存在しないアカウントでのActive Directory ADSyncエラー
ローカルActive Directoryに同じProxyAddressプロパティを持つ2つのオブジェクトが含まれているという、奇妙なADSyncエラーがあります。アカウントの1つはusername@domain.tld(これは正しい)で、2つ目はusername@ domain.onmicrosoft.com(私の意見ではADには存在しません)-DirSyncエラーレポートによると、どちらにも同じ競合するProxyAddressが含まれていますusername@ domain.tld。 AzureADは、両方のアカウントがローカルのActive Directoryからソースを取得していることを示しています。ポイントは、誰かが数年前に* onmicrosoft.comアカウントを作成してoffice365をテストできるということです。
これまでに2つのことを確認しました。
- ローカルADで同じプロキシアドレスをテストする小さなPowerShellスクリプト:
Get-ADUser -Filter * -Properties proxyAddresses | foreach {
foreach($address in $_.proxyAddresses) {
if ($address -eq 'smtp:[email protected]') {
Write-Host $address
}
}
}
- 競合するアカウントの不変IDを確認しています:
$user = Get-ADUser legit_account
$immutableid = [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())
$immutableid #shows the same as legit account in DirSync report
$badImmutableID = 'base64 copied from bad account DirSync error report=='
$users = get-aduser -Filter *
foreach ($usr in $users) {
$currImmutableID = [System.Convert]::ToBase64String($usr.ObjectGUID.tobytearray())
if ($currImmutableID -eq $badImmutableID) {
$usr
}
}
このスクリプトは、不正なimmutableIDを含む出力を提供しません(ただし、他のIDでは動作します)。
私は実際にこの時点で行き詰まっています-AzureADでは、競合を解決するために悪いアカウントを削除させないため、そのようなアカウントがない間はローカルADで解決する必要があります。どんなアイデアでも大歓迎です。
その悪いアカウントを削除する前に、AD同期を無効にする必要があります。
ステップ1– Windows PowerShell用のAzure Active Directoryモジュールをインストールします
Install-Module -Name MSOnline
Install-Module -Name AzureAD
ステップ2– Azure ADに接続します
Connect-MsolService
ステップ3–ディレクトリ同期を無効にします
Set-MsolDirSyncEnabled –EnableDirSync $false
ステップ4–ディレクトリ同期ステータスの確認
(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
Falseを返すまで定期的にこのコマンドレットを実行し続け、次のステップに進みます。この期間中、Azure ADは使用できません。
ステップ5–孤立したオブジェクトを削除します
Remove-MsolUser -UserPrincipalName [email protected]
ステップ6–ディレクトリ同期を有効にします
Set-MsolDirSyncEnabled -EnableDirSync $true
詳細情報: Azure Active Directory Syncツールを介して同期されたオブジェクトを管理または削除することはできません
編集:-警告:Cyrill Uによって指摘されているように、同期を再度有効にすると、最大72時間かかる可能性があるため、この前に考慮する必要があります手順。
詳細:Office 365、Azure、またはIntuneのディレクトリ同期はアクティブ化または非アクティブ化できません