Eines sch\u00f6nen Morgens erhielt ich die Meldung, dass neue AD-Objekte nicht mehr ins Azure AD synchronisiert werden. SSO funktionierte gl\u00fccklicherweise, sonst h\u00e4tte sie mir die H\u00fctte eingerannt :).<\/p>\n\n\n\n
Ich pr\u00fcfte den «Synchronization Service» (C:\\Program Files\\Microsoft Azure AD Sync\\UIShell\\miisclient.exe), welcher mir offenbarte, dass er seit einiger Zeit nicht mehr synchronisierte (kein Fehler, aber keine aktuellen Eintr\u00e4ge!).<\/p>\n\n\n\n
Das Eventlog war auskunftsfreudiger:<\/p>\n\n\n\n
System.Management.Automation.CmdletInvocationException: Run profile ‚Full Import‘ does not have run steps. —> System.InvalidOperationException: Run profile ‚Full Import‘ does not have run steps.
bei Microsoft.IdentityManagement.PowerShell.Cmdlet.InvokeADSyncRunProfileCmdlet.ProcessRecord()<\/p><\/blockquote>\n\n\n\nWieder zur\u00fcck im «Synchronization Service»-Tool, dort auf «Connectors». Da sind zwei Connectors vorhanden, einer mit dem Namen der internen Dom\u00e4ne, und der zweite mit dem Namen der O365-Dom\u00e4ne «*.onmicrosoft.com – AAD». Im internen Connector fehlten unter «Configure Run Profiles» tats\u00e4chlich s\u00e4mtliche Profile!<\/p>\n\n\n\n
Gl\u00fccklicherweise lassen sich diese relativ einfach manuell erstellen:<\/p>\n\n\n\n
- Profil anw\u00e4hlen (z.b. «Full Import»), dann «New Step»<\/li>
- Type entsprechend w\u00e4hlen (siehe unten) > Next<\/li>
- Connector Configuration
- Partition = interne Domain<\/li>
- Batch size = (siehe unten)<\/li>
- Page size = 500<\/li>
- Timeout = 120<\/li><\/ul><\/li>
- Finish<\/li><\/ol>\n\n\n\n
Dies muss f\u00fcr alle Profile ausgef\u00fchrt werden.<\/p>\n\n\n\n
\n
Profile<\/strong><\/td> Type<\/strong><\/td> Batch size<\/strong><\/td><\/tr> Full Import<\/td> Full Import (Stage Only)<\/td> 50<\/td><\/tr> Full Synchronisation<\/td> Full Synchronisation<\/td> 0<\/td><\/tr> Delta Import<\/td> Delta Import (Stage Only)<\/td> 50<\/td><\/tr> Delta Synchronisation<\/td> Delta Synchronisation<\/td> 0<\/td><\/tr> Export<\/td> Export<\/td> 30<\/td><\/tr><\/tbody><\/table><\/figure>\n<\/div><\/div>\n\n\n\n Ausserdem muss unter «Connectors», der interne angew\u00e4hlt, und dann mit «Properties» konfiguriert werden:<\/p>\n\n\n\n
«Configure Directory Partitions» > internes AD w\u00e4hlen\/aktivieren<\/p>\n\n\n\n
Achtung: falls nicht das gesamte AD synchronisiert werden sollte, m\u00fcssen nun im Azure AD Connect Client noch die gew\u00fcnschten OU’s ausgew\u00e4hlt werden, da sonst das gesamte AD synchronisiert wird!<\/p>\n\n\n\n
Sync starten mit<\/p>\n\n\n\n
Start-ADSyncSyncCycle -PolicyType Initial<\/pre>\n\n\n\n<\/p>\n","protected":false},"excerpt":{"rendered":"