5
Sync AD doppelte Einträge im AAD
Hallo,
ich hatte schon einmal erfolgreich via Azure AD Connect durchgeführt.
Nachdem ich eine neue AD on premises aufsetzen musste, habe ich die Verzeichnissynchronisierung beendet,
und wollte nun auch mit der neuen AD Domäne ins AAD synchronisieren.
Im AD wurde als alternativer UPN Suffix "meinedomain.de" hinzugefügt.
AD Connect Sync auch ohne Fehler durch.
Leider tauchen nun für meine User jeweils zwei User Accounts im AAD auf, z. B.
Peter Mustermann
UPN: pm@meinedomain.de
Benutzertyp: leer
Verzeichnis synchronisiert: Nein
Quelle: Azure Active Directory
Peter Mustermann
UPN: pm6823@beispiel.onmicrosoft.com
Benutzertyp: Mitglied
Verzeichnis synchronisiert: Ja
Quelle: Windows Server AD
Dummerweise ist der pm@meinedomain.de-Account derjenige, der die Office 365 Lizenz inne hat.
Wie kann ich das wieder zurückbiegen, so dass nur der Account pm@meinedomain.de-Account
der einzige Account für Peter Mustermann ist?
Danke für jeden Ratschlag...
Liebe Grüße,
der Benson
ich hatte schon einmal erfolgreich via Azure AD Connect durchgeführt.
Nachdem ich eine neue AD on premises aufsetzen musste, habe ich die Verzeichnissynchronisierung beendet,
und wollte nun auch mit der neuen AD Domäne ins AAD synchronisieren.
Im AD wurde als alternativer UPN Suffix "meinedomain.de" hinzugefügt.
AD Connect Sync auch ohne Fehler durch.
Leider tauchen nun für meine User jeweils zwei User Accounts im AAD auf, z. B.
Peter Mustermann
UPN: pm@meinedomain.de
Benutzertyp: leer
Verzeichnis synchronisiert: Nein
Quelle: Azure Active Directory
Peter Mustermann
UPN: pm6823@beispiel.onmicrosoft.com
Benutzertyp: Mitglied
Verzeichnis synchronisiert: Ja
Quelle: Windows Server AD
Dummerweise ist der pm@meinedomain.de-Account derjenige, der die Office 365 Lizenz inne hat.
Wie kann ich das wieder zurückbiegen, so dass nur der Account pm@meinedomain.de-Account
der einzige Account für Peter Mustermann ist?
Danke für jeden Ratschlag...
Liebe Grüße,
der Benson
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 616393
Url: https://administrator.de/contentid/616393
Ausgedruckt am: 26.11.2024 um 03:11 Uhr
5 Kommentare
Neuester Kommentar
Du kannst die nicht benötigten Accounts per PowerShell löschen. Anders bekommst du die nicht wieder los.
1
Hi,
die nicht benötigten Accounts habe ich entfernt.
Azure Connect läuft jetzt durch, allerdings erhalte ich nun Fehler "AttributeValueMustBeUnique".
Nach Recherchen (Link) scheint das Problem wohl lösbar zu sein, wenn man den lokalem Anchor dem M365 Konto
per "Set-MsolUser -ImmutableId 'xxxxxxxxx'" hinzufügt.
Habe ich wie folgt gemacht.
Auslesen der aktuellen Immutableids:
Und dann per PS Skript setzen:
Danach wird der Sync neu gestartet. Läuft ohne Fehler.
Im AAD taucht jetzt der Peter Mustermann korrekt auf:
Peter Mustermann
UPN: pm@meinedomain.de
Benutzertyp: Mitglied
Verzeichnis synchronisiert: Ja
Quelle: Windows Server AD
Es sieht jetzt gut aus. Ist das so korrekt gewesen?
Gruß,
Benson
die nicht benötigten Accounts habe ich entfernt.
Azure Connect läuft jetzt durch, allerdings erhalte ich nun Fehler "AttributeValueMustBeUnique".
Nach Recherchen (Link) scheint das Problem wohl lösbar zu sein, wenn man den lokalem Anchor dem M365 Konto
per "Set-MsolUser -ImmutableId 'xxxxxxxxx'" hinzufügt.
Habe ich wie folgt gemacht.
Auslesen der aktuellen Immutableids:
Get-MsolUser | ft UserPrincipalName,immutableid,lastdirsync*Und dann per PS Skript setzen:
Connect-MSOLService
$userName="Peter Mustermann"
$upn=(Get-MsolUser | where {$_.DisplayName -eq $userName}).UserPrincipalName
Set-MsolUser -UserPrincipalName $upn -ImmutableId 'dfdfd8fdfdfdhCffds==' Danach wird der Sync neu gestartet. Läuft ohne Fehler.
Im AAD taucht jetzt der Peter Mustermann korrekt auf:
Peter Mustermann
UPN: pm@meinedomain.de
Benutzertyp: Mitglied
Verzeichnis synchronisiert: Ja
Quelle: Windows Server AD
Es sieht jetzt gut aus. Ist das so korrekt gewesen?
Gruß,
Benson
Ja, alles richtig gemacht. 
1
Ich weiss jetzt nicht, ob es einen Zusammenhang gibt, habe aber noch ein paar User im AAD gesehen, die bei "User type" nichts stehen hatten.
Die anderen User waren "Member".
Mir ist mit
aufgefallen, dass diese User (also ohne 'User type'-Eintrag) schon seit 2012 existieren...
Habe jetzt einfach "Member" gesetzt:
Im AAD tauchen die Kandidaten jetzt korrekt auf.
Hoffe, dass meine Vorgehensweise so okay war. Fall ist geschlossen
bye,
Benson
Die anderen User waren "Member".
Mir ist mit
Get-MSOLUser -All | Where {$_.UserType -eq $null} | Select UserPrincipalName, WhenCreatedHabe jetzt einfach "Member" gesetzt:
Get-MSOLUser -All | Where {$_.UserType -eq $null} | Set-MsolUser -UserType MemberIm AAD tauchen die Kandidaten jetzt korrekt auf.
Hoffe, dass meine Vorgehensweise so okay war. Fall ist geschlossen
bye,
Benson
Ich hatte genau das selbe Problem letztens auch.
Hat etwas Arbeit gekostet aber am Ende war alles ok. Gemacht habe ich es genau wie du und seit dem hab ich keine Probleme mehr. Von daher alles richtig gemacht
Hat etwas Arbeit gekostet aber am Ende war alles ok. Gemacht habe ich es genau wie du und seit dem hab ich keine Probleme mehr. Von daher alles richtig gemacht
