ADSyncBlock

Wenn Sie Exchange Online mit ADSync betreiben und damit Benutzer aus dem lokalen Active Directory in die Cloud synchronisieren, dann sind einige Felder in Exchange Online "geblockt". Diese Seite beschreibt anhand einer Mailbox, welche Felder nicht per Exchange Online Powershell bearbeitet werden können. Das Thema betrifft nach meinen Erfahrungen aktuell Exchange Online und mit ganz wenigen Feldern auch Skype for Business Online/Teams.

Fehlermeldungen

Firmen mit einem lokalen Active Directory und Office 365 bedienen sich häufig den Diensten von ADSync/AAADConnect, um Benutzer, Gruppen aber auch Anmeldedaten (Password Hash Sync (PHS)) in die Cloud zu synchronisieren. ADSync überträgt dabei aber auch Informationen von Exchange (Mail/ProxyAdresses) und bei aktiviertem Hybrid-Mode noch weitere Felder.

Exchange Online erkennt aber die Existenz von ADSync und blockiert dann die Verwaltung von gewissen Exchange Einstellungen über die Cloud. Wenn Sie z.B. bei eine Mailbox solche Felder ändern wollen, kommen unterschiedliche Fehlermeldungen.

Diese Meldungen kommen alle von deutschen meinem Win10 Client, der mit "Connect-ExchangeOnline" eine Verbindung zur Cloud hergestellt hat. Anscheinend sind noch nicht alle Meldungen übersetzt. Der User "ADUSER2" wird von einem lokale Active Directory ohne Exchange-Schema mit ADSync in meinen Office 365 Tenant synchronisiert.

Die gerne genutzten "CustomAttributes" kann ich schon mal nicht schreiben. Was es dabei aber mit einer Migration zu tun hat, kann ich nicht verstehen.

PS C:\> set-mailbox aduser2 -CustomAttribute1 "hallo"
An Azure Active Directory call was made to keep object in sync between Azure Active Directory and Exchange Online. 
However, it failed. Detailed error message:
    Unable to update the specified properties for On-Premises mastered Directory Sync objects 
    or objects currently undergoing migration. RequestId : 91efd2ec-3064-4269-a92d-c8e2e3fa25f2
The issue may be transient and please retry a couple of minutes later. If issue persists, please see exception members for more information.
    + CategoryInfo          : NotSpecified: (:) [Set-Mailbox], UnableToWriteToAadException
    + FullyQualifiedErrorId : [Server=AM0PR0102MB3651,RequestId=de3dec7e-fa58-43ef-b158-ce64acf12c9c,
          TimeStamp=16.06.2021 11:48:26] [FailureCategory=Cmdlet-UnableToWriteToAadException] 7754AA96,Microsoft.Exchange.Management.
   RecipientTasks.SetMailbox
    + PSComputerName        : outlook.office365.com

Auch die von Microsoft neu eingefügten "ExtensionCustomAttributes1-5" sind nicht schreibbar. Hier ist aber die Fehlermeldung hilfreicher.

PS C:\> set-mailbox aduser2 -ExtensionCustomAttribute5 "Test"
Fehler bei Vorgang für Postfach "ADUser2", da es außerhalb des Schreibbereichs für den aktuellen Benutzer liegt. Die Aktion 'Set-Mailbox', 'ExtensionCustomAttribute5', kann nicht für das Objekt 'ADUser2' durchgeführt werden, weil
dieses Objekt von lokal synchronisiert wird. Diese Aktion sollte lokal für das Objekt durchgeführt werden.
    + CategoryInfo          : InvalidOperation: (ADUser2:ADObjectId) [Set-Mailbox], InvalidOperationException
    + FullyQualifiedErrorId : [Server=AM0PR0102MB3651,RequestId=93666a20-26e2-4c6a-a1a4-e24e3190d788,TimeStamp=16.06.2021 11:54:32] [FailureCategory=Cmdlet-InvalidOperationException] 48957ABB,Microsoft.Exchange.Management.Recipient
   Tasks.SetMailbox
    + PSComputerName        : outlook.office365.com

Eine ähnliche Meldung bekomme ich im Exchange Admin Center, wenn ich dort z.B. den Nachname eines per ADSync verwalteten Benutzers ändern möchte

In der Office 365 Admin Konsole bietet Microsoft mir gar nicht an den Namen zu ändern

Felder und Inhalte

Ich habe erst einmal mit "Get-Mailbox alle Felder des Exchange Online-Kontos extrahiert und dann mit Set-Mailbox versucht diese zu schreiben". Leider ist auch die Beschreibung von Microsoft hier etwas unglücklich.

Auf der Webseite wurden am 16. Jun 2021 die Parameter von Set-Mailbox insgesamt sieben Mal abgedruckt. Ich habe hier meine eigene Liste gemacht:

Ich habe noch nicht alle Felder versucht zu überschreiben. Es kann auch sein, dass Microsoft den Umfang ändert und daher die Liste nicht mehr aktuell ist. Ihre Provisioning-Lösung oder ihr Skript sollte solche Fehler erkennen und behandeln.

Feldname und Parameter Set-Mailbox Parameter Setzbar {}

AcceptMessagesOnlyFrom

Ja

Ja

{}

AcceptMessagesOnlyFromDLMembers

Ja

Ja

{}

AcceptMessagesOnlyFromSendersOrMembers

Ja

Ja

{}

AccountDisabled

Ja

Ja

False

AddressBookPolicy

Ja

na

AddressListMembership

 

na

{\All Users, \Offline Global Address List, \Default Global Address List,\Mailboxes(VLV)...}

AdminDisplayVersion

 

na

Version 15.20 (Build 4219.22)

AdministrativeUnits

 

na

{}

AggregatedMailboxGuids

 

na

{}

Alias

Ja

Ja

ADUser2

AntispamBypassEnabled

 

na

False

ArbitrationMailbox

 

na

ArchiveDatabase

 

na

ArchiveDatabaseGuid

 

na

00000000-0000-0000-0000-000000000000

ArchiveDomain

na

ArchiveGuid

 

na

00000000-0000-0000-0000-000000000000

ArchiveName

Ja

Ja

{}

ArchiveQuota

na

100 GB (107,374,182,400 bytes)

ArchiveRelease

 

na

ArchiveState

 

na

None

ArchiveStatus

 

na

None

ArchiveWarningQuota

 

na

90 GB (96,636,764,160 bytes)

AuditAdmin

Ja

Ja

{Update, MoveToDeletedItems, SoftDelete, HardDelete...}

AuditDelegate

Ja

Ja

{Update, MoveToDeletedItems, SoftDelete, HardDelete...}

AuditEnabled

Ja

Ja

True

AuditLogAgeLimit

Ja

Ja

90.00:00:00

AuditOwner

Ja

Ja

{Update, MoveToDeletedItems, SoftDelete, HardDelete...}

AutoExpandingArchiveEnabled

 

na

False

BypassModerationFromSendersOrMembers

Ja

Ja

{}

CalendarLoggingQuota

 

na

6 GB (6,442,450,944 bytes)

CalendarRepairDisabled

Ja

Ja

False

CalendarVersionStoreDisabled

Ja

Ja

False

ComplianceTagHoldApplied

 

na

False

CustomAttribute1

Ja

ADSyncBlock

CustomAttribute10

Ja

ADSyncBlock

CustomAttribute11

Ja

ADSyncBlock

CustomAttribute12

Ja

ADSyncBlock

CustomAttribute13

Ja

ADSyncBlock

CustomAttribute14

Ja

ADSyncBlock

CustomAttribute15

Ja

ADSyncBlock

CustomAttribute2

Ja

ADSyncBlock

CustomAttribute3

Ja

ADSyncBlock

CustomAttribute4

Ja

ADSyncBlock

CustomAttribute5

Ja

ADSyncBlock

CustomAttribute6

Ja

ADSyncBlock

CustomAttribute7

Ja

ADSyncBlock

CustomAttribute8

Ja

ADSyncBlock

CustomAttribute9

Ja

ADSyncBlock

DataEncryptionPolicy

 

na

Database

Ja

na

EURPR01DG153-db041

DatabaseGuid

 

na

11c58ed4-66a5-4b0f-8624-2cc2a6ee01a5

DefaultAuditSet

Ja

Ja

{Admin, Delegate, Owner}

DefaultPublicFolderMailbox

Ja

Ja

DelayHoldApplied

 

na

False

DelayReleaseHoldApplied

 

na

False

DeliverToMailboxAndForward

Ja

Ja

False

DisabledArchiveDatabase

 

na

DisabledArchiveGuid

 

na

00000000-0000-0000-0000-000000000000

DisabledMailboxLocations

 

na

False

DisplayName

Ja

ADSyncBlock

ADUser2

DistinguishedName

 

na

CN=ADUser2,OU=carius.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=EURPR01A002,DC=prod,DC=outlook,DC=com

DowngradeHighPriorityMessagesEnabled

Ja

na

False

EffectivePublicFolderMailbox

 

na

ElcProcessingDisabled

 

Ja

False

EmailAddressPolicyEnabled

Ja

na

False

EmailAddresses

Ja

ADSyncBlock

{smtp:ADUser2@carius.de, SMTP:ADUser2@carius.onmicrosoft.com, SIP:ADUser2@carius.de}

EndDateForRetentionHold

Ja

Ja

EnforcedTimestamps

 

[{"EventTimestamp":"2020-04-22T11:07:18.59Z","EnforcedUntilTimestamp":"2020-04-22T11:02:18.59Z","EventType":17},{"EventTimestamp":"2020-04-22T11:07:18.585Z","EnforcedUntilTimestamp":"2020-04-22T11:02:18.585Z","EventType":1}]

ExchangeGuid

 

 

51e19ea9-6ffc-4cf1-9580-0c559fe367ba

ExchangeObjectId

 

 

73e76aa8-4c47-4f5d-aaea-52fefa527290

ExchangeSecurityDescriptor

 

 

System.Security.AccessControl.RawSecurityDescriptor

ExchangeUserAccountControl

 

 

None

ExchangeVersion

 

 

0.20 (15.0.0.0)

ExtensionCustomAttribute1

Ja

ADSyncBlock

{}

ExtensionCustomAttribute2

Ja

ADSyncBlock

{}

ExtensionCustomAttribute3

Ja

ADSyncBlock

{}

ExtensionCustomAttribute4

Ja

ADSyncBlock

{}

ExtensionCustomAttribute5

Ja

ADSyncBlock

{}

Extensions

 

 

{}

ExternalDirectoryObjectId

 

 

df30efef-afe7-421a-b577-e3be83171d1e

ExternalOofOptions

 

Ja

External

ForwardingAddress

Ja

Ja

ForwardingSmtpAddress

Ja

Ja

GeneratedOfflineAddressBooks

 

na

{}

GrantSendOnBehalfTo

Ja

Ja

{}

Guid

 

 

73e76aa8-4c47-4f5d-aaea-52fefa527290

HasPicture

 

 

False

HasSnackyAppData

 

 

False

HasSpokenName

 

 

False

HiddenFromAddressListsEnabled

Ja

ADSyncBlock

False

Id

 

 

ADUser2

Identity

 

 

ADUser2

ImListMigrationCompleted

 

 

False

ImmutableId

Ja

ADSyncBlock

InPlaceHolds

 

 

{}

InactiveMailboxRetireTime

 

 

IncludeInGarbageCollection

 

 

False

IsDirSynced

 

 

True

IsExcludedFromServingHierarchy

Ja

Ja

False

IsHierarchyReady

Ja

 

True

IsHierarchySyncEnabled

Ja

 

True

IsInactiveMailbox

 

 

False

IsLinked

 

 

False

IsMachineToPersonTextMessagingEnabled

 

 

True

IsMailboxEnabled

 

 

True

IsMonitoringMailbox

 

 

False

IsPersonToPersonTextMessagingEnabled

 

 

False

IsResource

 

 

False

IsRootPublicFolderMailbox

 

 

False

IsShared

 

 

False

IsSoftDeletedByDisable

 

 

False

IsSoftDeletedByRemove

 

 

False

IsValid

 

 

True

IssueWarningQuota

Ja

Ja

98 GB (105,226,698,752 bytes)

JournalArchiveAddress

 

 

Languages

Ja

 

{}

LastExchangeChangedTime

 

 

LegacyExchangeDN

 

 

/o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=032357d5eea141f2aac9d0a09226bdee-ADUser2

LinkedMasterAccount

Ja

 

LitigationHoldDate

Ja

 

LitigationHoldDuration

Ja

 

Unlimited

LitigationHoldEnabled

Ja

 

False

LitigationHoldOwner

Ja

 

MailTip

Ja

 

MailTipTranslations

Ja

 

{}

MailboxContainerGuid

 

 

MailboxLocations

 

 

{1;51e19ea9-6ffc-4cf1-9580-0c559fe367ba;Primary;eurprd01.prod.exchangelabs.com;11c58ed4-66a5-4b0f-8624-2cc2a6ee01a5}

MailboxMoveBatchName

 

 

MailboxMoveFlags

 

 

None

MailboxMoveRemoteHostName

 

 

MailboxMoveSourceMDB

 

 

MailboxMoveStatus

 

 

None

MailboxMoveTargetMDB

 

 

MailboxPlan

 

 

ExchangeOnlineEnterprise-ea5bdd69-fb7f-4c64-8d67-39dbb4837ee4

MailboxProvisioningConstraint

 

 

MailboxProvisioningPreferences

 

 

{}

MailboxRegion

 

 

MailboxRegionLastUpdateTime

 

 

MailboxRegionSuffix

 

 

None

MailboxRelease

 

 

E15

ManagedFolderMailboxPolicy

Ja

 

MaxBlockedSenders

Ja

 

MaxReceiveSize

Ja

 

36 MB (37,748,736 bytes)

MaxSafeSenders

Ja

 

MaxSendSize

Ja

 

35 MB (36,700,160 bytes)

MessageCopyForSMTPClientSubmissionEnabled

 

 

True

MessageCopyForSendOnBehalfEnabled

Ja

 

False

MessageCopyForSentAsEnabled

Ja

 

False

MessageRecallProcessingEnabled

 

 

True

MessageTrackingReadStatusEnabled

Ja

 

True

MicrosoftOnlineServicesID

 

 

ADUser2@carius.de

ModeratedBy

Ja

 

{}

ModerationEnabled

Ja

 

False

Name

Ja

 

ADUser2

NetID

 

 

10033FFFA806FC11

NonCompliantDevices

 

 

{}

ObjectCategory

 

 

EURPR01A002.prod.outlook.com/Configuration/Schema/Person

ObjectClass

 

 

{top, person, organizationalPerson, user}

ObjectState

 

 

Unchanged

Office

Ja

 

OfflineAddressBook

Ja

 

OrganizationId

 

 

EURPR01A002.prod.outlook.com/Microsoft Exchange Hosted Organizations/carius.onmicrosoft.com - EURPR01A002.prod.outlook.com/ConfigurationUnits/carius.onmicrosoft.com/Configuration

OrganizationalUnit

 

 

eurpr01a002.prod.outlook.com/Microsoft Exchange Hosted Organizations/carius.onmicrosoft.com

OriginatingServer

 

 

HE1PR01A002DC06.EURPR01A002.prod.outlook.com

OrphanSoftDeleteTrackingTime

 

 

PSComputerName

 

 

outlook.office365.com

PSShowComputerName

 

 

False

PersistedCapabilities

 

 

{BPOS_S_BookingsAddOn, MYANALYTICSP2, BPOS_S_Enterprise}

PoliciesExcluded

 

 

{{26491cfc-9e50-4857-861b-0cb8df22b5d7}}

PoliciesIncluded

 

 

{}

PrimarySmtpAddress

Ja

 

ADUser2@carius.onmicrosoft.com

ProhibitSendQuota

Ja

 

99 GB (106,300,440,576 bytes)

ProhibitSendReceiveQuota

Ja

 

100 GB (107,374,182,400 bytes)

ProtocolSettings

 

