Microsoft Entra Connect Sync: Zpracování chyb LargeObject způsobených atributem userCertificate

Článek
12/27/2024

Microsoft Entra ID vynucuje maximální limit 15 hodnot certifikátu u atributu userCertificate. Pokud Microsoft Entra Connect exportuje objekt s více než 15 hodnotami do Microsoft Entra ID, Microsoft Entra ID vrátí LargeObject chybu se zprávou:

"Zřízený objekt je příliš velký. Oříznout počet hodnot atributů u tohoto objektu. Operace se bude opakovat v dalším synchronizačním cyklu..."

Chyba LargeObject může být způsobena jinými atributy AD. Chcete-li potvrdit, že příčinou je atribut userCertificate, ověřte atribut proti objektu buď v místní AD, nebo v Metaverse Search Synchronization Service Manager.

Chcete-li získat seznam objektů ve vašem tenantovi s chybami LargeObject, použijte jednu z následujících metod:

Pokud je pro vašeho tenanta povolena služba Microsoft Entra Connect Health pro synchronizaci, můžete se odkázat na zprávu o synchronizačních chybách.
Karta operace Správce synchronizačních služeb zobrazí seznam objektů s chybami typu LargeObject, pokud vyberete nejnovější operaci exportu do systému Microsoft Entra.

Možnosti omezení rizik

Dokud se nevyřeší chyba LargeObject, nelze do ID Microsoft Entra exportovat jiné změny atributů stejného objektu. Pokud chcete chybu vyřešit, můžete zvážit následující možnosti:

Upgradujte Microsoft Entra Connect na build 1.1.524.0 nebo novější. V buildu Microsoft Entra Connect 1.1.524.0 se aktualizovala předem zadaná synchronizační pravidla tak, aby neexportovala atributy userCertificate a userSMIMECertificate, pokud mají atributy více než 15 hodnot. Podrobnosti o upgradu nástroje Microsoft Entra Connect najdete v článku Microsoft Entra Connect: Upgrade z předchozí verze na nejnovější.
Implementujte pravidlo odchozí synchronizace v nástroji Microsoft Entra Connect, které exportuje hodnotu null místo skutečných hodnot pro objekty s více než 15 hodnotami certifikátu. Tato možnost je vhodná, pokud pro objekty s více než 15 hodnotami nevyžadujete export žádné hodnoty certifikátu do Microsoft Entra ID. Podrobnosti o tom, jak implementovat toto pravidlo synchronizace, najdete v další části Implementace synchronizačního pravidla pro omezení exportu atributu userCertificate.
Snižte počet hodnot certifikátů v místním objektu AD (15 nebo méně) odebráním hodnot, které už vaše organizace nepoužívá. To je vhodné, pokud vypršelé nebo nepoužívané certifikáty způsobují nafouknutí atributů. Rutinu Remove-ADSyncToolsExpiredCertificates můžete použít k vyhledání, zálohování a odstranění certifikátů s vypršenou platností v místní službě AD. Před odstraněním certifikátů se doporučuje ověřit u správců Public-Key-Infrastructure ve vaší organizaci.
Nakonfigurujte Microsoft Entra Connect tak, aby vyloučil atribut userCertificate z exportu do Microsoft Entra ID. Obecně tuto možnost nedoporučujeme, protože atribut může být používán službami Microsoft Online Services k povolení konkrétních scénářů. Zejména:
- Atribut userCertificate objektu User používá klienti Exchange Online a Outlook k podepisování a šifrování zpráv. Další informace o této funkci najdete v článku S/MIME pro podepisování zpráv a šifrování.
- Atribut userCertificate na objektu typu Počítač používá Microsoft Entra ID k umožnění připojení zařízení s Windows 10, která jsou připojena k místní doméně, k Microsoft Entra ID. Další informace o této funkci najdete v článku Připojení zařízení připojených k doméně k prostředí Microsoft Entra ID pro Windows 10.

Implementace synchronizačního pravidla pro omezení exportu atributu userCertificate

Pokud chcete vyřešit chybu LargeObject způsobenou atributem userCertificate, můžete implementovat pravidlo odchozí synchronizace v microsoft Entra Connect, které exportuje hodnotu null místo skutečných hodnot pro objekty s více než 15 hodnotami certifikátu. Tato část popisuje kroky potřebné k implementaci pravidla synchronizace pro objekty Uživatel. Postup lze přizpůsobit pro objekty Kontakt a Počítač.

Důležitý

Exportování hodnoty null odstraní hodnoty certifikátu, které byly dříve úspěšně exportovány do Microsoft Entra ID.

