Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Office 365 DirSync – конфликт дублирования UserPrincipalName

На чтение 7 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Последовательность действий, приведшая к конфликту
  4. Ошибка: конфликт UPN в процессе DirSync
  5. Шаги по устранению конфликта
  6. Дополнительные рекомендации

Вопрос или проблема

У меня проблема, где произошли следующие события (и была проверена во второй раз с тестовой учетной записью, а O365 тенант в примере – mydomain.onmicrosoft.com):

  1. Электронная почта была создана в Office 365 с адресом электронной почты [email protected]
  2. Локальная учетная запись AD была создана с локальным UPN @corp.mydomain.com (по ошибке, мы также добавили mydomain.com в UPN, но была выбрана неправильная учетная запись).
  3. Синхронизация AD прошла, и мы могли видеть пользователя [email protected] в списке (показано Синхронизировано с Active Directory в списке администраторов Office 365)
  4. Затем мы изменили UPN учетной записи AD на @mydomain.com
  5. Мы получили ошибку для состояния Dir Sync: Мы обнаружили конфликт дублирования UserPrincipalName по значению [email protected]. Все значения атрибутов должны быть уникальными для объектов. Чтобы решить этот конфликт, сначала определите, какой объект должен использовать конфликтующее значение. Затем обновите или удалите конфликтующее значение из других объектов. Эта ошибка была обнаружена 7/9/17 12:32 PM.

Списки:

UserPrincipalName: [email protected]
Статус: Без лицензии
Последнее время DirSync:
Исходный якорь:
Источник полномочий: Облако
Создано: 7/9/17 3:49 PM

UserPrincipalName: [email protected] (Изменено автоматически)
Статус: Без лицензии
Последнее время DirSync: 7/9/17 4:32 PM
Исходный якорь: +fWWJ+utoUS9xeB2ofeKew==
Источник полномочий: Локальный Active Directory
Создано: 7/9/17 4:02 PM
Прокси-адреса:

Согласно https://support.microsoft.com/en-us/help/2641663/how-to-use-smtp-matching-to-match-on-premises-user-accounts-to-office

Я следовал деталям здесь и установил адрес электронной почты локальной учетной записи AD в профиле пользователя на [email protected], установил UPN на mydomain.com и также добавил прокси-адрес SMTP:[email protected] на вкладке атрибутов пользователя, но все равно получаю ту же ошибку.

Есть ли идеи, как я могу связать указанный [email protected] (учетная запись AD) с [email protected] (почтовый ящик Office 365)?

portal

Эти проблемы могут возникнуть из-за того, что вы не добавили свой домен в Office 365.

Во-первых, мы знаем, что Office 365 использует облачный сервис аутентификации пользователей Azure Active Directory для управления пользователями. Каждый каталог Azure AD имеет первоначальное доменное имя в формате domainname.onmicrosoft.com. Первоначальное доменное имя нельзя изменить или удалить, но вы также можете добавить свое корпоративное доменное имя в Azure AD.

Например, ваша организация, вероятно, имеет другие доменные имена, которые используются для ведения бизнеса, и пользователи, которые входят в систему, используя ваше корпоративное доменное имя. Добавление пользовательских доменных имен в Azure AD позволяет вам назначать имена пользователей в каталоге, которые знакомы вашим пользователям, такие как ‘[email protected].’ вместо ‘[email protected]‘. Процесс прост:

  1. Добавьте пользовательское доменное имя в ваш каталог
  2. Добавьте DNS-запись для доменного имени у регистратора доменных имен
  3. Подтвердите пользовательское доменное имя в Azure AD

Вы можете добавить свой домен в портале Office 365 прямо здесь:

введите описание изображения здесь

Если вы планируете объединить свой локальный Active Directory на базе Windows Server с Azure AD, то вам нужно выбрать Я планирую настроить этот домен для единого входа с моим локальным Active Directory при запуске инструмента Azure AD Connect для синхронизации ваших каталогов. Вам также необходимо зарегистрировать то же доменное имя, которое вы выбираете для федерации с вашим локальным каталогом, на шаге Azure AD Domain в мастер-настройке. Вы можете увидеть, как выглядит этот шаг в мастере в этих инструкциях. Если у вас нет инструмента Azure AD Connect, вы можете скачать его здесь.

Больше о том, как добавить домен и пользователей в Office 365, смотрите в этом официальном документе.

С технической точки зрения, если Azure AD Connect настроен правильно, он не должен синхронизировать пользователя с недействительным (corp.mydomain.com) UPN. Вам придется как-то объяснить мне, как вы заставили это произойти. Вы также авторизовали corp.mydomain.com в Office 365?

Тем не менее, теперь локальный пользователь связан с облачным пользователем через Anchor/ImmutableID.

  • Если все в порядке, удалите локальную учетную запись пользователя и выполните синхронизацию. Это должно удалить учетную запись пользователя в облаке.
  • Восстановите удаленную учетную запись пользователя в облаке. Теперь это “Только облако”
  • Измените учетную запись пользователя Office 365 на новый логин/UPN/Основной SMTP и так далее.
  • Удалите ImmutableID облачного пользователя из Office 365 PowerShell: Set-MsolUser -UserPrincipalName <clouduserUPN> -ImmutableID $null
  • Создайте новую учетную запись пользователя AD с правильным UPN и ProxyAddresses, который теперь соответствует UPN/входу облачного пользователя.
  • Теперь выполните синхронизацию. Azure AD Connect сопоставит локального пользователя с облачным пользователем и выполнит синхронизацию.

Если вы не можете удалить локальную учетную запись AD на шаге 1, отфильтруйте локального пользователя в Azure AD Connect и синхронизируйте. Это также удалит учетную запись пользователя в Office 365, чтобы вы могли выполнить шаг 2. Затем уберите фильтр перед окончательной синхронизацией.

Ответ или решение

Проблема конфликта UserPrincipalName (UPN) при DirSync Office 365: Решение и рекомендации

Ваша проблема с конфликтацией UserPrincipalName (UPN) в процессе синхронизации (DirSync) Office 365 является распространенной среди администраторов, работающих с гибридной средой, в которой участвуют локальный Active Directory и Azure Active Directory. Рассмотрим последовательность ваших действий и предложим возможные решения.

Последовательность действий, приведшая к конфликту

  1. Создание пользователя в Office 365 с UPN, заканчивающимся на @mydomain.com.
  2. Создание локальной учетной записи в Active Directory с UPN @corp.mydomain.com, что ненароком привело к конфликтам.
  3. Синхронизация с Azure AD, в результате чего оба пользователя стали видимыми в консоли администрирования Office 365, но один из них уже синхронизирован с локальной AD.
  4. Изменение UPN на локальной учетной записи на @mydomain.com, что вызвало ошибку конфликта идентификатора UPN.

Ошибка: конфликт UPN в процессе DirSync

Ошибка, о которой вы упомянули — "We detected a duplicate UserPrincipalName conflict" — возникает, когда при синхронизации Azure AD не удается сопоставить UPN между локальной и облачной версиями учетной записи. Приведем некоторые ключевые моменты для решения данной проблемы.

Шаги по устранению конфликта

  1. Удаление локальной учетной записи:

    • Если это возможно, удалите локальную учетную запись с UPN @corp.mydomain.com. Этот шаг приведет к удалению пользователя в Azure AD при следующей синхронизации.

  2. Восстановление облачной учетной записи:

    • После удаления учетной записи в локальном AD, возможно восстановление облачной учетной записи. Для этого вы можете воспользоваться функцией восстановления в Office 365 (инструкция по восстановлению).

  3. Изменение UPN облачной учетной записи:

    • Измените UPN и основной SMTP-адрес облачной учетной записи на подходящие значения (например, на @mydomain.com).

  4. Очистка ImmutableID у облачной учетной записи:

    • В PowerShell выполните команду: 
      Set-MsolUser -UserPrincipalName <clouduserUPN> -ImmutableID $null
    • Это действие разорвёт связь между локальной и облачной учетными записями.

  5. Создание новой локальной учетной записи:

    • Создайте новую локальную учетную запись с правильным UPN и прокси-адресами, которые теперь должны совпадать с облачной учетной записью.

  6. Синхронизация изменений:

    • Проведите синхронизацию через Azure AD Connect. Теперь Azure AD Connect должен корректно сопоставить новую локальную учетную запись с восстановленной облачной учетной записью.

Дополнительные рекомендации

  • Добавление домена в Office 365: Если у вас до сих пор не добавлен ваш локальный домен (mydomain.com) в Office 365, сделайте это, поскольку отсутствие его может привести к подобным конфликтам.

  • Использование Azure AD Connect: Удостоверьтесь, что Azure AD Connect настроен правильно, и выбраны все необходимые опции для синхронизации.

  • Проверка фильтров в Azure AD Connect: Убедитесь, что вы не применяете фильтры к синхронизации, которые могли бы потенциально блокировать нужных пользователей.

Следуя данным шагам, вы сможете устранить конфликт UPN и наладить корректную синхронизацию между локальным Active Directory и Office 365. Надеюсь, это руководство поможет вам в решении вашей проблемы.

entra-id microsoft-office-365
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности