устранить эту проблему, определите повторяющиеся значения и значения, конфликтующие с другими объектами AD DS. Для этого используйте один из следующих методов.

Метод 1. Используйте средство исправления ошибок средства синхронизации IdFix Microsoft Entra

Используйте средство исправления ошибок средства синхронизации IdFix Microsoft Entra, чтобы определить повторяющиеся или недопустимые атрибуты. Чтобы устранить повторяющиеся атрибуты с помощью средства IdFix, ознакомьтесь со следующей статьей базы знаний Майкрософт:

2857385 "Дубликат" отображается в столбце ERROR для двух или более объектов после запуска средства IdFix

Метод 2. Сопоставление существующего локального пользователя с пользователем Microsoft Entra

Для этого ознакомьтесь со следующей статьей базы знаний Майкрософт:

2641663 Использование smtp-сопоставления для сопоставления локальных учетных записей пользователей с учетными записями пользователей Microsoft 365 для синхронизации каталогов

Метод 3. Определение конфликтов атрибутов, вызванных объектами, которые не были созданы в идентификаторе Microsoft Entra с помощью синхронизации каталогов

Чтобы определить конфликты атрибутов, вызванные пользовательскими объектами, созданными с помощью средств управления Microsoft 365 (и которые не были созданы в идентификаторе Microsoft Entra с помощью синхронизации каталогов), выполните следующие действия.

1. Определите уникальные атрибуты локальной учетной записи пользователя AD DS. Для этого на компьютере с установленными средствами поддержки Windows выполните следующие действия:

   1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите ldp.exeи нажмите кнопку "ОК".

   2. Нажмите кнопку "Подключение", нажмите кнопку "Подключиться", введите имя компьютера контроллера домена AD DS и нажмите кнопку "ОК".

   3. Нажмите кнопку "Подключение", нажмите кнопку "Привязка" и нажмите кнопку "ОК".

   4. Нажмите "Вид", затем "Дерево", выберите домен AD DS в раскрывающемся списке BaseDN и нажмите "ОК".

   5. В области навигации найдите и дважды щелкните объект, который не синхронизируется правильно. В области сведений справа от окна перечислены все атрибуты объекта. В следующем примере показаны атрибуты объекта:

      

   6. Запишите значения атрибута userPrincipalName и каждого SMTP-адреса в атрибуте multivalue proxyAddresses. Эти значения потребуются позже.

      Имя атрибута	Пример	Примечания.
      прокси-адреса	proxyAddresses (3): x500:/o=Exchange/ou=Exchange Administrative Group (GroupName)/cn=Recipients/cn=GUID; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;	Число, отображаемое в скобках рядом с меткой атрибута, указывает количество значений прокси-адресов в атрибуте с несколькими значениями. Каждое отдельное значение адреса прокси-сервера указывается точкой с запятой (;). Значение первичного прокси-сервера SMTP указывается в верхнем регистре "SMTP:"
      ИмяОсновногоПользователя	7628376@contoso.com

      Замечание

      Ldp.exe входит в состав Windows Server 2008 и в средства поддержки Windows Server 2003. Средства поддержки Windows Server 2003 включены в установочный носитель Windows Server 2003. Или, чтобы получить средство, перейдите на следующий веб-сайт Майкрософт: Windows Server 2003 Service Pack 2 32-bit Support Tools

2. Подключитесь к Microsoft 365 с помощью модуля Azure Active Directory для Windows PowerShell. Для этого выполните следующие действия.

   1. Нажмите кнопку "Пуск", щелкните " Все программы", щелкните идентификатор Microsoft Entra и выберите модуль Azure Active Directory для Windows PowerShell.

   2. Введите следующие команды в порядке, в котором они представлены, и нажмите клавишу ВВОД после каждой команды:

      $cred = get-credential
      

      Замечание

      При появлении запроса введите учетные данные администратора Microsoft 365.

      Connect-MSOLService –credential $cred
      

      Замечание

      Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Чтобы узнать больше, прочитайте обновлённую информацию о прекращении поддержки. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

      Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание: Возможны перебои в работе версий 1.0.x MSOnline после 30 июня 2024 г.

      Оставьте окно консоли открытым. Его необходимо использовать на следующем шаге.

3. Проверьте наличие повторяющихся атрибутов userPrincipalName в Microsoft 365.

   В открывшемся на шаге 2 подключении консоли введите следующие команды в том порядке, в котором они представлены, и нажмите клавишу ВВОД после каждой команды:

   $userUPN = "<search UPN>"
   

   Замечание

   В этой команде заполнитель "search UPN" представляет атрибут UserPrincipalName, записанный на шаге 1f.

   get-msoluser –UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}
   

   Оставьте окно консоли открытым. Вы снова будете использовать его на следующем шаге.

4. Проверьте наличие повторяющихся атрибутов proxyAddresses. В открывшемся на шаге 2 подключении консоли введите следующие команды в том порядке, в котором они представлены, и нажмите клавишу ВВОД после каждой команды:

   $UserCredential = Get-Credential
   Connect-ExchangeOnline -Credential $UserCredential
   

5. Для каждой записи прокси-адреса, записанной на шаге 1f, введите следующие команды в том порядке, в котором они представлены, и нажмите клавишу ВВОД после каждой команды:

   $proxyAddress = "<search proxyAddress>"
   

   Замечание

   В этой команде заполнитель "search proxyAddress" представляет значение атрибута proxyAddresses, записанного на шаге 1f.

   Get-EXOMailbox | Where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MsolUser -ObjectID $_.ExternalDirectoryObjectId | Where {($_.LastDirSyncTime -eq $null)}}
   

Элементы, возвращаемые после выполнения команд на шаге 3 и 4, представляют объекты пользователей, которые не были созданы с помощью синхронизации каталогов и имеют атрибуты, конфликтующие с объектом, который не синхронизируется правильно.

После определения конфликтующих или недопустимых значений атрибутов устраните проблему, выполнив действия, описанные в следующей статье базы знаний Майкрософт:

2643629 Один или несколько объектов не синхронизируются при использовании средства синхронизации Azure Active Directory

Дополнительные сведения

Для команд Windows PowerShell в этой статье требуется модуль Azure Active Directory для Windows PowerShell. Дополнительные сведения о модуле Azure Active Directory для Windows PowerShell см. на следующем веб-сайте Майкрософт:

Командлеты Microsoft Entra

Все еще нужна помощь? Перейдите в сообщество Майкрософт.