Kroky lze shrnout takto:

Zakažte plánovač synchronizace a ověřte, že neprobíhá žádná synchronizace.
Vyhledejte existující pravidlo odchozí synchronizace pro atribut userCertificate.
Vytvořte požadované pravidlo odchozí synchronizace.
Ověřte nové pravidlo synchronizace u existujícího objektu s chybou LargeObject.
Použijte nové pravidlo synchronizace u zbývajících objektů s chybou LargeObject.
Ověřte, že neexistují žádné neočekávané změny, které čekají na export do MICROSOFT Entra ID.
Export změn do Microsoft Entra ID.
Znovu povolte plánovač synchronizace.

Krok 1: Zakázání plánovače synchronizace a ověření, že neprobíhá žádná synchronizace

Během implementace nového pravidla synchronizace se ujistěte, že neprobíhá žádná synchronizace, abyste se vyhnuli neúmyslným změnám exportu do Microsoft Entra ID. Zakázání integrovaného plánovače synchronizace:

Spusťte relaci PowerShellu na serveru Microsoft Entra Connect.
Zakázání plánované synchronizace spuštěním rutiny: Set-ADSyncScheduler -SyncCycleEnabled $false

Poznámka

Předchozí kroky platí pouze pro novější verze (1.1.xxx.x) microsoft Entra Connect s integrovaným plánovačem. Pokud používáte starší verze (1.0.xxx.x) služby Microsoft Entra Connect, která používá plánovač úloh systému Windows, nebo používáte vlastní plánovač (ne běžné) k aktivaci pravidelné synchronizace, je potřeba je odpovídajícím způsobem zakázat.

Spusťte Synchronization Service Manager tak, že půjdete na START → Synchronizační služba.
Přejděte na kartu Operations a ověřte, že neexistuje žádná operace, jejíž stav je ve fázi zpracování.

Krok 2: Vyhledání existujícího pravidla odchozí synchronizace pro atribut userCertificate

Mělo by existovat stávající pravidlo synchronizace, které je povolené a nakonfigurované k exportu atributu userCertificate pro uživatelské objekty do Microsoft Entra ID. Vyhledejte toto pravidlo synchronizace, abyste zjistili jeho pořadí a nastavení oborového filtru :

Spusťte Editor pravidel synchronizace tak, že přejdete na START → Editor pravidel synchronizace.

Nakonfigurujte filtry hledání s následujícími hodnotami:

Atribut	Hodnota
Směr	Odchozí
Typ objektu MV	osoba
Konektor	název konektoru Microsoft Entra
Typ objektu spojnice	uživatel
Atribut MV	userCertificate

Pokud k exportu atributu userCertificate pro objekty User používáte synchronizační pravidla OOB (out-of-box) s konektorem Microsoft Entra, měli byste získat zpět pravidlo „Out to Microsoft Entra ID – User ExchangeOnline“.
Poznamenejte si hodnotu priority tohoto synchronizačního pravidla.
Vyberte pravidlo synchronizace a vyberte Upravit.
V automaticky otevíraném dialogovém okně Potvrzení úpravy rezervovaného pravidla vyberte Ne. (Nemějte obavy, nebudeme provádět žádné změny tohoto pravidla synchronizace).
Na obrazovce pro úpravy vyberte záložku Rozsahový filtr.
Zaznamenejte konfiguraci scopového filtru. Pokud používáte pravidlo synchronizace OOB, měla by tam být přesně jedna skupina filtrů oborů obsahující dvě klauzule, včetně:

Atribut Operátor Hodnota

typ zdrojového objektu ROVNOCENNÝ Uživatel

cloudMastered NOTEQUAL Pravda

Atribut	Operátor	Hodnota
typ zdrojového objektu	ROVNOCENNÝ	Uživatel
cloudMastered	NOTEQUAL	Pravda

Krok 3: Vytvoření požadovaného pravidla odchozí synchronizace

Nové pravidlo synchronizace musí mít stejný filtr zaměření a vyšší prioritu než stávající pravidlo synchronizace. Tím se zajistí, že nové pravidlo synchronizace bude platit pro stejnou sadu objektů jako existující pravidlo synchronizace a přepíše stávající pravidlo synchronizace pro atribut userCertificate. Vytvoření pravidla synchronizace:

V Editoru pravidel synchronizace vyberte tlačítko Přidat nové pravidlo.

