Azure AD Connect 无法更新此对象

在之前的博客文章中，我解释了如何在 Office 365 中创建本地用户帐户和随附的邮箱。无论是否有本地 Exchange 服务器，这都是可能的。后者有效，但不受支持。

在某些情况下，您在 Office 365 中有云身份，您希望将其连接到本地 Active Directory 中的用户帐户，因此基本上将云身份转换为同步身份。这是一种常见的情况，例如从 Office 365 中的一个租户迁移到另一个租户时，或者从 Groupwise 或 Notes 迁移到 Office 365 时。

假设我们在 Office 365 中有一个名为 Chong Kim 的用户的云身份，他拥有 E3 许可证、用户名 [email protected]，这也是他的主 SMTP 地址。

从逻辑上讲，下一步将是在本地 Active Directory 中创建一个用户帐户，其中用户主体名称等于 Office 365 中的用户名。这是有道理的，因为 UPN 是 Azure AD Connect 中的通用标识符和源定位点。

但是，当 Azure AD Connect 运行时，两个帐户发生冲突，并向租户管理员的邮箱发送一封电子邮件，其中包含以下错误消息：

无法更新此对象，因为与此对象关联的以下属性的值可能已与本地目录服务中的另一个对象关联：[UserPrincipalName [email protected];]。更正或删除本地目录中的重复值。请参阅https://support.microsoft.com/en-us/kb/2647098了解有关识别具有重复属性值的对象的详细信息。

这里的问题不是 UPN 和用户名不匹配，而是 SMTP 地址不匹配。这里的解决方案是根据两个用户的电子邮件地址进行匹配，因此在 Active Directory 用户和计算机中将（云用户的）电子邮件地址添加到邮件属性中，如以下屏幕截图所示。

下次运行 Azure AD Connect 时，它将根据 SMTP 地址匹配两个帐户，并且云身份将转换为同步身份，如 Microsoft 在线门户中所示：

要最终确定本地帐户，您应该启用 RemoteMailbox 以确保在本地 Active Directory 中正确设置所有与 Exchange 相关的属性。这样您最终就会处于完全受支持的场景中。要启用 RemoteMailbox 帐户，请在 Exchange PowerShell 中执行以下命令：

Get-User [email protected] | Enable-RemoteMailbox -RemoteRoutingAddress [email protected]

从此时起，该帐户将在您的本地 Active Directory（和本地 Exchange 服务器）中得到完全管理。