"Duplicate Attribute Error" beim syncen eines On Premises AD nach Azure AD

Question

Hallo,

folgendes Szenario:
Es gibt ein On Premises AD und das Azure AD in Office 365 mit Exchange Postfächern.

Nun soll das On Premises AD mit dem Azure AD synchronisiert werden, damit die Passwörter bei der Anmeldung auf einem Windows PC das selbe ist, wie beim Anmelden beim Postfach.

Soweit so gut, Azure AD Connect eingerichtet, klappt auch bei allen Usern super, ausser bei zweien.

Hier wird mir der Synchronisierungsfehler "Duplicate Attribute Error" angezeigt mit Error Type: "AttributeValueMustBeUnique"
Darunter erscheint folgende Fehlermeldung:
"Unable to update this object because the ProxyAddresses value SMTP:xx@xx.xx associated with this object may already be associated with another object in your local directory services. To resolve this conflict, first determine which object should be using the conflicting value. Then, update or remove the conflicting value from the other object(s)."

Sobald ich auf Troubleshooting klicke, wird mir angezeigt:
"To fix this issue you need to modify or remove the conflicting attribute on one of the objects."

Das habe ich getan in allen mir erdenklichen Arten.
Dazu habe ich auch bereits die mir vorgeschlagene Doku ( https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-health-diagnose-sync-errors ) durchgelesen, jedoch ohne Erfolg.

Dann gäbe es da noch den Fix vom Troubleshooting indem ich "Do both these accounts belong to the same user?" mit Yes bestätige und Apply Fix klicke. (Hier wird mir der Account im On premises AD und der im Azure AD angezeigt, welche ich auch miteinander verbinden möchte. Der Fix beinhaltet, dass der Source Anchor gesetzt wird.)
Leider funktioniert auch dieser Weg nicht und mir wird eine weitere Fehlermeldung angezeigt:
"User with conflicting attribute is soft deleted in Azure Active Directory. Ensure the user is hard deleted before retrying.<a href="https://go.microsoft.com/fwlink/?linkid=2007018" target="_blank">Read More</a>"

Leider ist es nicht möglich den Azure AD User zu löschen, da sonst das Postfach auch weg wäre wenn ich das richtig verstehe.

An einer Stelle wurde auch ein Artikel verlinkt indem das IdFix Tool vorgeschlagen wird. Das Tool liefert mir allerdings keinen Eintrag.

Ich hoffe ich habe ausreichend Details geliefert und mir kann jemand dabei helfen die Synchronisierungsfehler zu beheben.

Ich bedanke mich schon vorab für hilfreiche Antworten.
Dankeschön

Answer 1

Hallo Bauherr,

Du kannst überprüfen, ob die ObjectGUID in On Premises AD mit der unveränderlichen ID in Office 365 für den entsprechenden Benutzer übereinstimmt. Dieses Thema wird hier diskutiert:
AD to Office 365 Sync Errors

Gruß,

Ivan Dragov

---

Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Answer 2

Schau mal ob Du die doppelte Email Adresse per adsiedit ausfindig machen kannst.

Welches Attribut meckert er denn an?
>>Unable to update this object because the ProxyAddresses value SMTP:xx@xx.xx
associated with this object may already be associated with another object in your local directory services.

Answer 3

Hallo,

vielen Dank für die Antwort. Ich habe mir das Thema und mehrere verlinkte Artikel angesehen und versucht es damit zu reparieren - leider ohne Erfolg.

