Sdílet prostřednictvím

Vysvětlení chyb při synchronizaci služby Microsoft Entra

  • Článek

K chybám může dojít při synchronizaci dat identity ze služby Windows Server Active Directory do Microsoft Entra ID. Tento článek obsahuje přehled různých typů chyb synchronizace, některých možných scénářů, které tyto chyby způsobují, a potenciálních způsobů, jak chyby opravit. Tento článek obsahuje běžné typy chyb a nemusí zahrnovat všechny možné chyby.

Tento článek předpokládá, že znáte základní koncepty návrhu Microsoft Entra ID a Microsoft Entra Connect.

Důležité

Tento článek se pokouší vyřešit nejběžnější chyby synchronizace. Pokrytí všech scénářů v jednom dokumentu bohužel není možné. Další informace včetně podrobných kroků pro řešení potíží najdete v tématu Kompletní řešení potíží s objekty a atributy microsoft Entra Connect a část Zřizování a synchronizace uživatelů v dokumentaci k řešení potíží s Microsoft Entra.

V nejnovější verzi služby Microsoft Entra Connect (srpen 2016 nebo novější) je v Centru pro správu Microsoft Entra k dispozici zpráva o chybách synchronizace jako součást služby Microsoft Entra Connect Health pro synchronizaci.

Od 1. září 2016 je ve výchozím nastavení povolená odolnost duplicitních atributů Microsoft Entra ID pro všechny nové tenanty Microsoft Entra. Tato funkce je automaticky povolená pro stávající tenanty.

Microsoft Entra Connect provádí tři typy operací z adresářů, které udržuje v synchronizaci: Import, Synchronizace a Export. Ve všech třech operacích může dojít k chybám. Tento článek se zaměřuje hlavně na chyby při exportu do Microsoft Entra ID.

Chyby při exportu do Microsoft Entra ID

Následující část popisuje různé typy chyb synchronizace, ke kterým může dojít během operace exportu do Microsoft Entra ID pomocí konektoru Microsoft Entra. Tento konektor můžete identifikovat podle formátu názvu contoso.onmicrosoft.com. Chyby při exportu do Microsoft Entra ID značí, že operace, jako je přidání, aktualizace nebo odstranění, o které se microsoft Entra Connect (synchronizační modul) v ID Microsoft Entra nezdařilo.

Diagram znázorňující přehled chyb exportu

Chyby neshody dat

Tato část popisuje chyby neshody dat.

InvalidHardMatch

Popis

Při synchronizaci dojde k chybě InvalidHardMatch, když dojde k pokusu o pevné shody objektů v Microsoft Entra ID s novým příchozím objektem, který má stejnou hodnotu sourceAnchor, ale funkce BlockCloudObjectTakeoverThroughHardMatchEnabled je v tenantovi povolená .

Ukázkové scénáře chyby InvalidHardMatch

  • DirSync je v tenantovi znovu povolen a objekty se stejným zdrojemAnchor jsou znovu synchronizovány, ale BlockCloudObjectTakeoverThroughHardMatchEnabled je povolena a zabraňuje obtížné shody nastat.
  • Uživatel byl vyloučen z oboru synchronizace a obnoven z koše Microsoft Entra ID. Později se uživatel znovu přidá do oboru synchronizace a pokusí se převzít objekt, který již existuje v MICROSOFT Entra ID na základě stejné hodnoty sourceAnchor, ale BlockCloudObjectTakeoverThroughHardMatchEnabled funkce je povolená a brání tomu, aby k tvrdé shodě došlo.

Příklad:

  1. Bob Smith je synchronizovaný uživatel v Microsoft Entra ID z místní služby Active Directory contoso.com.
  2. Ve výchozím nastavení je hodnota SourceAnchor "abcdefghijklmnopqrstuv==" vypočítána službou Microsoft Entra Connect pomocí atributu MsDs-ConsistencyGUID (nebo ObjectGUID v závislosti na konfiguraci) z místní Active Directory. Tato hodnota atributu je immutableId pro Bob Smith v Microsoft Entra ID.
  3. Správce odebere Boba Smitha z oboru synchronizace a Microsoft Entra Connect exportuje odstranění objektu.
  4. Objekt Boba Smitha se v Microsoft Entra ID změní na obnovitelné odstranění a jeho atribut DirSyncEnabled se přepne na False. Tento proces ale nepřevádí objekt do cloudového spravovaného, stále se považuje za objekt synchronizovaný z místní Active Directory. Hodnota DirSyncEnabled je False, která indikuje, že je aktuálně mimo rozsah synchronizace a je k dispozici, aby se znovu shodovala.
  5. Správce znovu přidá Boba Smitha do oboru synchronizace a Microsoft Entra Connect objekt znovu synchronizuje.
  6. Za normálníchokolnostch kód převezme objekt, který je v Microsoft Entra ID založený na stejném sourceAnchoru a přepne atribut DirSyncEnabled zpět na True, ale když je povolená možnost BlockCloudObjectTakeoverThroughHardMatchEnabled , tato operace není povolená a vyvolá se InvalidHardMatch.

