Como resolver alguns problemas comuns de sincronização no Azure AD Connect

  • Article

Estou fazendo a revisão de um ambiente Office 365 de um cliente Microsoft e me deparei com alguns erros bastante comuns no Azure AD Connect, que não tinha sido investigado mais a fundo.

1) Erro de sync de algum objeto com valor inválido em algum atributo.

Algumas aplicações (ex. SAP e Squid) precisam alterar o UPN do seu usuário de serviço para um formato não aceito pelo Office 365. Nos casos que já peguei o formato do UPN é algo como: <“host/username@domínio.com.br>”. Como este formato não é aceito no Azure AD a cada sincronização um novo erro é gerado, como abaixo:

image

Como este tipo de objeto não precisa ser sincronizado com Office 365, a recomendação é criar um filtro de objeto no Azure AD Connect.

No DirSync era fácil de fazer, bastava criar um novo filtro no Management Agent (MA) na opção “Configure Connector Filter”, porém essa opção não está mais disponível no MA da Azure AD Connect. Portanto para criar um filtro de um objeto no Azure AD Connect use os passos abaixo:

a) Abra o Synchonization Rules Editor a partir do botão Windows

b) Clique em Add New Rule e crie um nova regra, conforme abaixo:

image

image

clip_image002

image

Obs.: O atributo cloudFiltered deve ser definido igual a True

Ao final clique no botão Add para adicionar a o filtro.

Voltando a Synchronization Service Manager rode um Full Import & Full Synchronization do MA que foi modificado.

Esse fitro faz com o que o usuário cujo Display name é igual a “SquidGuard” não seja sincronizado com Office 365 e automaticamente não dê mais erro na sincronização.

2) Warning export-change-not-reimported

Durante a sincronização Delta Import do Azure AD aparece a mensagem (warnings) abaixo para alguns grupos:

image 

Verificando os grupos percebi que todos estes grupos tinham como membros alguma conta de computador que é Domain Controller (HUNECKE-AD01 ou HUNECKE-AD02), e como as contas de DCs não são sincrinizados com Office 365, é foi necessário criar um filtro para excluir essas contas de computador, conforme abaixo:

a) Abra o Synchonization Rules Editor a partir do botão Windows

b) Clique em Add New Rule e crie uma nova regra, conforme abaixo:

image

image

Se você criar condições no mesmo grupo, todas as regras deverão ser Verdadeiras
Para excluir 2 ou mais contas de computador, é necessário criar um grupo para cada conta de computador.

clip_image002

image

Obs.: O atributo cloudFiltered deve ser definido igual a True

3) Required attribute cloudanchor is missing

Durante a sincronização Export do Azure AD aparece a mensagem abaixo para algum usuário:

image

Abrindo os detalhes do erro chegamos à mensagem:

image

Essa mensagem geralmente aparece para usuários recém excluídos no Office 365 Portal ou PowerShell e no Office 365 o usuário ainda está na lixeira Recycle Bin). Para resolver exclua o usuário e depois exclua da lixeira usando os seguintes comandos PowerShell:

Remove-MsolUser -UserPrincipalName user@yourdomain.com
Remove-MsolUser -UserPrincipalName user@yourdomain.com –RemoveFromRecycleBin

Após a nova sincronização a conta do usuário será criada novamente no Office 365.

Rode um Full Sync através do comando: C:\Program Files\Microsoft Azure AD Sync\Bin\ DirectorySyncClientCmd.exe initial

4) Stopped-server-down

Durante a sincronização Export do Azure AD aparece a mensagem abaixo:

Stopped-server-down message

Um das causas deste erro pode ser a restrição de execução de usuário em massa, ou seja, o comando Enable-ADSyncExportDeletionThreshold. foi executado.

Para resolver, é necessário desativar essa prevenção usando o comando: Disable-ADSyncExportDeletionThreshold,e rodar novamente o Export do MA do Azure AD.

 

Depois destes ajustes, com filtros por usuário e por conta de computador, o Azure AD Connect está sincronizado 100%, sem qualquer erro ou mesmo warning, como abaixo:

image

Source: https://msdn.microsoft.com/en-us/library/azure/dn801051.aspx