Na kartě Popiszadejte následující konfiguraci:

Atribut	Hodnota	Podrobnosti
Jméno	Zadejte název	Například "Vytvořený pro Microsoft Entra ID – vlastní přepsání pro uživatelský certifikát"
Popis	zadejte popis	Například "Pokud atribut userCertificate má více než 15 hodnot, export NULL"
Připojený systém	Vyberte konektor Microsoft Entra
Typ připojeného systémového objektu	uživatel
Typ objektu Metaverse	osoba
Typ propojení	Připojit se k
Priorita	Vybrali číslo od 1 do 99	Zvolené číslo nesmí být použito žádným existujícím pravidlem synchronizace a má nižší hodnotu (a proto vyšší prioritu) než existující pravidlo synchronizace.

Přejděte na kartu Filtr oborů a implementujte stejný filtr oborů, jaký je použit ve stávajícím pravidle synchronizace.
Přeskočte záložku Pravidla připojení.

Přejděte na kartu Transformace a přidejte novou transformaci pomocí následující konfigurace:

Atribut	Hodnota
Typ toku	výraz
Cílový atribut	userCertificate
Zdrojový atribut	Použijte následující výraz: `IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))`

Výběrem tlačítka Přidat vytvořte pravidlo synchronizace.

Krok 4: Ověření nového pravidla synchronizace u existujícího objektu s chybou LargeObject

Toto je ověření, že vytvořené pravidlo synchronizace funguje správně u existujícího objektu AD s chybou LargeObject, než ho použijete na jiné objekty:

V nástroji Synchronization Service Manager přejděte na kartu Operations.
Vyberte poslední operaci exportu do Microsoft Entra a zvolte libovolný objekt, kde se vyskytly chyby LargeObject.
Ve vyskakovacím okně Vlastnosti objektu prostoru konektoru klikněte na tlačítko Náhled.
Ve vyskakovacím okně Náhled vyberte Úplná synchronizace a vyberte Potvrdit náhled.
Zavřete obrazovku náhledu a obrazovku vlastnosti objektu v prostoru konektoru.
Přejděte na kartu Konektory ve Správci synchronizačních služeb.
Klikněte pravým tlačítkem myši na konektor Microsoft Entra ID a vyberte Spustit...
Vyskakovacím okně Spustit konektor vyberte Export krok a vyberte OK.
Počkejte, až se export do Microsoft Entra ID dokončí, a potvrďte, že u tohoto konkrétního objektu nedochází k chybě LargeObject.

Krok 5: Použití nového pravidla synchronizace u zbývajících objektů s chybou LargeObject

Po přidání pravidla synchronizace musíte na konektoru AD spustit úplný krok synchronizace:

Přejděte na kartu Konektory ve Správci synchronizačních služeb.
Pravým tlačítkem myši vyberte konektor AD a vyberte Spustit...
V dialogovém okně Spustit konektor vyberte krok úplné synchronizace a zvolte OK.
Počkejte, až se dokončí krok úplné synchronizace.
Pokud máte více než jeden konektor AD, zopakujte výše uvedené kroky pro zbývající konektory AD. Pokud máte více místních adresářů, obvykle se vyžaduje více konektorů.

Krok 6: Ověřte, že neexistují žádné neočekávané změny, které čekají na export do MICROSOFT Entra ID

Přejděte na kartu Konektory ve Správci synchronizačních služeb.
Klikněte pravým tlačítkem na konektor Microsoft Entra ID a zvolte Prohledat prostor konektoru.
V okně prohledávání konektoru:
1. Nastavte rozsah na čekající na export.
2. Zaškrtněte všechna 3 zaškrtávací políčka, včetně Přidat, Upravita Odstranit.
3. Výběrem tlačítka Hledat vrátíte všechny objekty se změnami, které čekají na export do MICROSOFT Entra ID.
4. Ověřte, že nedošlo k žádným neočekávaným změnám. Pokud chcete prozkoumat změny daného objektu, poklikejte na objekt.

Krok 7: Export změn do Microsoft Entra ID

Pro exportování změn do Microsoft Entra ID:

Přejděte na kartu Konektory ve Správci synchronizačních služeb.
Klikněte pravým tlačítkem myši na konektor Microsoft Entra ID a vyberte Spustit...
V pop-up okně Spustit konektor zvolte krok Export a klikněte na OK.
Počkejte na dokončení exportu do Microsoft Entra ID a ověřte, že neexistují žádné další chyby LargeObject.

Krok 8: Opětovné povolení plánovače synchronizace

Teď, když je problém vyřešený, znovu povolte integrovaný plánovač synchronizace:

Spusťte relaci PowerShellu.
Spusťte cmdlet pro opětovné povolení plánované synchronizace: Set-ADSyncScheduler -SyncCycleEnabled $true