Oprava chyby InvalidHardMatch

Zákazníkům doporučujeme povolit BlockCloudObjectTakeoverThroughHardMatchEnabled , pokud je nepotřebují k převzetí existujících účtů v Microsoft Entra ID.

Pokud potřebujete vymazat chybu InvalidHardtMatch a úspěšně se shodovat s účtem, můžete znovu povolit pevnou shodu, jak je uvedeno v hard-match vs Soft-match.

InvalidSoftMatch

Popis

  • K chybě InvalidSoftMatch dojde, když pevná shoda nenajde žádný odpovídající objekt asoft match najde odpovídající objekt, ale tento objekt má jinou neměnnou hodnotu než zdrojAnchor příchozího objektu. Tato neshoda naznačuje, že odpovídající objekt byl synchronizován z jiného objektu z místní Active Directory.

Aby obnovitelné shody fungovaly, objekt, který má být spárován, by neměl mít žádnou hodnotu pro atribut immutableId . Výsledkem operace je chyba synchronizace InvalidSoftMatch, pokud objekt s neměnným id atributu nastaven s hodnotou, selže pevná shoda, ale splňuje kritéria měkké shody.

Schéma Microsoft Entra neumožňuje, aby dva nebo více objektů měly stejnou hodnotu následujících atributů. Tento seznam není vyčerpávající:

  • proxyAddresses
  • userPrincipalName (Hlavní název uživatele)
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

Odolnost vůči duplicitním atributům Microsoft Entra se také zavádí jako výchozí chování Microsoft Entra ID. Tato funkce snižuje počet chyb synchronizace, ke které dochází u microsoft Entra Connect a dalších synchronizačních klientů. Microsoft Entra je odolnější způsobem, jakým zpracovává duplicitní atributy proxyAddresses a userPrincipalName, které jsou přítomné v prostředích místní Active Directory.

Tato funkce neopravuje chyby duplikace, takže data je potřeba opravit. Umožňuje však zřizování nových objektů, které jsou jinak blokovány z důvodu duplicitních hodnot v Microsoft Entra ID. Tato funkce také snižuje počet chyb synchronizace vrácených klientovi synchronizace.

Poznámka:

Pokud je pro vašeho tenanta povolená odolnost duplicitních atributů atributu Microsoft Entra, při zřizování nových objektů se nezobrazí chyby synchronizace InvalidSoftMatch.

Příklady scénářů chyby InvalidSoftMatch

  • V místní Active Directory existují dva nebo více objektů se stejnou hodnotou atributu proxyAddresses. V Microsoft Entra ID se zřizuje jenom jedna.
  • V místní Active Directory existují dva nebo více objektů se stejnou hodnotou atributu userPrincipalName. V Microsoft Entra ID se zřizuje jenom jedna.
  • Objekt byl přidán v místní Active Directory se stejnou hodnotou atributu proxyAddresses jako existující objekt v Microsoft Entra ID. Objekt přidaný místně se v MICROSOFT Entra ID nezřídí.
  • Objekt byl přidán v místní Active Directory se stejnou hodnotou atributu userPrincipalName jako účet v Microsoft Entra ID. Objekt se nezřídí v MICROSOFT Entra ID.
  • Synchronizovaný účet byl přesunut z doménové struktury A do doménové struktury B. Microsoft Entra Connect (synchronizační modul) k výpočtu atributu sourceAnchor používal atribut objectGUID. Po přesunutí doménové struktury se hodnota atributu sourceAnchor liší. Nový objekt z doménové struktury B se nepodaří synchronizovat s existujícím objektem v Microsoft Entra ID.
  • Synchronizovaný objekt se omylem odstranil z místní Active Directory a ve službě Active Directory byl vytvořen nový objekt pro stejnou entitu (například uživatele) bez odstranění účtu v Microsoft Entra ID. Nový účet se nepodaří synchronizovat s existujícím objektem Microsoft Entra.
  • Služba Microsoft Entra Connect byla odinstalována a znovu nainstalována. Během přeinstalace byl jako atribut sourceAnchor vybrán jiný atribut. Všechny dříve synchronizované objekty se přestanou synchronizovat s chybou InvalidSoftMatch.

Příklad:

  1. Bob Smith je synchronizovaný uživatel v Microsoft Entra ID z místní Active Directory contoso.com.
  2. Hlavní název uživatele Boba Smitha je nastavený jako bobs@contoso.com.
  3. Atribut sourceAnchor atributu "abcdefghijklmnopqrstuv==" vypočítá microsoft Entra Connect pomocí atributu ObjectGUID Boba Smithe z místní Active Directory. Tento atribut je neměnný atribut Bob Smith v Microsoft Entra ID.
  4. Bob má také následující hodnoty pro atribut proxyAddresses :
    • protokol smtp: bobs@contoso.com
    • protokol smtp: bob.smith@contoso.com
    • protokol smtp: bob@contoso.com
  5. Do místní Active Directory se přidá nový uživatel Bob Taylor.
  6. Hlavní název uživatele Boba Taylora je nastavený jako bobt@contoso.com.
  7. Atribut sourceAnchor "abcdefghijkl0123456789==" je vypočítán službou Microsoft Entra Connect pomocí atributu objectGUID Boba Taylora z místní Active Directory.
  8. Bob Taylor má následující hodnoty pro atribut proxyAddresses :
    • protokol smtp: bobt@contoso.com
    • protokol smtp: bob.taylor@contoso.com
    • protokol smtp: bob@contoso.com
  9. Během synchronizace Microsoft Entra Connect rozpozná přidání Boba Taylora v místní Active Directory a požádá Microsoft Entra ID, aby udělal stejnou změnu.
  10. Microsoft Entra nejprve provede těžkou shodu. To znamená, že vyhledá jakýkoli objekt s immutableId atribut rovná "abcdefghijkl0123456789==". Pevná shoda selže, protože žádný jiný objekt v Microsoft Entra ID nemá atribut immutableId .
  11. Microsoft Entra ID pak provede soft match najít Bob Taylor. To znamená, že vyhledá, zda existuje nějaký objekt s atributy proxyAddresses , které se rovnají třem hodnotám, včetně smtp: bob@contoso.com.
  12. Id Microsoft Entra najde objekt Boba Smitha tak, aby odpovídal kritériím obnovitelné shody. Tento objekt má ale hodnotu immutableId = "abcdefghijklmnopqrstuv==", což označuje, že tento objekt byl synchronizován z jiného objektu z místní Active Directory. ID Microsoft Entra nemůže tyto objekty spárovat, takže je vyvolán chyba synchronizace InvalidSoftMatch.

Oprava chyby InvalidSoftMatch

Nejčastějším důvodem chyby InvalidSoftMatch jsou dva objekty s různými atributy sourceAnchor (immutableId), které mají stejnou hodnotu pro atributy proxyAddresses nebo userPrincipalName , které se používají během procesu obnovitelné shody u ID Microsoft Entra. Oprava chyby InvalidSoftMatch:

  1. Identifikujte duplicitní hodnotu proxyAddresses, userPrincipalName nebo jinou hodnotu atributu, která způsobuje chybu. Identifikujte také, které dva (nebo více) objekty jsou zapojeny do konfliktu. Sestava vygenerovaná službou Microsoft Entra Connect Health pro synchronizaci vám může pomoct identifikovat dva objekty.
  2. Určete, který objekt by měl mít i nadále duplicitní hodnotu a který objekt by neměl být.
  3. Odeberte duplicitní hodnotu z objektu, který by neměl mít danou hodnotu. Udělejte změnu v adresáři, ze kterého objekt pochází. V některých případech možná budete muset odstranit jeden z objektů, které jsou v konfliktu.
  4. Pokud jste provedli změnu v místní Active Directory, nechte microsoft Entra Connect Sync změnu synchronizovat.

Zprávy o chybách synchronizace ve službě Microsoft Entra Connect Health pro synchronizaci se aktualizují každých 30 minut a obsahují chyby z posledního pokusu o synchronizaci.

