IdFix：准备与 Azure 进行本地 Active Directory 同步

如果要使用 Azure AD 连接器 (AADConnect) 配置本地（本地）Active Directory 与 Microsoft 365/Azure AD 的同步，则必须首先检查本地 ADDS 中的对象属性是否与 Azure AD 兼容。

微软发布了专门的 Microsoft Office 365 IdFix 工具（

Directory Synchronization Error Remediation

) 用于检查本地 Active Directory 实例。 IdFix 工具允许您扫描 ADDS 并查找由于某种原因无法与 Azure AD 同步的用户、联系人或组。

IdFix 检测 Active Directory 对象属性中最常见的错误：

• AD 对象名称中的无效符号（包括前导空格和尾随空格）；

• 重复；

• 无效的 SMTP 地址、MailNickNames；

• 属性值超出可接受限制的对象；

• 正确的可路由 UPN 后缀 (userPrincipalName)。

Microsoft 指出：超过一半的客户在处理 AAD 同步错误时报告的问题与不正确的 proxyAddresses、userPrincipalName 属性和重复项相关。

您可以在 GitHub (https://github.com/microsoft/idfix) 上找到 IdFix，并使用直接链接下载其 setup.exe。 IdFix 是 ClickOnce 应用程序，因此需要连接互联网才能安装它。否则，您将看到此错误：

An error occurred attempting to install IdFix
Error: An error occurred trying to download 'https://raw.githubusercontent.com/Microsoft/idfix/master/publish/IdFix.application'

如果您尝试在 Windows Server 2016/2019 上安装 IdFix，也会出现相同的错误。要修复此问题，您必须在注册表中临时启用 SSL 缓存：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"DisableCachingOfSSLPages"=dword:00000000

使用以下命令：

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v DisableCachingOfSSLPages /t reg_dword /d 00000000 /f

之后，IDFix 安装将正常开始。

使用完 IdFix 后，将 DisableCachingOfSSLPages 值设置为 1。

您可以在任何加入域的计算机上安装 IdFix。运行该工具并单击查询。

要运行 IdFix，您需要 Microsoft .NET Framework 版本 4.5.2 或更高版本。

IdFix 将连接到您的本地 Active Directory 域，并显示与 Azure 同步之前需要修复的列表。

在我们的示例中，IdFix 发现多个对象 AD 对象存在三种类型的错误：

• 用户帐户的空 displayName 属性 (

  displayName

  = 空白）

• 多个用户的邮件属性值相同（

  mail

  =重复）

• 三个用户具有来自 .loc 域的不可路由的 userPrincipalName (

  userPrincipalName

  =顶级域）

您还可能会看到以下错误：

1. 字符 - 属性中的无效符号

2. 格式 - 属性值格式不正确（例如，SMTP 地址格式无效）

3. 长度 - 超出属性长度

如果要将发现的用户与 Azure AD 同步，则需要修复这些错误。选择要应用于已找到的 AD 对象属性的操作（编辑、删除、完成）。如果选择“编辑”，则可以在“更新”框中指定新的属性值。

要应用更改，请单击接受 -> 应用。更改将仅应用于在“操作”字段中设置了值的条目。

您还可以将找到的对象和错误列表导出到 CSV 文件。您可以在 Excel 中分析发现的问题，然后使用用于管理 Active Directory 对象的 PowerShell cmdlet 对 AD 进行更改：Set-ADUser、Set-ADGroup、Set-ADComputer 等。

如果您只想将 Active Directory 的一部分与 Azure 同步，则可以在设置中指定选择 AD 对象进行分析的条件（使用 LDAP 筛选器）。使用搜索库，您可以选择要分析的 OU。

IdFix 允许您查找并修复许多可能阻止用户、联系人或组从本地 Active Directory 同步到 Azure AD 的问题。在准备通过 Azure AD Connect 将目录同步到 Microsoft 365 时，请确保检查本地 Active Directory。