Ошибка синхронизации Active Directory с Portal Office 365

10.11.2020   Active directory, GPO, CA   No comments

Обновлено 10.11.2020

azure logo

Добрый день! Уважаемый читатель, IT блога Pyatilistnik.org. Лет 10 назад, слово облако, вызывало у людей исключительно одну ассоциацию, белого пушистого комочка на голубом небе. Прошло немного лет, и в нашу жизнь ворвались технологии виртуализации, а с ними и облачные сервисы, давшие еще одно представление об этом слове. Есть такая замечательная организация Microsoft, подсадившая большую часть мира на ее офисные продукты и Active Directory. Благодаря нынешним технологиям, компаниям уже не обязательно разворачивать у себя инфраструктуру, в виде AD, все теперь можно делать в облаках, в данном случае оно называется Azure. Я как-нибудь более подробно расскажу про него, но не сегодня. Сейчас я хочу описать ситуацию, когда у меня на портале Azure по управлению лицензиями Office 365, нет нужного мне пользователя, который почему-то вообще числится, что он удален. Мы разберемся с процессом синхронизации локальной базы данных Active Directory с AD Azure и поправим получение офисных лицензий для сотрудника.

Описание проблемы

Как я и описал выше, моя компания купила некое количество лицензий на офисные продукты Microsoft Office 365. Распределение и управление лицензиями осуществляется, через специальный портал. Пользователи из локальной баз Active Directory синхронизируются с базой данных AD Azure. После чего сотрудникам назначаются лицензии. Сегодня ко мне поступила заявка, о том, что у пользователя выскакивает окно в котором сообщает ему, что есть проблемы с активацией офисного пакета. У пользователя установлена Windows 10. В какой-то момент у него стали появляться вот такие предупреждения.

Некоторые из ваших учетных записей требуют внимания

office 365-01

Ошибка учетной записи. К сожалению, сейчас нам не удается загрузить вашу учетную запись. Чтобы устранить эту проблему, войдите в систему еще раз.

Пользователь пробует перевойти .но в итоге получает все те же предупреждения.

office 365-02

Переходим на административный портал управления Active Directory Azure и Office 365, напоминаю, это адрес https://portal.office.com. Перейдите в раздел Microsoft 365 Admin Center. Найдите в нем вкладку пользователи и попробуйте найти вашего сотрудника, среди активных учетных записей. Лично в моем случае я не смог найти. Проверил синхронизации, все вроде хорошо.

Поиск активных пользователей AD Azure

Дай думаю загляну ради интереса в раздел "Удаленные пользователи". И какого же было мое удивление, когда я обнаружил тут нужного мне сотрудника. Он был в Microsoft 365 Admin Center отключен, хотя в моем локальном Active Directory с учетной записью проблем не было.

Удаленные пользователи AD Azure

Если выбрать удаленную учетную запись, то у вас будет одно, доступное действие, это восстановить. У вас откроется окно восстановления, в котором вас предупредят:

Прежде чем восстанавливать пользователя Овчинникова, убедитесь, что у вас есть необходимая лицензия продукта. При восстановлении пользователя Овчинникова будут восстановлены все сопоставленные с ним данные и назначены соответствующие лицензии продуктов. Этот пользователь получит доступ ко всем службам, к которым он имел доступ, прежде чем был удален.

Английский вариант: Before you restore Овчинникова you need to make sure you have a product license available. Restoring Овчинникова will restore all associated data, assign product licenses, and give access to all services they could access before they were deleted.

Пробую выбрать автоматическое создание пароля, просто было интересно. так как я знал, что синхронизация односторонняя и только в сторону Active Directory Azure.

Восстановление учетной записи AD Azure-01

You cannot restore this user because it is been more than 30 days since you deleted them. You can create a new user, but the data associated with the user you are trying to restore has been permanently deleted and cannot be restored.

В восстановлении отказано с формулировкой, что мой пользователь был удален в Microsoft 365 Admin Center более месяца назад.

Восстановление учетной записи AD Azure-02

Из сложившейся ситуации я сделал вывод, что есть явная проблема с синхронизацией локально Active Directory и Azure, и то что я вижу, что якобы все синхронизируется не есть правда. Я решил сделать принудительную синхронизацию. Перед этим я посмотрел в какой OU находится учетная запись нужного мне сотрудника. Далее вы переходите на сервер, где установлена утилита Synchronization Service Azure AD Connect. И запускаем Synchronization Service.