Poznámka:

Atribut ImmutableId podle definice by se neměl měnit v době životnosti objektu. Možná ale microsoft Entra Connect nebyl nakonfigurovaný s některými scénáři z předchozího seznamu. V takovém případě může Microsoft Entra Connect vypočítat jinou hodnotu atributu sourceAnchor pro objekt služby Active Directory, který představuje stejnou entitu (stejný uživatel, skupinu nebo kontakt), který má existující objekt Microsoft Entra, který chcete nadále používat.

Související článek

Duplicitní nebo neplatné atributy brání synchronizaci adresářů ve službě Microsoft 365

ObjectTypeMismatch

Popis

Když se Microsoft Entra ID pokusí spárovat dva objekty, je možné, že dva objekty s různými "typem objektu", jako je uživatel, skupina nebo kontakt, mají stejné hodnoty pro atributy použité k provedení měkké shody. Vzhledem k tomu, že duplicita těchto atributů není povolená v MICROSOFT Entra ID, může operace vést k chybě synchronizace ObjectTypeMismatch.

Ukázkový scénář chyby ObjectTypeMismatch

V Microsoftu 365 se vytvoří poštovní skupina zabezpečení. Správce přidá nového uživatele nebo kontakt do místní Active Directory, který se ještě nesynchronizuje s ID Microsoft Entra se stejnou hodnotou atributu proxyAddresses jako u skupiny Microsoft 365.

Příklad:

  1. Správce vytvoří novou poštovní skupinu zabezpečení v Microsoftu 365 pro daňové oddělení a poskytne e-mailovou adresu jako tax@contoso.com. Tato skupina má přiřazenou hodnotu atributu proxyAddresses smtp: tax@contoso.com.
  2. Nový uživatel se připojí Contoso.com a pro místní uživatele se vytvoří účet s atributem proxyAddresses jako smtp: tax@contoso.com
  3. Když Microsoft Entra Connect synchronizuje nový uživatelský účet, zobrazí se chyba ObjectTypeMismatch.

Oprava chyby ObjectTypeMismatch

Nejběžnějším důvodem chyby ObjectTypeMismatch je, že dva objekty různého typu, jako je uživatel, skupina nebo kontakt, mají stejnou hodnotu pro atribut proxyAddresses . Oprava chyby ObjectTypeMismatch:

  1. Identifikujte duplicitní hodnotu proxyAddresses (nebo jiného atributu), která způsobuje chybu. Identifikujte také, které dva (nebo více) objekty jsou zapojeny do konfliktu. Sestava vygenerovaná službou Microsoft Entra Connect Health pro synchronizaci vám může pomoct identifikovat dva objekty.
  2. Určete, který objekt by měl mít i nadále duplicitní hodnotu a který objekt by neměl být.
  3. Odeberte duplicitní hodnotu z objektu, který by neměl mít danou hodnotu. Proveďte změnu v adresáři, ze kterého je objekt zdrojový. V některých případech možná budete muset odstranit jeden z objektů, které jsou v konfliktu.
  4. Pokud jste provedli změnu v místní službě AD, nechte microsoft Entra Connect Sync změnu synchronizovat. Zpráva o chybě synchronizace ve službě Microsoft Entra Connect Health pro synchronizaci se aktualizuje každých 30 minut. Sestava obsahuje chyby z posledního pokusu o synchronizaci.

Duplicitní atributy

Tato část popisuje chyby duplicitních atributů.

AttributeValueMustBeUnique

Popis

Schéma Microsoft Entra neumožňuje, aby dva nebo více objektů měly stejnou hodnotu následujících atributů. Každý objekt v Microsoft Entra ID musí mít v dané instanci jedinečnou hodnotu těchto atributů:

  • pošta
  • proxyAddresses
  • signInName
  • userPrincipalName (Hlavní název uživatele)

Pokud se Microsoft Entra Connect pokusí přidat nový objekt nebo aktualizovat existující objekt hodnotou pro předchozí atributy, které jsou již přiřazené jinému objektu v Microsoft Entra ID, bude výsledkem operace chyba synchronizace AttributeValueMustBeUnique.

Možný scénář

Duplicitní hodnota je přiřazena k již synchronizovanému objektu, který je v konfliktu s jiným synchronizovaným objektem.

Příklad:

  1. Bob Smith je synchronizovaný uživatel v Microsoft Entra ID z místní služby Active Directory contoso.com.
  2. Místní hlavní název uživatele Boba Smitha je nastavený jako bobs@contoso.com.
  3. Bob má také následující hodnoty pro atribut proxyAddresses :
    • protokol smtp: bobs@contoso.com
    • protokol smtp: bob.smith@contoso.com
    • protokol smtp: bob@contoso.com
  4. Do místní Active Directory se přidá nový uživatel Bob Taylor.
  5. Hlavní název uživatele Boba Taylora je nastavený jako bobt@contoso.com.
  6. Bob Taylor má následující hodnoty pro atribut proxyAddresses :
    • protokol smtp: bobt@contoso.com
    • protokol smtp: bob.taylor@contoso.com
  7. Objekt Boba Taylora se úspěšně synchronizuje s Microsoft Entra ID.
  8. Správce se rozhodl aktualizovat atribut ProxyAddresses Boba Taylora s následující hodnotou:
    • protokol smtp: bob@contoso.com
  9. Microsoft Entra ID se pokusí aktualizovat objekt Boba Taylora v Microsoft Entra ID o předchozí hodnotu, ale operace selže, protože tato hodnota proxyAddresses je již přiřazena Bobu Smithovi. Výsledkem je chyba AttributeValueMustBeUnique.

Oprava chyby AttributeValueMustBeUnique

Nejčastějším důvodem chyby AttributeValueMustBeUnique je, že dva objekty s různými atributy sourceAnchor (immutableId) mají stejnou hodnotu pro atributy proxyAddresses nebo userPrincipalName . Jak opravit chybu AttributeValueMustBeUnique:

  1. Identifikujte duplicitní hodnotu proxyAddresses, userPrincipalName nebo jinou hodnotu atributu, která způsobuje chybu. Identifikujte také, které dva (nebo více) objekty jsou zapojeny do konfliktu. Sestava vygenerovaná službou Microsoft Entra Connect Health pro synchronizaci vám může pomoct identifikovat dva objekty.
  2. Určete, který objekt by měl mít i nadále duplicitní hodnotu a který objekt by neměl být.
  3. Odeberte duplicitní hodnotu z objektu, který by neměl mít danou hodnotu. Udělejte změnu v adresáři, ze kterého objekt pochází. V některých případech možná budete muset odstranit jeden z objektů, které jsou v konfliktu.
  4. Pokud jste provedli změnu v místní službě Active Directory, nechte Microsoft Entra ID Connect synchronizovat změnu, aby se chyba opravila.

Související článek

Duplicitní nebo neplatné atributy brání synchronizaci adresářů ve službě Microsoft 365

Selhání ověření dat

Tato část popisuje selhání ověření dat.

IdentityDataValidationFailed

Popis

Microsoft Entra ID před povolením zápisu dat do adresáře vynucuje různá omezení samotných dat. Tato omezení zajišťují, aby koncoví uživatelé získali nejlepší možný zážitek při používání aplikací závislých na těchto datech.

Scénáře

  • Hodnota atributu userPrincipalName má neplatné nebo nepodporované znaky.
  • Atribut userPrincipalName neodpovídá požadovanému formátu.

Výsledkem předchozích scénářů je chyba IdentityDataValidationFailed.

Oprava chyby IdentityDataValidationFailed

Ujistěte se, že atribut userPrincipalName má podporované znaky a požadovaný formát.

Související článek

Příprava zřizování uživatelů prostřednictvím synchronizace adresářů do Microsoftu 365

Chyby porušení přístupu při odstraňování a přístupu k heslu

Microsoft Entra ID chrání objekty pouze v cloudu před aktualizací prostřednictvím služby Microsoft Entra Connect. I když není možné tyto objekty aktualizovat prostřednictvím služby Microsoft Entra Connect, volání je možné provést přímo do back-endu Microsoft Entra a pokusit se změnit objekty pouze v cloudu. Když to uděláte, můžou se vrátit následující chyby:

  • Tato operace synchronizace, Delete, není platná. Kontaktujte technickou podporu (typ chyby 114).
  • Tuto aktualizaci nelze zpracovat, protože aktuální požadavek obsahuje aktualizaci přihlašovacích údajů pouze jednoho nebo více uživatelů cloudu.
  • Odstranění objektu jen pro cloud není podporováno. Obraťte se na zákaznickou podporu Microsoftu.
  • Žádost o změnu hesla nejde spustit, protože obsahuje změny jednoho nebo více uživatelských objektů, které nejsou podporované. Obraťte se na zákaznickou podporu Microsoftu.

