Forum

Active Directory sy...
 
Bildirimler
Hepsini Temizle

Active Directory sync sorunu

10 Yazılar
2 Üyeler
0 Reactions
1,899 Görüntüleme
(@erkangulmez)
Gönderiler: 316
Reputable Member
Konu başlatıcı
 

Merhaba,

 

Server 2012 r2 domain controlerimiz var ve bunu office 365 ile sync ediyoruz. Her sey 1 kullanici icin haric duzgun calisiyor. 1 kullanici ki o da patron 🙂 distribution gurubuna dahil ettigim halde office 365 panel icinde goremiyorum. Baska kullanici olusturup bahse konu guruba uye yapip sync yaptim ve o kullaniciyi office 365 icinde gurubun uyesi olarak gordum, sonra onu sildim, sync yaptim, office 365 icinden gitti, baska bir dist. gurup olusturup sorunlu hesabi o guruba uye yapip sync yaptim, gurubun kendisi office 365 icine geldi ama gurup uyelerinde yine patron yok 🙂

Kisacasi ne yaparsam yapayim patronun DC de uye oldugu guruplari ayni sekilde office 365 icinde goremiyorum. Her hangi bir hata da vermiyor. Sync sonuclari hep success. Lisansina baktim ki zaten calismasinda mail trafiginde vs sorun yok, lisansi da var. Sorun nerdedir bir fikriniz var mi arkadaslar?

 

Tesekkurler

EG

 

Edit:

Sanirim sorunu buldum ama cozumu bulamadim

Synchoronization service manager icinden DL(AllStaff) diye bir metaverse search olustup arama yaptigim zaman, gurubu buluyor, uyelerine bakiyorum, olmasi gereken kisi orada ama onun ozelliklerine girdigim zaman Distingiushed name colonu altinda 2 tane distingiushed name olmasi gerekirken(birisi string digeri random! rakam ve harflerden olusan) bunda 1 tane var. Diger herkeste 2 tane ve birisi local connector icin digeri de office 365 connectoru icin ve bu sorunlu kiside office 365 connectoru yok. Sadece local var ve bu yuzden de office 365 ile sync olmuyor diye dusunuyorum.

Simdi bi tahmininiz var mi?

 

Tesekkurler

EG

 
Gönderildi : 07/04/2017 19:25

(@umitseyhan)
Gönderiler: 367
Üye
 

Merhaba Erkan Bey,

 

Aşağıdaki PS'yi Azure AD Connect Tool'unun olduğu sunucuda çalıştırabilir misiniz? Bu Script içerisinde değiştirmeniz gereken yerleri kırmızı olarak işaretledim. Sonrasında tekrardan full sync yapabilirsiniz.

 

Import-Module ADSync
$adConnector = "On-Prem Connector Name"
$aadConnector = "Azure AD Conenctor Name"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $true

Bilginize.

 
Gönderildi : 08/04/2017 18:25

(@erkangulmez)
Gönderiler: 316
Reputable Member
Konu başlatıcı
 

Merhaba Umit Bey,

 

Tesekkur ederim yanitiniz icin. Calistirip sonucu yazacagim

 

Iyi calismalar

EG

 
Gönderildi : 11/04/2017 13:53

(@erkangulmez)
Gönderiler: 316
Reputable Member
Konu başlatıcı
 

Merhaba Tekrar

 

Script hatasiz calisti ve sonrasinda full sync yaptim ama sonuc degismedi malesef.

 

Iyi calismalar

EG

 
Gönderildi : 11/04/2017 19:13

(@umitseyhan)
Gönderiler: 367
Üye
 

Merhaba Erkan Bey,

 

Hata almış olduğunuz kullanıcı da ImmutableID eşitleme işlemini gerçekleştirebilir misiniz?

 

Bİlginize.

 
Gönderildi : 11/04/2017 20:24

(@erkangulmez)
Gönderiler: 316
Reputable Member
Konu başlatıcı
 

Merhaba Umit Bey,

 

Bunu daha once kontrol etmistim ve ImmutableID'ler ayni.

Nasil kontrol ettigimi yazayim belki hataliyimdir. 

Local AD uzerinde ldifde - export.txt komutu ile AD uzerindeki datalari/entryleri export.txt dosyasina cikarttim ve ilgili kullanicinin ObjectGUID'si ile AD Azure Connect  PowerShell komutu uzerinde Get-MsolUser -UserPrincipalName [email protected] | fl komutunu calistirip bunun gosterdigi ImmutableID degerini karsilastirdim, ayni.

 

Tesekkurler

EG

 
Gönderildi : 11/04/2017 21:12

(@umitseyhan)
Gönderiler: 367
Üye
 

Merhaba Erkan Bey,

 

AD üzerinde çalıştıracaksınız.

$cn = “<username>”
$guid = (get-aduser -f {cn -eq $cn} -pr objectguid).objectguid
$upn = (get-aduser -f {cn -eq $cn}).userprincipalname
$ImmutableID = [System.Convert]::ToBase64String($guid.ToByteArray())

$ImmutableID

Office 365 üzerinde çalıştıracaksınız.

 

Get-MsolUser -UserPrincipalName [email protected] | fl ( Bu komutu çalıştırıp ID'leri karşılaştırmanız gerek. Eğer farklılık varsa aşağıdaki komut ile güncellemeniz gerek.)

set-msolUser -userprincipalname $upn -immutableID $ImmutableID

 

Bilginize.

 
Gönderildi : 13/04/2017 13:33

(@erkangulmez)
Gönderiler: 316
Reputable Member
Konu başlatıcı
 

Merhaba Umit Bey

 

Maalesef mi demem gerek bilmiyorum ama  ID'ler ayni. Yani her sey yolunda gibi duruyor...

 

Tesekkurler

EG

 
Gönderildi : 13/04/2017 19:46

(@umitseyhan)
Gönderiler: 367
Üye
 

Merhaba Erkan Bey,

 

Sync olmayan kullanıcı hesabını silip, tekrardan aynı isim de oluşturup sync edebilir misini? Bu durumda kullanıcının profil değişiliği yapması gerekecektir.

 

Bilginize.

 
Gönderildi : 17/04/2017 13:08

(@erkangulmez)
Gönderiler: 316
Reputable Member
Konu başlatıcı
 

Merhaba,

 

Ayni seyi dusundum ama yapmaya cesaret edemedim cunku kendisi bizim patron ve de superman admin.

Yani bir cok yere baglantisi var ve GUID degisikligi basima is acabilir diye korktum.

Daha dolambacli bir yol aklima geldi. Yeni bir hesap olusturup onu ilgili DL grubuna dahil edecegim ve o hesaba bu gruba gonderilmis mail geldigi takdirde onu asil hesaba redirect edecek.

 

En azindan daha guvenli geldi

 

Tesekkurler

EG

 
Gönderildi : 18/04/2017 18:17

Paylaş: