ADSyncBlock
Wenn Sie Exchange Online mit ADSync betreiben und damit Benutzer aus dem lokalen Active Directory in die Cloud synchronisieren, dann sind einige Felder in Exchange Online "geblockt". Diese Seite beschreibt anhand einer Mailbox, welche Felder nicht per Exchange Online Powershell bearbeitet werden können. Das Thema betrifft nach meinen Erfahrungen aktuell Exchange Online und mit ganz wenigen Feldern auch Skype for Business Online/Teams.
Fehlermeldungen
Firmen mit einem lokalen Active Directory und Office 365 bedienen sich häufig den Diensten von ADSync/AAADConnect, um Benutzer, Gruppen aber auch Anmeldedaten (Password Hash Sync (PHS)) in die Cloud zu synchronisieren. ADSync überträgt dabei aber auch Informationen von Exchange (Mail/ProxyAdresses) und bei aktiviertem Hybrid-Mode noch weitere Felder.
Exchange Online erkennt aber die Existenz von ADSync und blockiert dann die Verwaltung von gewissen Exchange Einstellungen über die Cloud. Wenn Sie z.B. bei eine Mailbox solche Felder ändern wollen, kommen unterschiedliche Fehlermeldungen.
Diese Meldungen kommen alle von deutschen meinem Win10 Client, der mit "Connect-ExchangeOnline" eine Verbindung zur Cloud hergestellt hat. Anscheinend sind noch nicht alle Meldungen übersetzt. Der User "ADUSER2" wird von einem lokale Active Directory ohne Exchange-Schema mit ADSync in meinen Office 365 Tenant synchronisiert.
Die gerne genutzten "CustomAttributes" kann ich schon mal nicht schreiben. Was es dabei aber mit einer Migration zu tun hat, kann ich nicht verstehen.
PS C:\> set-mailbox aduser2 -CustomAttribute1 "hallo"
An Azure Active Directory call was made to keep object in sync between Azure Active Directory and Exchange Online.
However, it failed. Detailed error message:
Unable to update the specified properties for On-Premises mastered Directory Sync objects
or objects currently undergoing migration. RequestId : 91efd2ec-3064-4269-a92d-c8e2e3fa25f2
The issue may be transient and please retry a couple of minutes later. If issue persists, please see exception members for more information.
+ CategoryInfo : NotSpecified: (:) [Set-Mailbox], UnableToWriteToAadException
+ FullyQualifiedErrorId : [Server=AM0PR0102MB3651,RequestId=de3dec7e-fa58-43ef-b158-ce64acf12c9c,
TimeStamp=16.06.2021 11:48:26] [FailureCategory=Cmdlet-UnableToWriteToAadException] 7754AA96,Microsoft.Exchange.Management.
RecipientTasks.SetMailbox
+ PSComputerName : outlook.office365.com
Auch die von Microsoft neu eingefügten "ExtensionCustomAttributes1-5" sind nicht schreibbar. Hier ist aber die Fehlermeldung hilfreicher.
PS C:\> set-mailbox aduser2 -ExtensionCustomAttribute5 "Test"
Fehler bei Vorgang für Postfach "ADUser2", da es außerhalb des Schreibbereichs für den aktuellen Benutzer liegt. Die Aktion 'Set-Mailbox', 'ExtensionCustomAttribute5', kann nicht für das Objekt 'ADUser2' durchgeführt werden, weil
dieses Objekt von lokal synchronisiert wird. Diese Aktion sollte lokal für das Objekt durchgeführt werden.
+ CategoryInfo : InvalidOperation: (ADUser2:ADObjectId) [Set-Mailbox], InvalidOperationException
+ FullyQualifiedErrorId : [Server=AM0PR0102MB3651,RequestId=93666a20-26e2-4c6a-a1a4-e24e3190d788,TimeStamp=16.06.2021 11:54:32] [FailureCategory=Cmdlet-InvalidOperationException] 48957ABB,Microsoft.Exchange.Management.Recipient
Tasks.SetMailbox
+ PSComputerName : outlook.office365.com
Eine ähnliche Meldung bekomme ich im Exchange Admin Center, wenn ich dort z.B. den Nachname eines per ADSync verwalteten Benutzers ändern möchte
In der Office 365 Admin Konsole bietet Microsoft mir gar nicht an den Namen zu ändern
Felder und Inhalte
Ich habe erst einmal mit "Get-Mailbox alle Felder des Exchange Online-Kontos extrahiert und dann mit Set-Mailbox versucht diese zu schreiben". Leider ist auch die Beschreibung von Microsoft hier etwas unglücklich.
