Wie synchronisiert man Office 365- und lokale AD-Konten in einer Hybridkonfiguration

Sobald Sie in Ihrem Unternehmen eine Hybridkonfiguration abgeschlossen haben, stellt sich heraus, dass die Aufgabe noch nicht abgehackt werden kann. Nach einer kurzen Überprüfung, ob der Hybrid korrekt eingerichtet ist, bemerken Sie, dass einige der Benutzer nicht richtig synchronisiert sind. Ist das der Fall, müssen Sie einige zusätzliche Anpassungen vornehmen. Wenn Sie während der Synchronisierung zu einem Hindernis gekommen sind, ist das Problem wahrscheinlich auf die Benutzersynchronisierung zwischen lokalem Active Directory und Azure AD zurückzuführen. Häufige Ursachen dafür sind:

  • Fehlende Rechte auf Organisationseinheiten (Organizational Units – OU) oder AD-Objekte (Benutzer, Gruppen oder Computer) für ein von Azure AD Connect (AAD Connect) verwendetes Dienstkonto
  • Unpassender Umfang von Objekten, die mit Office 365 synchronisiert wurden. Mit anderen Worten, eine Organisationseinheit, die ein bestimmtes Benutzerobjekt, eine Gruppe oder einen Computer enthält, wurde im AAD Connect-Konfigurationsassistenten möglicherweise nicht ausgewählt.

Diese Probleme können auftreten, wenn Sie die Synchronisierung von einem lokalen AD mit Office 365 ausführen. Dies kann jedoch auch umgekehrt passieren, wenn Sie die Synchronisation von Office 365 mit einem lokalen AD oder in beide Richtungen ausführen. Sehen Sie sich die gängigsten Szenarien an:

Dieser Artikel zeigt Ihnen, wie Sie diese Situationen in einer Umgebung mit Hybridkonfiguration und mit aktivem zentralisiertem Mail-Transport (Centralized Mail Transport) verwalten.

Ein Benutzer hat ein Office 365-Konto und kein lokales AD-Konto

AD-Konto mit Office 365 synchronisieren

In diesem Szenario wird ein Benutzerkonto in Office 365 in einem Hybrid-Setup erstellt. Es ist erwähnenswert, dass dieses Szenario korrekt ist und von Microsoft unterstützt wird. Es verursacht jedoch Probleme für einen Office 365-Benutzer, wenn er auf öffentliche Ordner zugreifen möchte, die sich in dem lokalen Exchange befinden. Dies bedeutet, dass der Benutzer auf lokale öffentliche Ordner (ältere öffentliche Ordner) nicht zugreifen kann und jeder Verbindungsversuch einen Fehler verursacht:

Cannot expand the folder. The set of folders cannot be opened. Network problems are preventing connection to Microsoft Exchange.

(Der Ordner kann nicht erweitert werden. Die Ordnergruppe kann nicht geöffnet werden. Netzwerkprobleme verhindern die Verbindung zu Microsoft Exchange).

Problemlösung

Um das Problem zu lösen, müssen Sie einen SMTP-Abgleich durchführen. Dies bedeutet, dass Sie ein lokales AD-Objekt mit einer SMTP-Adresse erstellen müssen, die der primären SMTP-Adresse eines Benutzerobjekts in Office 365 entspricht. Leider gibt es einige Einschränkungen, die von Microsoft im Zusammenhang mit dem SMTP-Abgleich hervorgehoben werden:

  • Ein Benutzerkonto, für das Sie einen SMTP-Abgleich ausführen möchten, muss über eine Exchange Online-E-Mail-Adresse verfügen (die Exchange Online-Lizenz ist nicht erforderlich).
  • Ein Benutzerkonto, das ursprünglich in Office 365 erstellt wurde, kann nur einmal mit SMTP abgeglichen werden.
  • Während des SMTP-Abgleichs kann die primäre Adresse eines Office 365-Benutzers nicht aktualisiert werden.
  • Jede SMTP-Adresse muss eindeutig sein. Andernfalls scheitert die Synchronisierung und wird möglicherweise dieser Fehler angezeigt:
Unable to update this object because the following attributes associated with this object have values that may already be associated with another object in your local directory services: [ProxyAddresses SMTP:[email protected];]. Correct or remove the duplicate values in your local directory.

(Dieses Objekt kann nicht aktualisiert werden, da die folgenden mit diesem Objekt verknüpften Attribute einige Werte aufweisen, die möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: [ProxyAddresses SMTP: [email protected];]. Korrigieren oder entfernen Sie die doppelten Werte in Ihrem lokalen Verzeichnis).