Řešení potíží s odstraněnímCloudOnlyObjectNotAllowed (typ chyby 114)

Tato část popisuje možné příčiny a řešení chyby OdstraněníCloudOnlyObjectNotAllowed (typ chyby 114).

Microsoft doporučuje, aby organizace měly dva účty pro nouzový přístup jen pro cloud trvale přiřazené roli globálního správce . Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty jsou omezené na scénáře tísňového volání nebo prolomení skla, kdy se nedají použít normální účty nebo všichni ostatní správci jsou omylem uzamčeni. Tyto účty by se měly vytvořit podle doporučení k účtu pro nouzový přístup.

Popis

Jedná se o scénář, kdy zákazník chce migrovat z hybridního do cloudu. Správce zahájí volání služby Microsoft Entra Connect při pokusu o přesunutí uživatelů mimo rozsah, ale Microsoft Entra Connect vrátí chybu DeleteCloudOnlyObjectNotAllowed (nebo typ chyby 114): "Tato synchronizační operace, Delete, není platná. Obraťte se na technickou podporu."

Mezi možné příčiny této chyby patří:

  • Volání z microsoft Entra Connect nemá žádné hlavní název uživatele (UPN), nový nebo jedinečný identifikátor GUID ani jiné požadované informace.
  • Microsoft Entra Connect se pokouší exportovat data, ale má DirSyncEnabled nastavenou hodnotu False.
  • Microsoft Entra Connect se pokouší odstranit obnoveného uživatele nebo jiného objektu. Důvodem je obvykle to, že uživatel nebo jiný odkaz na objekt byl přesunut mimo rozsah synchronizace nebo do kontejneru Ztráty a nalezen.

Možné scénáře

Klientovi Microsoft Entra Connect se nedaří odstranit uživatele během migrace pouze z hybridního do cloudu, což vede k chybě typu 114.

Mezi potenciální důvody, proč se uživatelé neodstraní, patří:

  • Pravidlo vytvořené zákazníkem pro přesunutí uživatelů mimo rozsah je založeno na atributu Admin .
  • Během operace synchronizace (Synchronizace Azure AD) se vrací chyba typu 114, což vede k selhání odstranění uživatelů.
  • Synchronizace selže u konkrétních funkcí, což vede k tomu, že se uživatelé odpovídajícím způsobem neodstraní.

Příklad chyby

Příklad chyby exportu:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Oprava chyby

Řešení tohoto problému:

  1. Identifikujte odkaz na objekt problému.
  2. Použití PowerShellu k obnovitelnému odstranění cloudového účtu:
  3. Spusťte Start-ADSyncSyncCycle -PolicyType Delta , který by měl úspěšně importovat odstranění účtu.
  4. Potvrďte, že odstranění proběhlo úspěšně.
  5. Obnovte uživatele z koše.
  6. Spusťte Start-ADSyncSyncCycle -PolicyType Delta na serveru, abyste potvrdili, že k chybě nedochází znovu.

Upozorňující

Pokud je uživatel vyloučen z oboru synchronizace, objekt se v Microsoft Entra ID změní na obnovitelné odstranění a jeho atribut DirSyncEnabled se přepne na False. Tento proces ale nepřevádí objekt na cloudový spravovaný, protože stále obsahuje atributy a hodnoty synchronizované z místní Active Directory, které nejde spravovat v cloudu. Hodnota DirSyncEnabled je False, která indikuje, že je aktuálně mimo rozsah synchronizace a je k dispozici, aby se znovu shodovala.

LargeObject nebo ExceededAllowedLength

Tato část popisuje chyby LargeObject nebo ExceededAllowedLength.

Popis

Pokud atribut překročí povolený limit velikosti, limit délky nebo limit počtu nastavený schématem Microsoft Entra, výsledkem operace synchronizace je chyba LargeObject nebo ExceededAllowedLength synchronizace. K této chybě obvykle dochází u následujících atributů:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Microsoft Entra ID neukládá omezení na atribut, s výjimkou pevně zakódovaného limitu 15 certifikátů v atributu userCertificate a až 100 atributů pro rozšíření adresáře s maximálně 250 znaky pro každé rozšíření adresáře. Pro celý objekt existuje limit velikosti. Když seMicrosoft Entra Connect pokusí synchronizovat objekt, který překračuje tento limit velikosti objektu, je vyvolána chyba exportu.

