Edvvde 7 Geschrieben 18. Dezember 2019 Melden Teilen Geschrieben 18. Dezember 2019 Hallo Zusammen, folgendes Szenario: Vor dem Hardwarecrash (Backup nicht vorhanden) gab es eine Hybride Lösung von Azure AD und lokaler AD, also in Azure und Office 365 wurden die User gesynct. Hardwareausfall, lokaler Totalverlust. Office 365 und Azure natürlich weiterhin vorhanden. Dummerweise wurde in der Zwischenzeit die Hardware ersetzt, lokal eine neue Domäne eingerichtet mit allen Accounts. Die Azure AD meckerte natürlich jetzt wegen fehlender Sync seit einigen Tagen. User in Office 365 und in Azure AD lassen sich nicht löschen etc. da ja local synced. Wie würder ihr hier vorgehen? Gibt es die Möglichkeit Azure AD zu deaktivieren ohne die User in Office 365 zu verlieren? Wie sieht ggf. die Möglichkeit einer Zusammenführung aus zwischen der lokalen AD und der Azure AD natürlich ohne Verlust der User in Office 365 und deren Daten? Danke euch vorab! LG Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 18. Dezember 2019 Melden Teilen Geschrieben 18. Dezember 2019 (bearbeitet) Abend. Azure AD Sync so deaktivieren:https://docs.microsoft.com/de-de/office365/enterprise/turn-off-directory-synchronization Wenn alles durch ist, neu einrichten. Darauf achten das lokal in der AD die Benutzer das Attribut proxyAddresses richtig gesetzt haben (sprich die Mail dort mit office365 übereinstimmt). bearbeitet 18. Dezember 2019 von falkebo 1 Zitieren Link zu diesem Kommentar
Edvvde 7 Geschrieben 29. Dezember 2019 Autor Melden Teilen Geschrieben 29. Dezember 2019 Am 19.12.2019 um 00:15 schrieb falkebo: Abend. Azure AD Sync so deaktivieren:https://docs.microsoft.com/de-de/office365/enterprise/turn-off-directory-synchronization Wenn alles durch ist, neu einrichten. Darauf achten das lokal in der AD die Benutzer das Attribut proxyAddresses richtig gesetzt haben (sprich die Mail dort mit office365 übereinstimmt). Bin nun etwas weitergegekommen. Folgendes habe ich gemacht: - Mit Azure via Powershell verbunden: Connect-MsolService) - Azure AD Sync geprüft, gab True zurück: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled - Azure AD Sync deaktiviert: Set-MsolDirSyncEnabled -EnableDirSync $false - Azure AD Sync geprüft, gab False zurück: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled Nach wenigen Minuten verschwanden dann im Admin Portal das Zeichen für OnPremise AD sync und es waren nur noch Cloud Benutzer, welche sich auch wieder editieren ließen, schließlich war ja kein Sync mehr aktiv. - Powershell gab leere LastDirSyncTime spalte zurück: Get-MsolUser | ft UserPrincipalName,immutableid,LastDirSyncTime Nun wollte ich die User ja wieder syncen. Dafür habe ich im lokalen AD bei allen Usern das Attribut proxyAdresses gesetzt mit der jeweiligen E-Mail Adresse. Zusätzlich habe ich, da die lokalen User ja über keinen Wert im Attribut ms-ds-consistencyGUID verfügten folgendes gemacht um diese auch bei den Azure Usern zu löschen: - Azure AD Powershell: Set-MsolUser ` -UserPrincipalName testuser@mailadresse.de ` -ImmutableId "$null" - Powershell gab leere immutableid Spalte zurück: Get-MsolUser | ft UserPrincipalName,immutableid,LastDirSyncTime Nun wollte ich den Sync wieder starten also: - Powershell: Set-MsolDirSyncEnabled -EnableDirSync $true - Azure AD Sync geprüft, gab True zurück: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled Schaue ich nun jedoch im Azure Sync Service Tool für meinen Testuser, erhalte ich dort einen Error: - Error: AttributeValueMustBeUnique "Das Objekt kann nicht aktualisiert werden, weil die folgenden dem Objekt zugeordneten Attribute Werte aufweisen, die möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: "UserPrincipalName testuser@mailadresse.de;". Korrigieren oder entfernen Sie die doppelt vorhandenen Werte in Ihrem lokalen Verzeichnis." Es findet auch kein Sync statt. Nun wollte ich noch eine Möglichkeit versuchen, Nämlich die zuvor von mir im Azure AD gelöschte (aber gesicherte) immutableid welche dort als BASE64 codiertes Feld hinterlegt ist umzuwandeln in einen HEX Wert um diesen dem User im lokalen AD im Attribut ms-ds-consistencyGUID zuzuweisen. Allerdings bekomme ich den Sync nicht mehr gestoppt ... - Azure AD Sync deaktivieren bringt Fehlermeldung: Set-MsolDirSyncEnabled -EnableDirSync $false --> Set-MsolDirSyncEnabled : You cannot turn off Active Directory synchronization. Noch jemand ne Idee, wie ich die neu angelegten lokalen AD User mit den Azure AD Usern gesynct bekomme -./ ? Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 29. Dezember 2019 Melden Teilen Geschrieben 29. Dezember 2019 Wie ist jetzt der aktuelle Stand? Ist der Sync aktiv, läuft soweit und hat nur noch mit manchen Benutzern Sync Fehler? Oder wird überhaupt nix mehr gesynct und lässt sich auch nicht mehr abstellen? Zitieren Link zu diesem Kommentar
Edvvde 7 Geschrieben 29. Dezember 2019 Autor Melden Teilen Geschrieben 29. Dezember 2019 (bearbeitet) vor 44 Minuten schrieb falkebo: Wie ist jetzt der aktuelle Stand? Ist der Sync aktiv, läuft soweit und hat nur noch mit manchen Benutzern Sync Fehler? Oder wird überhaupt nix mehr gesynct und lässt sich auch nicht mehr abstellen? Der Sync läuft, lässt sich zwar nicht abstellen (vielleicht gibt es hier eine Wartezeit?!) Aber der Sync läuft. Er synct halt nicht weil er ein Duplikat meldet, das ist auch in Azure zu sehen: UserPrincipalName Error Type: AttributeValueMustBeUnique Unable to update this object because the UserPrincipalName value ....... associated with this object may already be associated with another object in your local directory services. To resolve this conflict, first determine which object should be using the conflicting value. Then, update or remove the conflicting value from the other object(s). Und das ist ja gewollt ... er soll die beiden ja miteinander verknüpfen, logisch das es ein Duplikat gibt. //Okay wie vermutet, entweder gibt es eine Wartezeit oder irgend ein Prozess lief noch, jetzt ließ sich der Sync auch wieder anhalten. Bleibt also nur noch die Frage, wie die OnPremise und Azure Duplikate zusammengeführt werden können ... bearbeitet 29. Dezember 2019 von Edvvde Zitieren Link zu diesem Kommentar
falkebo 21 Geschrieben 30. Dezember 2019 Melden Teilen Geschrieben 30. Dezember 2019 Etwas mehr Infos wären nicht schlecht. Welcher Konflikt besteht genau mit welchen Usern. Screenshots, Azure AD Logs, etc. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.