3 votos

Active Directory ADSync error con la inexistente cuenta

Tengo un extraño ADSync de error que dice que mi local de active directory contiene dos objetos con la misma propiedad ProxyAddress. Una de las cuentas es el nombre de usuario@dominio.tld (que es correcto) y el segundo es el nombre de usuario@domain.onmicrosoft.com (que es inexistente en AD en mi opinión) - y, de acuerdo a errores de sincronización de directorios informe, ambos contienen el mismo conflicto ProxyAddress nombre de usuario@dominio.tld. AzureAD muestra que tanto las cuentas de origen de Active Directory local. El punto es que alguien podría crear *onmicrosoft.com cuenta años atrás, a prueba de office365.

He comprobado dos cosas hasta ahora:

  1. Pequeño script de powershell para la prueba de la misma proxyaddress en los ANUNCIOS locales:
Get-ADUser -Filter * -Properties proxyAddresses | foreach {
    foreach($address in $_.proxyAddresses) {
        if ($address -eq 'smtp:username@domain.tld') {
            Write-Host $address
        }
    }
 }
  1. La comprobación de immutableIDs de cuentas en conflicto:
$user = Get-ADUser legit_account
$immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())
$immutableid #shows the same as legit account in DirSync report

$badImmutableID = 'base64 copied from bad account DirSync error report=='


$users = get-aduser -Filter *
foreach ($usr in $users) {
    $currImmutableID = [System.Convert]::ToBase64String($usr.ObjectGUID.tobytearray())
    if ($currImmutableID -eq $badImmutableID) {
        $usr
    }
}

Esta secuencia de comandos no ofrece ninguna salida con mala immutableID (pero trabaja con otros).

De hecho, estoy atascado en este punto - AzureAD no me deja eliminar el mal de la cuenta para resolver el conflicto diciendo que tengo que resolver en los ANUNCIOS locales, mientras que no hay tal cuenta. Cualquier idea será muy apreciada.

1voto

Gabriel Talavera Puntos 721

Es necesario deshabilitar la sincronización con active directory antes de borrar esa mala cuenta,

Paso 1 – Instalar el Azure Active Directory Módulo para Windows PowerShell

Install-Module -Name MSOnline
Install-Module -Name AzureAD

Paso 2 – conexión a Azure AD

Connect-MsolService

Paso 3 – Deshabilitar La Sincronización De Directorios

Set-MsolDirSyncEnabled –EnableDirSync $false

Paso 4 – Verificación De La Sincronización De Directorios De Estado

(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

Continuar para ejecutar este cmdlet periódicamente hasta que se devuelve False y, a continuación, vaya al paso siguiente. Tenga en cuenta que Azure AD no se podrá usar durante este período de tiempo.

Paso 5 – Eliminar el objeto huérfano

Remove-MsolUser -UserPrincipalName user@domain.onmicrosoft.com

Paso 6 – Activar La Sincronización De Directorios

Set-MsolDirSyncEnabled -EnableDirSync $true

Más info aquí: Usted no puede controlar o eliminar los objetos que se sincroniza a través de la Azure Active Directory Sync

Edit: - ADVERTENCIA: Como se ha señalado por Cyrill U, permitiendo la sincronización de nuevo puede tardar hasta 72 horas, por lo que ha de tenerse en cuenta antes de este procedimiento.

Más info: la sincronización de Directorios para Office 365, Azure, o Intune no puede ser activado o desactivado

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: