新年一大早豆子就接到同事的問題,早上很多新建的用戶無法同步到Office365上。
Office365同步不了是個常見問題,豆子檢查了AD的設置,ProxyAddresses 屬性的設置,Office365的狀態,IDFix工具掃描了同步屬性狀態,貌似都很正常?這就奇怪了。
最後在 miisclient 工具裏面看見以下報錯狀態
結果研究,發現Office365有個默認限制條件 超過500個對象如果需要刪除,必須手動disable掉這個限制。這是爲了避免無意中在AD上刪掉了整個OU導致同步刪除。
https://jaapwesselius.com/2016/06/17/deletion-threshold-in-office-365-or-azure-ad-connect/
關掉很容易
Disable-ADSyncExportDeletionThreshold
然後重新執行一次delta同步
Start-ADSyncSyncCycle -PolicyType Delta
可以看見有1054個刪除的操作,怪不得被自動禁止了
確認成功同步以後再重新打開關掉的限制。
Enable-ADSyncExportDeletionThreshold -DeletionTreshold 500