ADユーザーの移行について

Question

同じO365テナントに二台のADサーバーAD1、AD2がいます、

二台ともWindowsServer2016です、

それぞれのドメインがdomain1.com,domain2.comとします。

お互いに信頼関係を結んでおります、一意属性にmS-DS-ConsistencyGuidと設定しています。

AADCはAD1と同居しています。

AD1の同期ユーザーをAD2に移行します。

想定したテスト手順

①AD1にuser1@domain1.comを新規作成

②同期を二回実施（mS-DS-ConsistencyGuid属性が書き戻されることを確認）

③user1を同期対象外OUに移動

④同期実施、O365上にuser1が削除済みのユーザーになることを確認

⑤AD2に新規でuser1@domain2.comを作成

mS-DS-ConsistencyGuid属性に②で書き戻される値を入れる。

⑥同時を実施、O365側にユーザーがuser1@domain2.comとして復元されることを確認する。

現状手順⑥のところにuser1が削除されるまま、user1@domain2.comとして復元されないですが、

本現象についてご見解をいただけませんでしょうか？

Answer 1

チャブーンです。

この件ですが、まずトピックとしてActive Directoryはほぼ無関係で、Azure AD ConnectとAzureテナントの話しですので、Azureフォーラムにスレッド移動していただくことをお奨めします。

より適切な回答が得られる可能性が高まること、後日他の方が回答を見つけやすくなるといったメリットがあるためです。よろしければ、後ほどこちらでスレッド移動を行わせていただきます。

答えのほうですが、したの資料にある、AAD ConnectでサポートされるAzureテナントモデルを見た限り、いったん削除されたmS-DS-ConsistencyGuid属性の値を他のオンプレユーザー直接書き戻す(つまり再利用)するモデルは、サポートされていない可能性が高いように思います。完全一意の属性としてこの情報の直接移行は無理なのではないでしょうか。

https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/plan-connect-topologies

うえの情報にもあるように、フォレスト間の信頼を結んだうえ、他の属性(たとえばメールアドレス等)でユーザーの紐づけを行う方法になるように見受けられます。

追記:本スレッドですが、Azureフォーラムに移動いたしました。

---

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

Answer 2

チャブーン様

ご確認ありがとうございます。

大変参考になりました。

お手数をかけしますが、

質問をAzureフォーラムに移動していただければたすかります。

Answer 3

自己解決です、

削除済みなってユーザー復元されない原因分かりました、

同期ルールにて対象外ルールを適用する場合、

ドメイン A のコネクター スペースに情報が残っている状態で、ドメイン B から同じ ms-DS-ConsistencyGUID のオブジェクトを同期すると、ソースアンカーが重複するため正常に同期を行えません。

ですので、ドメインA（移行元）の対象ユーザーを完全に削除すれば問題なく復元できました。

※同期対象外OUに移動するやり方もありました。