bensonhedges
Goto Top

Sync AD doppelte Einträge im AAD

Hallo,

ich hatte schon einmal erfolgreich via Azure AD Connect durchgeführt.

Nachdem ich eine neue AD on premises aufsetzen musste, habe ich die Verzeichnissynchronisierung beendet,
und wollte nun auch mit der neuen AD Domäne ins AAD synchronisieren.

Im AD wurde als alternativer UPN Suffix "meinedomain.de" hinzugefügt.

AD Connect Sync auch ohne Fehler durch.

Leider tauchen nun für meine User jeweils zwei User Accounts im AAD auf, z. B.

Peter Mustermann
UPN: pm@meinedomain.de
Benutzertyp: leer
Verzeichnis synchronisiert: Nein
Quelle: Azure Active Directory

Peter Mustermann
UPN: pm6823@beispiel.onmicrosoft.com
Benutzertyp: Mitglied
Verzeichnis synchronisiert: Ja
Quelle: Windows Server AD

Dummerweise ist der pm@meinedomain.de-Account derjenige, der die Office 365 Lizenz inne hat.

Wie kann ich das wieder zurückbiegen, so dass nur der Account pm@meinedomain.de-Account
der einzige Account für Peter Mustermann ist?

Danke für jeden Ratschlag...

Liebe Grüße,
der Benson

Content-Key: 616393

Url: https://administrator.de/contentid/616393

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: primary
Lösung primary 25.10.2020 um 21:19:41 Uhr
Goto Top
Du kannst die nicht benötigten Accounts per PowerShell löschen. Anders bekommst du die nicht wieder los.
Mitglied: bensonhedges
bensonhedges 25.10.2020 um 21:37:59 Uhr
Goto Top
Hi,

die nicht benötigten Accounts habe ich entfernt.

Azure Connect läuft jetzt durch, allerdings erhalte ich nun Fehler "AttributeValueMustBeUnique".

Nach Recherchen (Link) scheint das Problem wohl lösbar zu sein, wenn man den lokalem Anchor dem M365 Konto
per "Set-MsolUser -ImmutableId 'xxxxxxxxx'" hinzufügt.

Habe ich wie folgt gemacht.

Auslesen der aktuellen Immutableids:
Get-MsolUser | ft UserPrincipalName,immutableid,lastdirsync*

Und dann per PS Skript setzen:
Connect-MSOLService
$userName="Peter Mustermann"  
$upn=(Get-MsolUser | where {$_.DisplayName -eq $userName}).UserPrincipalName
Set-MsolUser -UserPrincipalName $upn -ImmutableId 'dfdfd8fdfdfdhCffds=='  

Danach wird der Sync neu gestartet. Läuft ohne Fehler.
Im AAD taucht jetzt der Peter Mustermann korrekt auf:

Peter Mustermann
UPN: pm@meinedomain.de
Benutzertyp: Mitglied
Verzeichnis synchronisiert: Ja
Quelle: Windows Server AD

Es sieht jetzt gut aus. Ist das so korrekt gewesen?

Gruß,
Benson
Mitglied: primary
Lösung primary 25.10.2020 um 22:19:50 Uhr
Goto Top
Ja, alles richtig gemacht. face-smile
Mitglied: bensonhedges
bensonhedges 25.10.2020 um 22:23:08 Uhr
Goto Top
Ich weiss jetzt nicht, ob es einen Zusammenhang gibt, habe aber noch ein paar User im AAD gesehen, die bei "User type" nichts stehen hatten.
Die anderen User waren "Member".

Mir ist mit
Get-MSOLUser -All | Where {$_.UserType -eq $null} | Select UserPrincipalName, WhenCreated
aufgefallen, dass diese User (also ohne 'User type'-Eintrag) schon seit 2012 existieren...

Habe jetzt einfach "Member" gesetzt:
Get-MSOLUser -All | Where {$_.UserType -eq $null} | Set-MsolUser -UserType Member

Im AAD tauchen die Kandidaten jetzt korrekt auf.

Hoffe, dass meine Vorgehensweise so okay war. Fall ist geschlossen face-smile

bye,
Benson
Mitglied: primary
Lösung primary 25.10.2020 um 22:28:58 Uhr
Goto Top
Ich hatte genau das selbe Problem letztens auch.

Hat etwas Arbeit gekostet aber am Ende war alles ok. Gemacht habe ich es genau wie du und seit dem hab ich keine Probleme mehr. Von daher alles richtig gemacht face-smile