- Set-Mailbox
https://docs.microsoft.com/de-de/powershell/module/exchange/set-mailbox?view=exchange-ps
Auf der Webseite wurden am 16. Jun 2021 die Parameter von Set-Mailbox insgesamt sieben Mal abgedruckt. Ich habe hier meine eigene Liste gemacht:
Ich habe noch nicht alle Felder versucht zu überschreiben. Es kann auch sein, dass Microsoft den Umfang ändert und daher die Liste nicht mehr aktuell ist. Ihre Provisioning-Lösung oder ihr Skript sollte solche Fehler erkennen und behandeln.
Feldname und Parameter | Set-Mailbox Parameter | Setzbar | {} |
---|---|---|---|
AcceptMessagesOnlyFrom |
Ja |
Ja |
{} |
AcceptMessagesOnlyFromDLMembers |
Ja |
Ja |
{} |
AcceptMessagesOnlyFromSendersOrMembers |
Ja |
Ja |
{} |
AccountDisabled |
Ja |
Ja |
False |
AddressBookPolicy |
Ja |
na |
|
AddressListMembership |
|
na |
{\All Users, \Offline Global Address List, \Default Global Address List,\Mailboxes(VLV)...} |
AdminDisplayVersion |
|
na |
Version 15.20 (Build 4219.22) |
AdministrativeUnits |
|
na |
{} |
AggregatedMailboxGuids |
|
na |
{} |
Alias |
Ja |
Ja |
ADUser2 |
AntispamBypassEnabled |
|
na |
False |
ArbitrationMailbox |
|
na |
|
ArchiveDatabase |
|
na |
|
ArchiveDatabaseGuid |
|
na |
00000000-0000-0000-0000-000000000000 |
ArchiveDomain |
na |
||
ArchiveGuid |
|
na |
00000000-0000-0000-0000-000000000000 |
ArchiveName |
Ja |
Ja |
{} |
ArchiveQuota |
na |
100 GB (107,374,182,400 bytes) |
|
ArchiveRelease |
|
na |
|
ArchiveState |
|
na |
None |
ArchiveStatus |
|
na |
None |
ArchiveWarningQuota |
|
na |
90 GB (96,636,764,160 bytes) |
AuditAdmin |
Ja |
Ja |
{Update, MoveToDeletedItems, SoftDelete, HardDelete...} |
AuditDelegate |
Ja |
Ja |
{Update, MoveToDeletedItems, SoftDelete, HardDelete...} |
AuditEnabled |
Ja |
Ja |
True |
AuditLogAgeLimit |
Ja |
Ja |
90.00:00:00 |
AuditOwner |
Ja |
Ja |
{Update, MoveToDeletedItems, SoftDelete, HardDelete...} |
AutoExpandingArchiveEnabled |
|
na |
False |
BypassModerationFromSendersOrMembers |
Ja |
Ja |
{} |
CalendarLoggingQuota |
|
na |
6 GB (6,442,450,944 bytes) |
CalendarRepairDisabled |
Ja |
Ja |
False |
CalendarVersionStoreDisabled |
Ja |
Ja |
False |
ComplianceTagHoldApplied |
|
na |
False |
CustomAttribute1 |
Ja |
ADSyncBlock |
|
CustomAttribute10 |
Ja |
ADSyncBlock |
|
CustomAttribute11 |
Ja |
ADSyncBlock |
|
CustomAttribute12 |
Ja |
ADSyncBlock |
|
CustomAttribute13 |
Ja |
ADSyncBlock |
|
CustomAttribute14 |
Ja |
ADSyncBlock |
|
CustomAttribute15 |
Ja |
ADSyncBlock |
|
CustomAttribute2 |
Ja |
ADSyncBlock |
|
CustomAttribute3 |
Ja |
ADSyncBlock |
|
CustomAttribute4 |
Ja |
ADSyncBlock |
|
CustomAttribute5 |
Ja |
ADSyncBlock |
|
CustomAttribute6 |
Ja |
ADSyncBlock |
|
CustomAttribute7 |
Ja |
ADSyncBlock |
|
CustomAttribute8 |
Ja |
ADSyncBlock |
|
CustomAttribute9 |
Ja |
ADSyncBlock |
|
DataEncryptionPolicy |
|
na |
|
Database |
Ja |
na |
EURPR01DG153-db041 |
DatabaseGuid |
|
na |
11c58ed4-66a5-4b0f-8624-2cc2a6ee01a5 |
DefaultAuditSet |