Führen Sie die folgenden Schritte aus, um Benutzer in Office 365 mit AD-Benutzern abzugleichen:

  1. Melden Sie sich bei Office 365 an und wechseln Sie zum Exchange admin center.
  2. Notieren Sie die primäre SMTP-Adresse für einen ausgewählten Benutzer in Exchange Online (wenn Sie keine Exchange Online-Lizenz haben, können Sie diese Adresse aus der Office 365-Login des Benutzers übernehmen. In den meisten Fällen sind sie gleich).
  3. Erstellen Sie ein Benutzerobjekt in Ihrem lokalen Active Directory mit denselben Attributen (Vorname, Nachname, UPN usw.) wie in Office 365.
  4. Richten Sie die primäre SMTP-Adresse für ein neues AD-Objekt mithilfe der Adresse aus dem 2. Schritt ein. Suchen Sie in Active Directory nach dem Attribut proxyAddresses. proxyAddresses-Parameter einstellen
  5. Erzwingen Sie die Synchronisierung von AD-Objekten mit Office 365 auf dem Server mit Azure AD Connect. Verwenden Sie das folgende Cmdlet:
    Start-ADSyncSyncCycle -PolicyType Delta
  6. Nach einer erfolgreichen Benutzersynchronisierung sollten Sie sehen, dass im Sync type-Abschnitt Synced with Active Directory anstelle von In Cloud angezeigt wird.Sync type Abschnitt in O365

Gleich nach dem Abschluss der Synchronisierung, sollte der Office 365-Benutzer den Zugriff auf lokale öffentliche Ordner erhalten.

Ein Benutzer hat ein Office 365- und ein lokales AD-Konto

Manchmal verwenden Unternehmen beide Umgebungen, um Zugriff auf verschiedene Dienste zu haben, die von diesen beiden Plattformen angeboten werden. Ein Unternehmen entscheidet sich beispielsweise für Office 365, um auf SharePoint Online- und Skype for Business-Dienste zugreifen zu können. Gleichzeitig verwaltet das Unternehmen den lokalen Exchange Server.

Ein Benutzer hat ein Office 365- und ein lokales AD-Konto

Wenn Sie jedoch eine Hybridumgebung einrichten und Verzeichnisse über Azure AD Connect synchronisieren, besteht die Möglichkeit der Duplizierung von Benutzerkonten und anderer Synchronisierungsproblemen. Ein einzelner Benutzer kann im Endeffekt zwei Konten haben – ein in Office 365 und ein in lokalem Active Directory. Wenn das Unternehmen Skype for Business (Lync) in einer lokalen Umgebung verwendet, kann die Synchronisierung sich als noch komplizierter erweisen.

Ein Benutzer mit zwei Konten

Ist das der Fall, sollten Sie die Synchronisierung sorgfältig planen, bevor Sie Azure AD Connect zum ersten Mal verwenden. Stellen Sie sicher, dass alle AD-Objekte den Office 365-Objekten entsprechen, indem Sie Attribute, UPNs und SMTP-Adresse überprüfen. Wenn Sie dazu über Skype/Lync verfügen, sollten Sie darüber nachdenken, welche Ergebnisse Sie erwarten. Sie können sich beispielsweise für eine Migration zu Skype for Business Online entscheiden und die lokale Lösung nicht mehr verwenden.

Wenn in diesem Szenario Probleme auftreten, können Sie auch den SMTP-Abgleich durchführen. Falls doppelte Benutzerkonten vorhanden sind, entfernen Sie sie aus Office 365 mit dem folgenden Cmdlet in Azure Active Directory Module für Windows PowerShell:

Remove-MsolUser -UserPrincipalName [email protected]

Remove-MsolUser -UserPrincipalName [email protected] -RemoveFromRecycleBin

Bei einem Benutzer mit doppeltem Konto sollten Sie die Attribute entweder in Office 365 oder in lokalem AD überprüfen und korrigieren. In Azure AD Connect finden Sie weitere Informationen zum Beheben von Synchronisierungsproblemen.

Weitere Informationen zu Skype/Lync-Migrationen finden Sie auf dieser TechNet-Website.

