Jump to content

Azure AD Sync Error - SID doppelt vergeben


Defenders

Recommended Posts

Hallo,

wir haben folgendes Problem, vor ca. 6 Jahren haben wir fünf Windows 2012 R2 Server eingerichtet und um Zeit zu sparen wurden das System geklont.

Die Server hatten alle keine Verbindung und somit gab es auch keine Probleme...

Nun haben wir auf allen 5 Servern im AD ca. 1500 User, die wir mit Azure AD Connect in Microsoft365 importieren und synchronisieren wollen.

Leider kommt es bei einigen Usern zu einem SyncError:

 

Error Type: AttributeValueMustBeUnique

Unable to update this object because the OnPremiseSecurityIdentifier value System.Byte[] associated with this object may already be associated with another object in your local directory services.

 

Durch das "Klonen" der Server gibt es nun leider User (ca. 150 Stück), die die gleiche SID haben und somit können diese nicht synchronisiert/importiert werden.

Wie kann ich die Synchronisation über ein anderes Attribut also quasi nicht über die SID (OnPremiseSecurityIdentifier) im Azure AD Connect einstellen?

Ich habe schon das Azure AD Connect deinstalliert und bei der Neuinstallation anstatt der ObjectGUID ein anderes Attribut gewählt, leider hat das nichts gebracht?!

 

Kann da Jemand helfen?

 

Danke, VG Thomas

 

 

   

Link to post

Hey Defenders,

 

soweit ich weiß wird die SID immer benötigt, genau aus deinem genannten Grund, da die SID nun einmal die Benutzer im AD verankert.

Du musst wohl per Powershell Hand anlegen und die Attribute ausgleichen/angleichen.

 

##

 

Kommt der Fehler bei allen Postfächern?

 


Grüße

Phil

 

 

Edited by Gerber
Link to post
vor 4 Minuten schrieb NorbertFe:

Total OT: Schönes BEispiel für "so macht man das nicht", weil es einem _immer_ irgendwann auf den Fuß fällt.

Da muss ich NorbertFe leider Recht geben. :smile2:...

 

vor 5 Minuten schrieb Defenders:

Der Fehler kommt nur bei den Postfächern wo die SID nachweislich doppelt vergeben ist.

Welches Attribut müssen wir dann nachbessern, wir haben schon diverse Versuche gestartet...

 

Na dann musst du dir mal die Logs vom AzureAD Sync genau anschauen und nachsehen was er anmeckert.
Es gibt einige Fehler welche unter diese Fehlermeldung fallen.


Im NOrmalfall solltest du mit einem Hard Match klarkommen:

 

https://docs.microsoft.com/de-de/archive/blogs/praveenkumar/how-to-do-hard-match-in-dirsync

und hier:
 

https://docs.microsoft.com/de-de/archive/blogs/praveenkumar/how-to-do-hard-match-part-2

Edited by Gerber
  • Thanks 2
Link to post

Hallo,

ich kann nun die "Immutable ID" (source anchor) des CloudUser temporär anpassen und dann wird der User angelegt, aber spätestens bei der nächsten Synchronisation

bekommen ich wieder ein SyncError, da er ja wieder die alten Daten verwendet. Ich müsste auf beiden Seiten eine Anpassung machen, was ja nicht geht.

Oder habe ich da einen Denkfehler?

VG

Link to post

Hi,

 

naja ich muss leider sagen, dass du mit den Informationen ziemlich sparsam umgehst.

Vllt mal ein wenig mehr Infos:

 

- Handelt es sich um komplett neue Benutzer

- Benutzer bereits in M365 angelegt

- Was hast du jetzt gemacht?

 

Etc etc

 

Edit:

Was sagt denn der Azure Active Directory Connect Health im Azure AD?

 

 

Edited by Gerber
Link to post

Ich würde an deiner Stelle:

1. Entweder den MS Support bemühen

2. Die 150 Nutzer halt "neu anlegen" lokal mit allen Schmerzen die das bereitet

3. weiterprobieren und auf die nächsten zu erwartenden Probleme bei sowas warten.

 

Die 4. Variante schreib ich lieber nicht hin, sonst steinigst du mich gleich.

 

Bye

Norbert

Link to post

Ein kurzes Edit:

 

Waren die Benutzer schon einmal mit dem Azure AD Synchronisiert?

Wurden bei den lokalen Benutzern welche einen Fehler verursachen lokal etwas geändert?

 

Eventuell kannst du ja wie oben beschrieben nochmals die genaue Fehlermeldung posten und beschreiben was du in welcher Reihenfolge gemacht hast.

Aus meiner Erfahrung kommt der Fehler "AttributeValueMustBeUnique" am häufigsten, wenn zwei Objekte mit verschiedenen Source Anchors irgendwo den gleichen Wert im Attribut haben.
z.B. proxyAdress oder UserPrincipalName.

Ebenso können gleiche Aliase zu Problemen führen.

 

Ich würde ebenfalls einmal das IdFix Tool in deiner Umgebung laufen lassen um solche Fehler zu finden. Diese hatte ich vergesse dir mit an die Hand zu geben.

 

Grüße

Phil

 

Link to post

Es läuft aktuell auf jedem der 5 Server eine Synchronisation (Azure AD Connect), die in ein Azure AD geschrieben wird.
Im Azure AD sind ca. 4000 User gelistet, die fehlerfrei laufen. Täglich wird alle 6 Stunden synchronisert...

Das Azure AD Connect ist auf allen 5 Servern identisch konfiguriert und der Source Anchors ist die "ObjectGUID".

Um keinen weiteren Fehler zu machen habe ich jetzt ein Testsystem aufgesetzt (ein geklonter Server, quasi Server Nr. 6) der identisch zu den anderen 5 Servern ist. Hier habe ich 20 TestUser angelegt und diese nun auch über AzureAD Connect synchronisiert. Von den 20 TestUsern konnten 16 problemlos angelegt werden und 4 haben die Fehlermeldung "AttributeValueMustBeUnique". Was ich schon vermutet hatte, bei der Überprüfung der User stellte sich heraus, das sie die gleiche SID mit einem der 4000 User im Azure AD aufweisen.

So der aktuelle Stand...

Nun hatte ich ja dank deiner Idee die "Immutable ID" (source anchor) des CloudUser temporär angepasst und die 4 TestUser wurden
auch importiert.
Leider klappt das nur einmal, sobald dann nach 6 Stunden wieder synchronisiert wird sind die Fehler wieder da.

 

VG Thomas

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...