Ja |
Ja |
{Admin, Delegate, Owner} |
DefaultPublicFolderMailbox |
Ja |
Ja |
|
DelayHoldApplied |
|
na |
False |
DelayReleaseHoldApplied |
|
na |
False |
DeliverToMailboxAndForward |
Ja |
Ja |
False |
DisabledArchiveDatabase |
|
na |
|
DisabledArchiveGuid |
|
na |
00000000-0000-0000-0000-000000000000 |
DisabledMailboxLocations |
|
na |
False |
DisplayName |
Ja |
ADSyncBlock |
ADUser2 |
DistinguishedName |
|
na |
CN=ADUser2,OU=carius.onmicrosoft.com,OU=Microsoft Exchange Hosted Organizations,DC=EURPR01A002,DC=prod,DC=outlook,DC=com |
DowngradeHighPriorityMessagesEnabled |
Ja |
na |
False |
EffectivePublicFolderMailbox |
|
na |
|
ElcProcessingDisabled |
|
Ja |
False |
EmailAddressPolicyEnabled |
Ja |
na |
False |
EmailAddresses |
Ja |
ADSyncBlock |
{smtp:ADUser2@carius.de, SMTP:ADUser2@carius.onmicrosoft.com, SIP:ADUser2@carius.de} |
EndDateForRetentionHold |
Ja |
Ja |
|
EnforcedTimestamps |
|
[{"EventTimestamp":"2020-04-22T11:07:18.59Z","EnforcedUntilTimestamp":"2020-04-22T11:02:18.59Z","EventType":17},{"EventTimestamp":"2020-04-22T11:07:18.585Z","EnforcedUntilTimestamp":"2020-04-22T11:02:18.585Z","EventType":1}] |
|
ExchangeGuid |
|
|
51e19ea9-6ffc-4cf1-9580-0c559fe367ba |
ExchangeObjectId |
|
|
73e76aa8-4c47-4f5d-aaea-52fefa527290 |
ExchangeSecurityDescriptor |
|
|
System.Security.AccessControl.RawSecurityDescriptor |
ExchangeUserAccountControl |
|
|
None |
ExchangeVersion |
|
|
0.20 (15.0.0.0) |
ExtensionCustomAttribute1 |
Ja |
ADSyncBlock |
{} |
ExtensionCustomAttribute2 |
Ja |
ADSyncBlock |
{} |
ExtensionCustomAttribute3 |
Ja |
ADSyncBlock |
{} |
ExtensionCustomAttribute4 |
Ja |
ADSyncBlock |
{} |
ExtensionCustomAttribute5 |
Ja |
ADSyncBlock |
{} |
Extensions |
|
|
{} |
ExternalDirectoryObjectId |
|
|
df30efef-afe7-421a-b577-e3be83171d1e |
ExternalOofOptions |
|
Ja |
External |
ForwardingAddress |
Ja |
Ja |
|
ForwardingSmtpAddress |
Ja |
Ja |
|
GeneratedOfflineAddressBooks |
|
na |
{} |
GrantSendOnBehalfTo |
Ja |
Ja |
{} |
Guid |
|
|
73e76aa8-4c47-4f5d-aaea-52fefa527290 |
HasPicture |
|
|
False |
HasSnackyAppData |
|
|
False |
HasSpokenName |
|
|
False |
HiddenFromAddressListsEnabled |
Ja |
ADSyncBlock |
False |
Id |
|
|
ADUser2 |
Identity |
|
|
ADUser2 |
ImListMigrationCompleted |
|
|
False |
ImmutableId |
Ja |
ADSyncBlock |
|
InPlaceHolds |
|
|
{} |
InactiveMailboxRetireTime |
|
|
|
IncludeInGarbageCollection |
|
|
False |
IsDirSynced |
|
|
True |
IsExcludedFromServingHierarchy |
Ja |
Ja |
False |
IsHierarchyReady |
Ja |
|
True |
IsHierarchySyncEnabled |
Ja |
|
True |
IsInactiveMailbox |
|
|
False |
IsLinked |
|
|
False |
IsMachineToPersonTextMessagingEnabled |
|
|
True |
IsMailboxEnabled |
|
|
True |
IsMonitoringMailbox |
|
|
False |
IsPersonToPersonTextMessagingEnabled |
|
|
False |
IsResource |
|
|
False |
IsRootPublicFolderMailbox |
|
|
False |
IsShared |
|
|
False |
IsSoftDeletedByDisable |
|
|
False |
IsSoftDeletedByRemove |
|
|
False |
IsValid |