Laut
Get-MSOLUser -UserPrincipalName xx@xx.xx | fl UserPrincipalName, ImmutableID
wurde mir folgendes Ergebnis angezeigt:
UserPrincipalName : xx@xx.xx
ImmutableId       :

Nachdem die ImmutableID also nicht mit der ObjectGUID aus dem On Premises AD übereinstimmt, habe ich die ObjectGUID eruiert:
ldifde -f export.txt -r “(Userprincipalname=xx@xx.xx)” -l “objectGuid, userPrincipalName”
mit dem Ergebnis:
dn: CN=xx,OU=Department,OU=Site,DC=domain,DC=local
changetype: add
objectGUID:: xxxxxxxxxxxxxxxxxxxxxxxx
userPrincipalName: xx@xx.xx

Und versucht die ImmutableID entsprechend zu setzen:
Set-MSOLUser -UserPrincipalName xx@xx.xx -ImmutableID xxxxxxxxxxxxxxxxxxxxxxxx
Daraufhin bekomme ich als Ergenis allerdings eine Fehlermeldung:
Set-MSOLUser : Uniqueness violation. Property: SourceAnchor.
In Zeile:1 Zeichen:1
+ Set-MSOLUser -UserPrincipalName xx@xx.xx -ImmutableID G ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [Set-MsolUser], MicrosoftOnlineException
    + FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.UniquenessValidationException,Microsoft.Online.Administration.Automation.SetUser

Habe auch geprüft ob ein anderer Account mit der ObjectGUID aus dem On Premises AD im Azure AD vorhanden ist
Get-MSOLUser -All | where {$_.ImmutableID -eq "xxxxxxxxxxxxxxxxxxxxxxxx"}
Allerdings ohne Ergebnis

Weitere Informationen:
proxyAddresses im On Premises AD auf "<nicht festgelegt>"; E-Mail Feld befüllt mit SMTP Adresse

Verwendete Anleitungen/Seiten:
https://support.microsoft.com/en-us/help/2643629/one-or-more-objects-don-t-sync-when-the-azure-active-directory-sync-to

Bin für weitere Vorschläge offen und dankbar.

Answer 4

Wenn Du mit Adsiedit deine On Premises AD nach der Mailadress durchsuchst,
findest Du sie dann mehr als ein mal?

Wenn Ja - wo?

Answer 5

Moin,

siehe https://docs.microsoft.com/de-de/office365/enterprise/install-and-run-idfix

---

Evgenij Smirnov

http://evgenij.smirnov.de

Answer 6

@Joerg_Hanebuth
Vielen Dank für deine Antwort.
Ich konnte leider nicht herausfinden, wie ich im Adsiedit direkt nach einer Mailadresse suchen kann (auch eine Internetrecherche hat nichts ergeben).
Via Suche in Active Directory-Benutzer und -Computer konnte ich allerdings keinen zweiten Account finden, der die Mailadresse eingetragen hat.

@Evgenij Smirnov
Danke für deine Antwort.
Wie schon im 1. Beitrag erwähnt zeigt mir das IDFix-Tool keine Fehler an.

Answer 7

Bisher keine Neuigkeiten von mir, Fehler sind nach wie vor vorhanden

Answer 8

Habe nun Neuigkeiten:

Bei einem User habe ich das Problem entdeckt. Es war ein gelöschter Benutzer im Azure AD mit der selben Mail.
-> Endgültig gelöscht und schon ging der Sync

Beim zweiten User habe ich die von Microsoft vorgeschlagene Problembehandlung durchgeführt und den User im Azure AD nach Backup des Postfachs endgültig gelöscht.

Leider wurde der Benutzer nicht, trotz mehrmaligem manuellen Starten des Syncs, ins Azure AD gesynct.
Ich habe den Benutzer nun neu im Azure AD angelegt, dennoch fand kein Sync statt, sondern es gibt eine neue andere Fehlermeldung:
The object failed synchronization. For more information, please see the error details. If the problem continues and cannot be fixed, please contact Microsoft Support.

Error Type

DirectoryServiceException

Ich hoffe, dass mir bei diesem Fehler nun jemand helfen kann.

edit:
Scheinbar ist nun noch ein Sync durchgelaufen. Es ist wieder der Fehler vom 1. Post

edit:
Scheinbar noch einen Sync später ist der Error weg. Alle User sind nun gesynct :)
- Closed -