Ke konečné velikosti objektu přispívají všechny atributy. Některé atributy mají různé násobitele hmotnosti kvůli dodatečné režii na zpracování. Příkladem jsou indexované hodnoty. K účtu můžou být přiřazeny také různé cloudové služby, plány služeb a licence, které spotřebovávají ještě více atributů a přispívají k celkové velikosti objektu.

Není možné přesně určit, kolik položek může atribut obsahovat v MICROSOFT Entra ID, například kolik adres SMTP se může vejít do atributu proxyAddresses . Množství závisí na velikosti a násobení faktorů všech atributů naplněných v objektu.

Možné scénáře

  • Atribut userCertificate Boba ukládá příliš mnoho certifikátů přiřazených Bobovi. Mohou mezi nimi být i starší, neplatné certifikáty. Pevně stanovený limit je 15 certifikátů. Další informace o zpracování chyb LargeObject s atributem userCertificate naleznete v tématu Zpracování chyb LargeObject způsobených atributem userCertificate.
  • Atribut UserSMIMECertificate Boba ukládá příliš mnoho certifikátů přiřazených Bobovi. Mohou mezi nimi být i starší, neplatné certifikáty. Pevně stanovený limit je 15 certifikátů.
  • Atribut ThumbnailPhoto boba v Active Directory je příliš velký, aby se synchronizoval v Microsoft Entra ID.
  • Během automatického souboru atributu proxyAddresses ve službě Active Directory má objekt přiřazených příliš mnoho atributů proxyAddresses .

Následující příklady ukazují různé váhy atributů, jako je userCertificate a proxyAddresses:

  • Synchronizovaný uživatel, který nemá jiné atributy, než jsou povinné atributy služby Active Directory, a pošta může synchronizovat až 332 proxy adres.
  • U podobného synchronizovaného uživatele s atributem mailNickName plus 10 uživatelských certifikátů se maximální počet proxy adres sníží na 329.
  • Pokud je podobný synchronizovaný uživatel s 10 uživatelskými certifikáty plus například 4 předplatná přiřazená (se všemi povolenými plány služeb), maximální počet proxy adres se sníží na 311.
  • Teď vezmeme předchozího uživatele, který už obsahuje maximální počet proxy adres, a řekněme, že potřebujete přidat jednu další adresu SMTP. Abyste dosáhli 312 proxy adres, musíte odebrat aspoň tři uživatelské certifikáty (v závislosti na velikosti certifikátu).

Poznámka:

Tato čísla se mohou mírně lišit. Obecně platí, že je bezpečnější předpokládat, že limit adres SMTP v atributu proxyAddresses je přibližně 300 adres, aby se uvolnil prostor pro budoucí růst objektu a jeho naplněné atributy.

Oprava chyby LargeObject nebo ExceededAllowedLength

Zkontrolujte vlastnosti uživatele a odeberte hodnoty atributů, které už nemusí být vyžadovány. Mezi příklady patří odvolané nebo prošlé certifikáty a zastaralé nebo nepotřebné adresy, jako je SMTP, X.400, X.500, MSMail a CcMail.

Konflikt existujících rolí správce

Popis

Při synchronizaci objektu uživatele dojde k chybě synchronizace existující konfliktní role správce, pokud má tento objekt uživatele:

  • Oprávnění správce.
  • Stejný atribut userPrincipalName jako existující objekt Microsoft Entra.

Microsoft Entra Connect nemá povoleno soft match a user object from on-premises AD with a user object in Microsoft Entra ID that has an administrative role assigned to it. Další informace naleznete v tématu Microsoft Entra userPrincipalName population.

Snímek obrazovky znázorňující počet chyb při synchronizaci existujících rolí správce

Oprava chyby při konfliktu existující role správce

Řešení tohoto problému:

  1. Odeberte účet Microsoft Entra (vlastník) ze všech rolí správce.
  2. Odstranění objektu v karanténě v cloudu
  3. Další cyklus synchronizace se postará o obnovitelné porovnávání místního uživatele s cloudovým účtem, protože cloudový uživatel už není správcem hybridní identity.
  4. Obnovte členství rolí vlastníka.

Poznámka:

Roli správce můžete přiřadit existujícímu objektu uživatele znovu po dokončení obnovitelné shody mezi místním objektem uživatele a objektem uživatele Microsoft Entra.