|
|
True |
IssueWarningQuota |
Ja |
Ja |
98 GB (105,226,698,752 bytes) |
JournalArchiveAddress |
|
|
|
Languages |
Ja |
|
{} |
LastExchangeChangedTime |
|
|
|
LegacyExchangeDN |
|
|
/o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=032357d5eea141f2aac9d0a09226bdee-ADUser2 |
LinkedMasterAccount |
Ja |
|
|
LitigationHoldDate |
Ja |
|
|
LitigationHoldDuration |
Ja |
|
Unlimited |
LitigationHoldEnabled |
Ja |
|
False |
LitigationHoldOwner |
Ja |
|
|
MailTip |
Ja |
|
|
MailTipTranslations |
Ja |
|
{} |
MailboxContainerGuid |
|
|
|
MailboxLocations |
|
|
{1;51e19ea9-6ffc-4cf1-9580-0c559fe367ba;Primary;eurprd01.prod.exchangelabs.com;11c58ed4-66a5-4b0f-8624-2cc2a6ee01a5} |
MailboxMoveBatchName |
|
|
|
MailboxMoveFlags |
|
|
None |
MailboxMoveRemoteHostName |
|
|
|
MailboxMoveSourceMDB |
|
|
|
MailboxMoveStatus |
|
|
None |
MailboxMoveTargetMDB |
|
|
|
MailboxPlan |
|
|
ExchangeOnlineEnterprise-ea5bdd69-fb7f-4c64-8d67-39dbb4837ee4 |
MailboxProvisioningConstraint |
|
|
|
MailboxProvisioningPreferences |
|
|
{} |
MailboxRegion |
|
|
|
MailboxRegionLastUpdateTime |
|
|
|
MailboxRegionSuffix |
|
|
None |
MailboxRelease |
|
|
E15 |
ManagedFolderMailboxPolicy |
Ja |
|
|
MaxBlockedSenders |
Ja |
|
|
MaxReceiveSize |
Ja |
|
36 MB (37,748,736 bytes) |
MaxSafeSenders |
Ja |
|
|
MaxSendSize |
Ja |
|
35 MB (36,700,160 bytes) |
MessageCopyForSMTPClientSubmissionEnabled |
|
|
True |
MessageCopyForSendOnBehalfEnabled |
Ja |
|
False |
MessageCopyForSentAsEnabled |
Ja |
|
False |
MessageRecallProcessingEnabled |
|
|
True |
MessageTrackingReadStatusEnabled |
Ja |
|
True |
MicrosoftOnlineServicesID |
|
|
ADUser2@carius.de |
ModeratedBy |
Ja |
|
{} |
ModerationEnabled |
Ja |
|
False |
Name |
Ja |
|
ADUser2 |
NetID |
|
|
10033FFFA806FC11 |
NonCompliantDevices |
|
|
{} |
ObjectCategory |
|
|
EURPR01A002.prod.outlook.com/Configuration/Schema/Person |
ObjectClass |
|
|
{top, person, organizationalPerson, user} |
ObjectState |
|
|
Unchanged |
Office |
Ja |
|
|
OfflineAddressBook |
Ja |
|
|
OrganizationId |
|
|
EURPR01A002.prod.outlook.com/Microsoft Exchange Hosted Organizations/carius.onmicrosoft.com - EURPR01A002.prod.outlook.com/ConfigurationUnits/carius.onmicrosoft.com/Configuration |
OrganizationalUnit |
|
|
eurpr01a002.prod.outlook.com/Microsoft Exchange Hosted Organizations/carius.onmicrosoft.com |
OriginatingServer |
|
|
HE1PR01A002DC06.EURPR01A002.prod.outlook.com |
OrphanSoftDeleteTrackingTime |
|
|
|
PSComputerName |
|
|
outlook.office365.com |
PSShowComputerName |
|
|
False |
PersistedCapabilities |
|
|
{BPOS_S_BookingsAddOn, MYANALYTICSP2, BPOS_S_Enterprise} |
PoliciesExcluded |
|
|
{{26491cfc-9e50-4857-861b-0cb8df22b5d7}} |
PoliciesIncluded |
|
|
{} |
PrimarySmtpAddress |
Ja |
|
ADUser2@carius.onmicrosoft.com |
ProhibitSendQuota |
Ja |
|
99 GB (106,300,440,576 bytes) |
ProhibitSendReceiveQuota |
Ja |
|
100 GB (107,374,182,400 bytes) |
ProtocolSettings |
|
|
