Office 365 Azure AD 与本地AD同步故障

Posted 2020-06-08

在进行了Office 365 的基础AD同步之后，某天突然发现O365的AD同步不正常，如下图，默认本地AD和Office365 AD同步时间为三小时，下图中这种情况明显是有状况的。

在对上述这种情况进行Troubleshooting的时候，我在客户端要么重新安装同步工具 Azure AD Connect，要么就手动运行Azure AD 同步命令。但是这样只是一次性的触发一次同步，没有彻底的解决问题。

但是这样不是一个长久的解决办法，那就从问题的根源开始找原因。

其实Azure AD的同步也是一次从Local AD 主动向O365 推送的一次同步，我们可以在计划任务中找到这个计划。

我们点进去详细看一看

在这里我看到一个非常奇怪的账号，这个账号从字面上理解应该是Office365 AD同步系统自动生成的一个账号，结果最终问题就出在这里，我们继续往下看。

在这个计划任务的历史记录里面，我找到了相关的报错，一看多半就是账号的问题。

这个时候既然这个自动生成的账号有问题，那么自然而然会联想到我的服务器中负责 AD 同步的某一个 service是否也在跑这个账号呢？

果然被我们不幸言中，就是他，不对，是很眼熟，但是貌似又不是！而且和上面一个账号都是本机的一个本地账号。

继续，我们再打开本机的账号管理，终于找到了这两个账号！！

我确定问题肯定是出在这里。

通过微软Office365KB的查找，结果发现，Office 365 在安装AD同步工具的时候，会在本机自动创建一个叫做 AAD_ 的账号，这个账号是专门授权用来跑AD同步计划的，并主导 Microsoft Azure AD Sync服务的。

但是我不清楚我这里为什么有两个，难道和我重装多次同步工具有关？ 后续再来研究吧

以下是微软资料中的截图

唯一的 AAD_ 账号

且这里运行该计划任务的账号应该具有域管理员的权限，不然无法上传AD属性。我这里的Author是我自己，是因为我在解决问题的时候修改过这个计划任务，理论上应该是AAD_ 这个账号哈，无所谓，但是下面的running账号就非常重要了。

BTW：这里大家不要学我用自己的管理员账号，我还是强烈建议可以创建一个单独的服务账号，或者就利用这个AAD_账号，保证密码永不过期即可。

修改完成之后，手动disable再enable一下这个计划任务，run一下，可以发现同步成功，且Office365 AD也能成功同步。

本文出自 “马骏一的奔跑空间” 博客，请务必保留此出处http://horse87.blog.51cto.com/2633686/1738373