如何使用 IdFix 查找并修复无效的 AD 对象

当您计划将本地 Active Directory 与 Azure AD 同步时，首先运行 Microsoft 的 IdFix 工具非常重要。该工具将帮助您查找并解决 Active Directory 中的问题。

IdFix 工具将识别任何阻止本地 Active Directory 与 Azure AD 同步的潜在问题，例如：

• 重复的对象

• 对象名称中的无效符号

• 无效的 SMTP 地址 (proxyAddresses)

• 属性值太长或包含无效值

在本文中，我们将了解如何安装和使用 IdFix 工具。

安装 IdFix 工具

第一步是安装 IdFix 工具。您可以在任何加入域的计算机或服务器上安装该工具。但要使用该工具，您当然需要具有对 Active Directory 的读写访问权限。

您可以从 Microsoft 的 GitHub Repostory 下载 IdFix。您将在 ClickOnce 下找到下载链接。您还可以使用此直接链接下载文件。

单击安装开始安装，然后单击确定接受隐私声明

修复 IdFix 设置错误

当您尝试在 Windows Server 2016 或 2022 上安装 IdFix 工具时，开始安装时可能会收到错误消息：

我们收到此错误是因为服务器上禁用了 SSL 缓存。通过一个小的 PowerShell 脚本，我们可以临时启用它进行安装：

Set-ItemProperty -Path "HKCU:Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "DisableCachingOfSSLPages" -Value 0

完成安装后，您可以使用以下命令将设置更改回来：

Set-ItemProperty -Path "HKCU:Software\Microsoft\Windows\CurrentVersion\Internet Settings" -Name "DisableCachingOfSSLPages" -Value 1

使用 IdFix 工具

当您打开 IdFix 工具时，您将看到一个空白屏幕，上面没有任何信息。要检查您的 Active Directory 对象是否包含任何错误，我们需要查询 AD。

单击蓝色工具栏中的查询以启动 IdFix 工具：

您可能会收到一条警告，指出某些属性未标记为复制，只需单击“是”即可继续。

IdFix 完成可能需要几分钟时间，具体取决于 Active Directory 的大小。您可以在工具的左下角看到状态。查询完成后，工具中会列出所有错误

在这种情况下，IdFix 发现了三个错误：

• userprincipalname 的本地部分有错误

• 用户主体名称的域部分错误

• 空白显示名称

解决了任何错误

该工具将在“更新”列中建议修复该问题。该建议是尽力而为，因此请务必检查更新字段中的建议值。

对于每个错误，您可以选择一个操作：

• 编辑 - 更新字段中的值将用于更新对象。如果需要，您可以更改更新字段的内容。

• 完整 - 这主要用于重复的项目。将您想要的记录标记为“完成”，并将另一条记录的操作设置为“删除”

• 删除 - 字段的值将被删除（不是完整的对象！）

如果更新字段中的所有建议值看起来都不错，您可以单击“接受”。这会将所有行上的操作设置为自动编辑。否则，为每行选择适当的操作。

完成后，单击应用以更新 Active Directory 中的对象。如果没有发生错误，则每行的操作将更改为完成：

再次运行查询以确保所有错误现在都得到真正解决总是一个好主意。您应该在左下角看到一个清晰的网格，其状态为“已清除网格”。

撤消使用 IdFix 所做的更改

您使用 IdFix 工具所做的所有更改都会记录在事务日志中。这样您就可以随时撤消使用该工具所做的更改。值得庆幸的是，您只能后退一步。因此，请小步进行更改，并确保它们不会产生任何不必要的影响。

要撤消更改：

1. 单击菜单栏中的撤消

2. 选择.ldf 文件并单击“打开”

3. 列出了上次更新中更改的记录。 点击“接受并应用”以恢复更改

更改 IdFix 的搜索范围

如果您的 Active Directory 中有很多对象，或者您只想将部分 AD 用户同步到 Azure AD。那么您可能想要查询 Active Directory 的一部分。这可以通过 IdFix 实现。

1. 点击右上角的灰色齿轮图标

2. 启用搜索库

3. 输入 OU 的专有名称

单击确定并按查询开始搜索。

使用替代凭据运行 IdFix

您可以在自己的计算机上安装并运行 IdFix，例如，无需将其安装在域控制器上。但默认情况下，该工具将在您登录的帐户下运行。要读取和更改 Active Directory 对象，您需要拥有适当的权限。

可以更改 IdFix 用于与 AD 连接的用户帐户：

1. 单击右上角的灰色齿轮图标打开设置

2. 在凭据下，选择其他

3. 输入全局管理员凭据（或其他适当的帐户）

4. 单击确定保存设置

您现在可以查询 AD 是否有任何错误。

包起来

IdFix 是一款出色的工具，可在开始同步到 Azure AD 之前轻松查找任何 Active Directory 对象错误。如果您只想同步 Active Directory 的一部分，请确保应用搜索库过滤器。

如果已修复所有错误，则可以开始安装和配置 Azure AD connect。如果您有任何疑问，请在下面发表评论。