userprofile同步用户失败的原因和解决方案

userprofile同步账号进行出现同步不到用户。有个时候同步成功了但是为0个用户。有个时候提示同步失败或拒绝等错误。如何查看同步服务同步的结果。其实明白sharepoint2010同步用户的原理都知道。userprofile服务其实调用的是FIM产品，具体位置在：

C:\Program Files\Microsoft Office Servers\14.0\Synchronization Service\UIShell下的miisclient工具。如下图：

如下图为userprofile同步服务的流程图

错误原因之一如下：

后来经过摸索，发现同步账号复制AD需要权限的，具体解决方案如下：

规划帐户权限

在“连接规划”工作表中，您为每个目录服务提供了一个同步帐户名称。必须向这些同步帐户授予特定权限，以便同步服务可从目录服务中获取所需信息。以下各节将介绍各种类型的目录服务需要的权限。请与目录服务管理员合作，以向帐户授予相应的权限。

Active Directory 域服务 (AD DS)

用于与 Active Directory 域服务 (AD DS) 的连接的同步帐户必须具有以下权限：

• 它必须具有对将与之同步的域的复制目录更改权限。有关详细信息，请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的授予对域的复制目录更改权限一节。

  注意：

  复制目录更改权限允许帐户查询目录中的更改。此权限不允许帐户在目录中进行任何更改。

• 如果域控制器运行的是 Windows Server 2003，则同步帐户必须是 Pre-Windows 2000 Compatible Access 内置组的成员。有关详细信息，请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的向 Pre-Windows 2000 Compatible Access 组添加帐户一节。

• 如果域的 NetBIOS 名称不同于完全限定的域名，则同步帐户必须对 cn=configuration 容器具有复制目录更改权限。例如，如果 NetBIOS 域名为 contoso，完全限定的域名为 contoso-corp.com，则必须授予对 cn=configuration 容器的复制目录更改权限。有关详细信息，请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的授予对 cn=configuration 容器的复制目录更改权限一节。

• 如果要将属性值从 SharePoint Server 导出到 AD DS，则同步帐户必须对要与之同步的组织单位 (OU) 具有创建子对象（此对象及所有后代）和写入所有属性（此对象及所有后代）权限。有关详细信息，请参阅“授予 Active Directory 域服务权限以同步配置文件”过程参考文章的授予创建子对象和写入权限一节。

 

授予 Active Directory 域服务权限以同步配置文件 (SharePoint Server 2010)（具体操作方法）

 

http://technet.microsoft.com/zh-cn/library/hh296982(v=office.14).aspx

 

配置后再同步。可以看到如下成功信息