 

{PublicFolderClientAccess§0, MAPI§1§0§§§0§§§§§0, IMAP4§1§§§§§§§§§§§§,POP3§1§§§§§§§§§§§§1...}

QueryBaseDN

Ja

 

QueryBaseDNRestrictionEnabled

 

 

False

RecipientLimits

Ja

 

500

RecipientThrottlingThreshold

 

 

Standard

RecipientType

 

 

UserMailbox

RecipientTypeDetails

 

 

UserMailbox

ReconciliationId

 

 

RecoverableItemsQuota

Ja

 

30 GB (32,212,254,720 bytes)

RecoverableItemsWarningQuota

Ja

 

20 GB (21,474,836,480 bytes)

RejectMessagesFrom

Ja

 

{}

RejectMessagesFromDLMembers

Ja

 

{}

RejectMessagesFromSendersOrMembers 

Ja

 

{}

RemoteAccountPolicy

 

 

RemoteRecipientType

Ja

 

None

RequireSenderAuthenticationEnabled 

Ja

 

False

ResetPasswordOnNextLogon

Ja

 

False

ResourceCapacity

Ja

 

ResourceCustom

Ja

 

{}

ResourceType

 

 

RetainDeletedItemsFor

Ja

 

14.00:00:00

RetainDeletedItemsUntilBackup

Ja

 

False

RetentionComment

Ja

 

RetentionHoldEnabled

Ja

 

False

RetentionPolicy

Ja

 

Default MRM Policy

RetentionUrl

Ja

 

RoleAssignmentPolicy

Ja

 

Default Role Assignment Policy

RoomMailboxAccountEnabled

 

 

RulesQuota

Ja

 

256 KB (262,144 bytes)

RunspaceId

 

 

6aa601ab-f383-44f7-aab7-38c9fbdcc8d7

SCLDeleteEnabled

Ja

 

SCLDeleteThreshold

Ja

 

SCLJunkEnabled

Ja

 

SCLJunkThreshold

Ja

 

SCLQuarantineEnabled

Ja

 

SCLQuarantineThreshold

Ja

 

SCLRejectEnabled

Ja

 

SCLRejectThreshold

Ja

 

SKUAssigned

 

 

True

SamAccountName

 

 

ADUs53402-1052571857

SendModerationNotifications

Ja

 

Always

ServerLegacyDN

 

 

/o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=DB6PR01MB3718

ServerName

na

na

db6pr01mb3718

SharedEmailDomainState

 

 

None

SharedEmailDomainStateLastModified

 

 

SharedEmailDomainTenant

 

 

SharedWithTargetSmtpAddress

 

 

SharingPolicy

Ja

 

Default Sharing Policy

SiloName

 

 

SimpleDisplayName

Ja

 

SingleItemRecoveryEnabled

Ja

 

True

SourceAnchor

 

 

StartDateForRetentionHold

Ja

 

StsRefreshTokensValidFrom

Ja

 

01.01.1601 01:00:00

ThrottlingPolicy

Ja

 

UMDtmfMap

Ja

 

{emailAddress:2387372, lastNameFirstName:2387372, firstNameLastName:2387372}

UMEnabled

 

 

False

UnifiedMailbox

 

 

UsageLocation

 

 

Deutschland

UseDatabaseQuotaDefaults

Ja

 

False

UseDatabaseRetentionDefaults

Ja

 

False

UserCertificate

Ja

 

{}

UserPrincipalName

Ja

 

ADUser2@carius.de

UserSMimeCertificate

Ja

 

{}

WasInactiveMailbox

 

 

False

WhenChanged

 

 

15.06.2021 01:11:28

WhenChangedUTC

 

 

14.06.2021 23:11:28

WhenCreated

 

 

27.01.2018 12:42:55

WhenCreatedUTC

 

 

27.01.2018 11:42:55

WhenMailboxCreated

 

 

27.03.2018 21:42:48

WhenSoftDeleted

 

 

WindowsEmailAddress

Ja

 

aduser2@carius.onmicrosoft.com

WindowsLiveID

 

 

ADUser2@carius.de

 

Weitere Links