{PublicFolderClientAccess§0, MAPI§1§0§§§0§§§§§0, IMAP4§1§§§§§§§§§§§§,POP3§1§§§§§§§§§§§§1...} |
QueryBaseDN |
Ja |
|
|
QueryBaseDNRestrictionEnabled |
|
|
False |
RecipientLimits |
Ja |
|
500 |
RecipientThrottlingThreshold |
|
|
Standard |
RecipientType |
|
|
UserMailbox |
RecipientTypeDetails |
|
|
UserMailbox |
ReconciliationId |
|
|
|
RecoverableItemsQuota |
Ja |
|
30 GB (32,212,254,720 bytes) |
RecoverableItemsWarningQuota |
Ja |
|
20 GB (21,474,836,480 bytes) |
RejectMessagesFrom |
Ja |
|
{} |
RejectMessagesFromDLMembers |
Ja |
|
{} |
RejectMessagesFromSendersOrMembers |
Ja |
|
{} |
RemoteAccountPolicy |
|
|
|
RemoteRecipientType |
Ja |
|
None |
RequireSenderAuthenticationEnabled |
Ja |
|
False |
ResetPasswordOnNextLogon |
Ja |
|
False |
ResourceCapacity |
Ja |
|
|
ResourceCustom |
Ja |
|
{} |
ResourceType |
|
|
|
RetainDeletedItemsFor |
Ja |
|
14.00:00:00 |
RetainDeletedItemsUntilBackup |
Ja |
|
False |
RetentionComment |
Ja |
|
|
RetentionHoldEnabled |
Ja |
|
False |
RetentionPolicy |
Ja |
|
Default MRM Policy |
RetentionUrl |
Ja |
|
|
RoleAssignmentPolicy |
Ja |
|
Default Role Assignment Policy |
RoomMailboxAccountEnabled |
|
|
|
RulesQuota |
Ja |
|
256 KB (262,144 bytes) |
RunspaceId |
|
|
6aa601ab-f383-44f7-aab7-38c9fbdcc8d7 |
SCLDeleteEnabled |
Ja |
|
|
SCLDeleteThreshold |
Ja |
|
|
SCLJunkEnabled |
Ja |
|
|
SCLJunkThreshold |
Ja |
|
|
SCLQuarantineEnabled |
Ja |
|
|
SCLQuarantineThreshold |
Ja |
|
|
SCLRejectEnabled |
Ja |
|
|
SCLRejectThreshold |
Ja |
|
|
SKUAssigned |
|
|
True |
SamAccountName |
|
|
ADUs53402-1052571857 |
SendModerationNotifications |
Ja |
|
Always |
ServerLegacyDN |
|
|
/o=ExchangeLabs/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=DB6PR01MB3718 |
ServerName |
na |
na |
db6pr01mb3718 |
SharedEmailDomainState |
|
|
None |
SharedEmailDomainStateLastModified |
|
|
|
SharedEmailDomainTenant |
|
|
|
SharedWithTargetSmtpAddress |
|
|
|
SharingPolicy |
Ja |
|
Default Sharing Policy |
SiloName |
|
|
|
SimpleDisplayName |
Ja |
|
|
SingleItemRecoveryEnabled |
Ja |
|
True |
SourceAnchor |
|
|
|
StartDateForRetentionHold |
Ja |
|
|
StsRefreshTokensValidFrom |
Ja |
|
01.01.1601 01:00:00 |
ThrottlingPolicy |
Ja |
|
|
UMDtmfMap |
Ja |
|
{emailAddress:2387372, lastNameFirstName:2387372, firstNameLastName:2387372} |
UMEnabled |
|
|
False |
UnifiedMailbox |
|
|
|
UsageLocation |
|
|
Deutschland |
UseDatabaseQuotaDefaults |
Ja |
|
False |
UseDatabaseRetentionDefaults |
Ja |
|
False |
UserCertificate |
Ja |
|
{} |
UserPrincipalName |
Ja |
|
ADUser2@carius.de |
UserSMimeCertificate |
Ja |
|
{} |
WasInactiveMailbox |
|
|
False |
WhenChanged |
|
|
15.06.2021 01:11:28 |
WhenChangedUTC |
|
|
14.06.2021 23:11:28 |
WhenCreated |
|
|
27.01.2018 12:42:55 |
WhenCreatedUTC |
|
|
27.01.2018 11:42:55 |
WhenMailboxCreated |
|
|
27.03.2018 21:42:48 |
WhenSoftDeleted |
|
|
|
WindowsEmailAddress |
Ja |
|
aduser2@carius.onmicrosoft.com |
WindowsLiveID |
|
|
ADUser2@carius.de |