none
Синхронизация/связь уже существующих пользователей, учетных записей AD и Azure RRS feed

  • Вопрос

  • Коллеги, здравствуйте. Возможно вопрос тривиальный, но я пока что-то не понимаю как его решить.

    Есть локальный домен domain.local в нем есть пользователи user1..user2 и тп..

    Так же есть подписка на office 365 с привязкой к domain.ru там так же заведены эти пользователи user1..user 2 и тп.

    АД и Офис365 существовали отдельно друг от друга. Сейчас я пытаюсь их синхронизировать через синхронизацию паролей.

    В АД добавил UPN суффикс domain.ru, пользователям в атрибутах прописал всем почту в виде user@domain.ru и так же всем сменил домен входа с domain.local на domain.ru.

    Для вновь раздельно созданных пользователей в Офис365 и АД синхронизация срабатывает, все нормально.И я уже даже обрадовался, что все нормально. Но если я пытаюсь синхронизировать пользователей, которые были давно созданы, то натыкаюсь на проблему в виде:

    Не удалось обновить этот объект, так как следующие связанные с этим объектом атрибуты имеют значения, которые, возможно, уже связаны с другим объектом в локальных службах каталогов: [ProxyAddresses SMTP:user@domain.ru;]. Исправьте или удалите повторяющиеся значения в локальном каталоге. Дополнительные сведения об идентификации объектов с повторяющимися значениями атрибутов см. в статье......

    Собственно мне понятно, что происходит. Синхронизация видит, что уже существуют в офис365 пользователь с таким адресом и upn и говорит, что не может его заменить на пользователя из АД. Вроде это как логично.

    Но я бы хотел как-то все же заставить их синхронизироваться так, чтоб не потерять в итоге информацию из почтовых ящиков в офис365 и не пересоздавать учетки в АД (там тоже профиль переносить придется тогда). Какое решение есть на этот случай ? 

    Заранее спасибо за участие в обсуждении моей проблемы.


    12 января 2020 г. 18:18

Ответы

Все ответы

  • Для начала посмотрите эту статью. Там описывается начальная настройка синхронизации.

    Покажите, как Вы в атрибутах прописали почту.

    12 января 2020 г. 22:26
    Модератор
  • Статью прочитаю сейчас.

    Почту задал просто pwsh скриптом в атрибуте -EmailAddress в виде samaccountname+'@domain.ru'

    13 января 2020 г. 0:30
  • Прочитал статью. Да именно так все и делал. В свойствах пользователя задавал атрибут электронная почта и домен для входа такой же как у Офиса365.

    Для только что созданных пользователей все срабатывает - я пробовал создать пользователя в Оф365 тут же создать такого же в АД, а затем синхронизировать их - вся инфомация с АД приезжает в Оф365, заменяя введенную вручную в оф365. Однако это сработало только на вновь созданном пользователе, на тех, кто существует давно это не сработало.

    13 января 2020 г. 0:37
  • покажите вывод команды для проблемного пользователя:

    get-aduser user.name -Properties * | fl DisplayName,mail,UserPrincipalName,proxyAddresses

    13 января 2020 г. 8:16
    Модератор
  • PS C:\Windows\system32> get-aduser d.yakovlev -Properties * | fl DisplayName,mail,UserPrincipalName,proxyAddresses      

    DisplayName       : Яковлев Дмитрий Александрович
    mail              : d.yakovlev@domain.ru
    UserPrincipalName : d.yakovlev@domain.ru
    proxyAddresses    : {}

    П.С. Заменил свой домен на domain.ru

    13 января 2020 г. 8:56
  • Здравствуйте

    Впринципе, должен отработать SMTP matching - How to use SMTP matching to match on-premises user accounts to Office 365 user accounts for Directory Synchronization 

    Если не отрабатвывет, в таком случае посмотрите инструкции в статьях ниже:

    How to do Hard match in Dirsync?

    Soft (SMTP) vs. Hard (immutableID) matching with Azure AD Connect

    Manually match On Premise AD-user to existing Office365 user

    How to merge an Office 365 account with an on-premises AD account after hybrid configuration?

    AD-Cloud User Hard Match - Matching AD users to cloud usersПробуйте сперва на одном пользователе, предварительно сделав бекап данных пользователя.

    Также, можете открыть тикет в поддержку Office 365 для дополнительной консультации.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    • Помечено в качестве ответа Dmitry 42 13 января 2020 г. 16:30
    13 января 2020 г. 9:03
    Модератор
  • DisplayName       : Яковлев Дмитрий Александрович
    mail              : d.yakovlev@domain.ru
    UserPrincipalName : d.yakovlev@domain.ru
    proxyAddresses    : {}

    покажите вывод команды Exchange Online:

    Get-Recipient d.yakovlev@domain.ru | fl DisplayName,PrimarySmtpAddress,EmailAddresses
    13 января 2020 г. 9:45
    Модератор
  • Да, про Хард уже начал тоже читать на англоязычных форумах.

    СМПТ матчинг мельком видел, тоже погружусь.

    Спасибо за подсказки.

    13 января 2020 г. 10:04
  • Здравствуйте

    Впринципе, должен отработать SMTP matching - How to use SMTP matching to match on-premises user accounts to Office 365 user accounts for Directory Synchronization 

    Может MS что-то поменяло, и теперь всегда требуется дописывать атрибут "proxyAddresses"? Раньше без него работало. Надо будет проверить...

    Dmitry 42 в свойствах у.з. в атрибутах, добавьте в proxyAddresses "SMTP:d.yakovlev@domain.ru"

    А обычно в Вашей ситуации помогает как раз наоборот - очистка proxyAddresses

    13 января 2020 г. 10:13
    Модератор
  • да, уже попробовал, добавлял - не помогло.

    Полезу в хард матчинг.

    • Изменено Dmitry 42 13 января 2020 г. 10:45
    13 января 2020 г. 10:23
  • Всем здравствуйте!

    Вот такое решение у моей проблемы: Я тестировал синхронизацию на себе и другой учетке с админскими правами в офис 365 и Ад, оказываются пользователи с админскими правами не могут быть синхронизированы.

    Как только убрал роли Админов из офиса365 и АД, так учетные записи сразу синхронизировались.

    Вот такой нюанс.

    Admin role considerations

    To prevent untrusted on-premises users from matching with a cloud user that has any admin role, Azure AD Connect will not match on-premises user objects with objects that have an admin role. This is by default. To workaround this behavior you can do the following:

    1. Remove the directory roles from the cloud-only user object.
    2. If there was a failed user sync attempt, hard delete the Quarantined object in the cloud.
    3. Trigger a sync.
    4. Optionally add the directory roles back to the user object in cloud once the matching has occurred.

    • Помечено в качестве ответа Dmitry 42 13 января 2020 г. 16:30
    13 января 2020 г. 16:29
  • Да, есть такое дело.
    Вообще лучше разделять учётные записи на простые (с почтой и т.п) и на административные с двух-факторной аутентификацией.
    13 января 2020 г. 16:41
    Модератор
  • Обязательно так будет. Привожу все в порядок.
    14 января 2020 г. 4:46