Ein Benutzer hat ein Postfach in Office 365 und ein in einem lokalen Exchange

Es ist eine dieser seltsamen Situationen, wenn ein einzelner Benutzer über ein AD-Konto verfügt, aber mit zwei Postfächern verbunden ist – ein Postfach befindet sich in Office 365 und das zweite in einem lokalen Exchange-System (praktisch gesehen wird es lokal über Autodiscover verbunden). Diese Situation ist der im zweiten oben beschriebenen Szenario sehr ähnlich, mit dem einzigen Unterschied, dass dem Office 365-Benutzer die Office 365-Lizenz zugewiesen wurde (einschließlich einer Lizenz für Exchange Online). Wie Sie sich vorstellen können, führt die Verwendung von zwei Postfächern in hybriden Einstellungen zu Komplikationen beim E-Mail-Fluss für diesen Benutzer. Wenn der MX-Eintrag auf Office 365 verweist, bleibt eine E-Mail im Office 365-Postfach hängen und wird nicht an das lokale Postfach zugestellt.

Ein Benutzer hat ein Postfach in Office 365 und ein in einem lokalen Exchange

Problemlösung

Leider wird in diesem Fall der SMTP-Abgleich nicht helfen. Das einzige Ergebnis, das Sie nach dem Ausführen des SMTP-Abgleichs erzielen würden, besteht darin, dass die beiden Konten übereinstimmen. Dadurch werden jedoch keine Postfächer synchronisiert. Das Entfernen der Lizenz von dem Office 365-Benutzer wird das Problem ebenfalls nicht beheben. Die einzige Methode ist, den Office 365-Benutzer zu entfernen und ihn über die Azure AD Connect-Synchronisierung neu zu erstellen.

Hinweis: Beachten Sie bitte, dass beim Entfernen eines Benutzers seine Office 365-Daten verloren gehen. Vergessen Sie deshalb nicht, vor dem Löschen des Benutzerkontos eine Backup-Kopie der Benutzerdaten zu erstellen (OneDrive, Exchange usw.). Wenn Sie dieses Verfahren für eine Reihe von Benutzern wiederholen müssen, überlegen Sie die Verwendung von einem Drittanbieter-Tool wie CodeTwo Backup, mit dem Sie auch Daten in lokalen Postfächern wiederherstellen können.

Um das Problem zu lösen, folgen Sie den Schritten:

  1. Verbinden Sie sich über Azure Active Directory Module für Windows PowerShell mit dem Office 365-Tenant:
    Connect-MsolService
  2. Entfernen Sie danach den Benutzer, indem Sie die folgenden Cmdlets ausführen:
    Remove-MsolUser -UserPrincipalName [email protected]
    Remove-MsolUser -UserPrincipalName [email protected] -RemoveFromRecycleBin
    
  3. Erstellen Sie schließlich einen Benutzer über Azure AD Connect neu, indem Sie den Synchronisierungsprozess erzwingen (führen Sie das Cmdlet auf dem Server mit Azure AD Connect aus):
    Start-ADSyncSyncCycle -PolicyType Delta
  4. Sobald Sie die Office 365-Lizenz aktivieren, sollten Sie folgende Information sehen:E-Mail-Einstellungen

Damit wird bestätigt, dass das Benutzerpostfach nun vom Exchange erkannt wird. Nachdem Sie einen Benutzer neu erstellt haben, können Sie mit der Wiederherstellung von Benutzerdaten in Office 365 beginnen.

4 thoughts on “Wie synchronisiert man Office 365- und lokale AD-Konten in einer Hybridkonfiguration


  1. Hallo Christian,

    erst Mal danke für den wirklich hilfreichen Artikel!
    Bei mir habe ich auch das Szenario, dass ein Benutzer zwei Postfächer hat – eines am lokalen Exchange 2010 und eines bei Office 365.
    Allerdings nicht mit der selben Domain.
    Ändert das etwas am Problem? Muss ich trotzdem vorher den Benutzer löschen?

    Danke im Voraus,
    Oliver

  2. Hallo Danke super Artikel habe das probiert jedoch bleibt im Exchange online mein postfache bestehlen.. Get-MSOuser.. zeigt mir denn user nicht mehr an … Get-Mailbox zeigt mir jedoch das Postfach noch in dem CLoud Exchange an.

    • Hallo Christian,

      Es kann manchmal passieren, dass Get-Mailbox Ergebnisse zeigt während Get-MsoIUser dies nicht tun. So was wird als Postfach ohne User bezeichnet. Wenn Du das Postfach löschen willst, benutze Remove-Mailbox. Wenn Du einen User hinzufügen willst, erstelle ihn mit New-MsolUser und benutze den UPN dieses Postfachs.

      Grüße,
      Paweł

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Verantwortlicher für Ihre personenbezogenen Daten ist CodeTwo sp. z o.o. sp. k.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.