Запуск Synchronization Service Azure

В Synchronization Service Manager, переходите на вкладку с коннекторами (Connectors), выбираете вашу организацию и переходите в ее свойства (Properties)

Проверка синхронизации AD Azure

Так как у меня стоит выборочная синхронизация из локального AD в AD Azure, то я полез в "Configure Directory Partitions", где нужно нажать кнопку "Containers", у вас будут запрошены учетные данные.

Выбор OU для синхронизации

Проверяем все ли OU в которых у вас нужные пользователи выбраны для синхронизации с Azure Active Directory и сохраняем настройки.

Выбор OU Azure

Далее щелкаете на вкладке "Connectors" по вашей компании и выбираете "Run".

Запуск вручную синхронизации с Azure

Выбираете полное импортирование "Full Import"

Полный импорт в Azure AD

Вы уже должны заметить эффект вышеуказанных настроек в главном окне программы на вкладке "Operations". Будет запущено задание Full import в моем примере его статус in-progress, то есть в процессе выполнения. Синхронизация побежала.

Статус импорт в AD Azure

Дожидаемся процесса синхронизации с облаком Microsoft. В самом низу у вас будет поле "Sinchronizatio Statistic" в котором вам покажут, сколько учетных записей было добавлено, удалено и обновлено. Я решил посмотреть кого добавили.

Законченная синхронизация AD Azure

В списке Distinguished Name я вижу нужного мне сотрудника. Думаю, что победа.

Импортированные пользователи AD Azure

Перехожу на портал управления лицензиями и пользователями, пробую поиск среди активных учетных записей, но сотрудника все нет. Думаю нужно наверное слегка подождать, прошел час, эффекта не было, сотрудник все числился в удаленных. Меня это не устроило и я стал искать варианты, как его удалить от туда. Для этого Microsoft имеет оболочку "Microsoft Azure Active Directory Module for Windows PowerShell". Найти ее можно на том же сервере, где у вас установлен Synchronization Service. Запускаем его от имени администратора.

Чтобы произвести подключение к порталу Office 365 нужно использовать вот такой командлет.

Connect-MsolService

У вас выскочит форма аутентификации, где нужно будет указать данные для доступа к порталу https://portal.office.com.

Подключение через poweshell к office 365

Далее нам необходимо найти удаленного пользователя в AD Azure и его ObjectID, так как удалять нужно именно по нему.

Get-MsolUser -ReturnDeletedUsers -Searchstring "ovch" | select UserPrincipalName, ObjectId

УДАЛЯЯ ТУТ ЗАПИСЬ ВЫ ЕЕ НЕ УДАЛИТЕ В СВОЕМ ACTIVE DIRECTORY

В моем случае я получил два пользователя, меня интересует верхний, я вижу его ObjectId, для удаления учетной записи есть такая конструкция

Remove-MsolUser -RemoveFromRecycleBin -ObjectId сам код

Вас попросят подтвердить, после чего учетная запись будет удалена из удаленных на портале, сделаем снова запрос на поиск и видим, что остался всего один пользователь.

Поиск удаленного пользователя в Azure

Через минут 10 нужный мне пользователь уже присутствовал на портале, но он был не лицензирован.

Подробно про настройки лицензий вы можете почитать на https://docs.microsoft.com/ru-ru/office365/admin/subscriptions-and-billing/assign-licenses-to-users?redirectSourcePath=%252farticle%252f997596b5-4173-4627-b915-36abac6786dc&view=o365-worldwide&tabs=One

назначение лицензии Office 365

В двух словах, выбираете расположение, например Россия и далее указываете какие офисные продукты вы назначаете сотруднику. Если пользователь все так же будет получать "Ошибка учетной записи. К сожалению, сейчас нам не удается загрузить вашу учетную запись. Чтобы устранить эту проблему, войдите в систему еще раз", то просто разлогиньте его учетную запись из продуктов Microsoft на его компьютере и заново пройдите аутентификацию.

Установка лицензий office 365

Принудительно синхронизировать Start-ADSyncSyncCycle -PolicyType Initial

Надеюсь, что было не сложно. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org,

Популярные Похожие записи:

Автор - Сёмин Иван

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *