Microsoft Entra Connect-Synchronisierung: Beheben von LargeObject-Fehlern, die auf das userCertificate-Attribut zurückzuführen sind

Microsoft Entra ID erzwingt eine Obergrenze von 15 Zertifikatwerten für das userCertificate-Attribut. Wenn Microsoft Entra Connect ein Objekt mit mehr als 15 Werten in Microsoft Entra ID exportiert, gibt Microsoft Entra ID einen LargeObject-Fehler mit der folgenden Meldung zurück:

„Das bereitgestellte Objekt ist zu groß. Kürzen Sie die Anzahl der Attributwerte für dieses Objekt. Der Vorgang wird im nächsten Synchronisierungszyklus wiederholt..."

Der LargeObject-Fehler kann durch andere AD-Attribute verursacht werden. Um bestätigen, dass der Grund das userCertificate-Attribut ist, nehmen Sie entweder in der lokalen AD-Instanz oder in Synchronization Service Manager – Metaversesuche eine Überprüfung dieses Attribut anhand des Objekts vor.

Verwenden Sie zum Abrufen der Liste mit Objekten in Ihrem Mandanten mit LargeObject-Fehlern eine der folgenden Methoden:

• Wenn Ihr Mandant für Microsoft Entra Connect Health zur Synchronisierung verwendet werden kann, können Sie den bereitgestellten Fehlerbericht zur Synchronisierung zurate ziehen.

• Auf der Registerkarte Synchronization Service Manager-Vorgänge wird die Liste der Objekte mit LargeObject-Fehlern angezeigt, wenn Sie auf den Vorgang „Letzter Export nach Microsoft Entra“ klicken.

Entschärfungsoptionen

Bis der LargeObject-Fehler behoben ist, können andere Attributänderungen an demselben Objekt nicht in die Microsoft Entra-ID exportiert werden. Um den Fehler zu beheben, können Sie die folgenden Optionen berücksichtigen:

• Aktualisieren Sie Microsoft Entra Connect auf Build 1.1.524.0 oder danach. In Microsoft Entra Connect-Build 1.1.524.0 wurden die Standardregeln für die Synchronisierung aktualisiert, sodass die Attribute „UserCertificate“ und „UserSMIMECertificate“ nicht exportiert werden, wenn sie mehr als 15 Werte haben. Ausführliche Informationen zum Upgrade von Microsoft Entra Connect finden Sie im Artikel Microsoft Entra Connect: Upgrade von einer früheren Version auf die neueste.

• Implementieren Sie eine ausgehende Synchronisierungsregel in Microsoft Entra Connect, die einen NULL-Wert anstelle der tatsächlichen Werte für Objekte mit mehr als 15 Zertifikatwerten exportiert. Diese Option eignet sich, wenn Sie für Objekte mit mehr als 15 Werten keine Zertifikatwerte in die Microsoft Entra-ID exportieren müssen. Ausführliche Informationen zum Implementieren dieser Synchronisierungsregel finden Sie im nächsten Abschnitt Implementieren der Synchronisierungsregel, um den Export des userCertificate-Attributseinzuschränken.

• Verringern Sie die Anzahl der Zertifikatwerte für das lokale AD-Objekt (15 oder weniger), indem Sie Werte entfernen, die von Ihrer Organisation nicht mehr verwendet werden. Dies ist nützlich, wenn abgelaufene oder nicht verwendete Zertifikate eine Attributüberfrachtung verursachen. Sie können das Cmdlet Remove-ADSyncToolsExpiredCertificates verwenden, um abgelaufene Zertifikate in Ihrem lokalen AD zu finden, zu sichern und zu löschen. Bevor Sie die Zertifikate löschen, empfiehlt es sich, dies mit den Administratoren von Public-Key-Infrastructure in Ihrer Organisation abzuklären.

• Konfigurieren Sie Microsoft Entra Connect, um das userCertificate-Attribut vom Export in Microsoft Entra ID auszuschließen. Im Allgemeinen wird diese Option nicht empfohlen, da das Attribut möglicherweise von Microsoft Online Services verwendet wird, um bestimmte Szenarien zu aktivieren. Insbesondere:

  • Das UserCertificate-Attribut für das User-Objekt wird von Exchange Online- und Outlook-Clients für die Nachrichtensignierung und -verschlüsselung verwendet. Weitere Informationen zu diesem Feature finden Sie im Artikel S/MIME für die Nachrichtensignierung und Verschlüsselung.

  • Das userCertificate-Attribut für das Computer-Objekt wird von Microsoft Entra ID dazu verwendet, lokalen in die Domäne eingebundenen Windows 10-Geräten das Herstellen einer Verbindung mit Microsoft Entra ID zu ermöglichen. Weitere Informationen zu dieser Funktion finden Sie im Artikel Verbinden von in die Domäne eingebundenen Geräten mit Microsoft Entra ID für Windows 10-Funktionen.

Implementieren der Synchronisierungsregel zum Begrenzen des Exports auf das userCertificate-Attribut

Um den durch das Attribut "userCertificate" verursachten LargeObject-Fehler zu beheben, können Sie eine ausgehende Synchronisierungsregel in Microsoft Entra Connect implementieren, die einen NULL-Wert anstelle der tatsächlichen Werte für Objekte mit mehr als 15 Zertifikatwertenexportiert. In diesem Abschnitt werden die Schritte beschrieben, die zum Implementieren der Synchronisierungsregel für User-Objekte erforderlich sind. Die Schritte können für Kontakt- und Computer-Objekte angepasst werden.

Wichtig

Beim Exportieren des NULL-Werts werden Zertifikatwerte entfernt, die zuvor erfolgreich in die Microsoft Entra-ID exportiert wurden.

Die Schritte können zusammengefasst werden als:

1. Deaktivieren Sie den Synchronisierungszeitplaner, und stellen Sie sicher, dass keine Synchronisierung ausgeführt wird.
2. Suchen Sie die vorhandene ausgehende Synchronisierungsregel für das userCertificate-Attribut.
3. Erstellen Sie die erforderliche ausgehende Synchronisierungsregel.
4. Überprüfen Sie die neue Synchronisierungsregel anhand eines vorhandenen Objekts mit einem LargeObject-Fehler.
5. Wenden Sie die neue Synchronisierungsregel auf verbleibende Objekte mit LargeObject-Fehler an.
6. Stellen Sie sicher, dass keine unerwarteten Änderungen vorhanden sind, die auf den Export in die Microsoft Entra-ID warten.
7. Exportieren Sie die Änderungen nach Microsoft Entra ID.
8. Aktivieren Sie den Synchronisierungszeitplaner erneut.

Schritt 1: Deaktivieren des Synchronisierungszeitplans und Überprüfen, ob keine Synchronisierung ausgeführt wird

Stellen Sie sicher, dass keine Synchronisierung stattfindet, während Sie mitten in der Implementierung einer neuen Synchronisierungsregel sind, um zu vermeiden, dass unbeabsichtigte Änderungen in die Microsoft Entra-ID exportiert werden. So deaktivieren Sie den integrierten Synchronisierungszeitplaner:

1. Starten Sie die PowerShell-Sitzung auf dem Microsoft Entra Connect-Server.

2. Deaktivieren der geplanten Synchronisierung durch Ausführen des Cmdlets: Set-ADSyncScheduler -SyncCycleEnabled $false

Anmerkung

Die vorstehenden Schritte gelten nur für neuere Versionen (1.1.xxx.x) von Microsoft Entra Connect mit dem integrierten Scheduler. Wenn Sie ältere Versionen (1.0.xxx.x) von Microsoft Entra Connect verwenden, die Windows Task Scheduler verwendet, oder Sie verwenden ihren eigenen benutzerdefinierten Zeitplan (nicht üblich), um die regelmäßige Synchronisierung auszulösen, müssen Sie sie entsprechend deaktivieren.

1. Starten Sie den Synchronisierungsdienst-Manager, indem Sie zu START → Synchronisierungsdienst wechseln.

2. Gehen Sie zur Registerkarte Vorgänge, und vergewissern Sie sich, dass kein Vorgang mit dem Status In Arbeit angezeigt wird.

Schritt 2: Suchen Sie die vorhandene ausgehende Synchronisierungsregel für das userCertificate-Attribut.

Eine Synchronisierungsregel sollte vorhanden sein, die aktiviert und so konfiguriert ist, dass sie das userCertificate-Attribut für Benutzerobjekte nach Microsoft Entra ID exportiert. Suchen Sie diese Synchronisierungsregel, um ihre Konfiguration für Rangfolge und Bereichsfilter zu ermitteln:

1. Starten Sie den Synchronisierungsregeln-Editor, indem Sie zu START → Synchronisierungsregeln-Editor wechseln.

2. Konfigurieren Sie die Suchfilter mit den folgenden Werten:

   Attribute	Wert
   Richtung	Ausgehend
   MV-Objekttyp	Person
   Verbinder	Name Ihres Microsoft Entra-Connectors
   Connector-Objekttyp	user
   MV-Attribut	userCertificate

3. Wenn Sie Standardsynchronisierungsregeln mit Microsoft Entra Connector verwenden, um das UserCertificate-Attribut für Benutzerobjekte zu exportieren, sollten die Regel Ausgehend nach Microsoft Entra ID – ExchangeOnline zurückgegeben werden.

4. Notieren Sie sich den Wert der Rangfolge dieser Synchronisierungsregel.

5. Wählen Sie die Synchronisierungsregel und anschließend Bearbeitenaus.

6. Wählen Sie im Popupdialogfeld „Bestätigung der reservierten Regel bearbeiten“ Nein aus. (Keine Sorge, wir werden keine Änderungen an dieser Synchronisierungsregel vornehmen).

7. Wählen Sie auf dem Bearbeitungsbildschirm die Registerkarte Bereichsfilter aus.

8. Notieren Sie sich die Konfiguration des Bereichsfilters. Wenn Sie die Standardsynchronisierungsregel verwenden, sollte genau eine Bereichsfiltergruppe mit zwei Klauseln vorhanden sein, einschließlich:

   Attribute	Operator	Wert
   Quellobjekttyp	EQUAL	Benutzer
   cloudMastered	NOTEQUAL	Wahr

Schritt 3: Erstellen der erforderlichen ausgehenden Synchronisierungsregel

Die neue Synchronisierungsregel muss über denselben Bereichsfilter und eine höhere Rangfolge als die vorhandene Synchronisierungsregel verfügen. Dadurch wird sichergestellt, dass die neue Synchronisierungsregel auf denselben Satz von Objekten wie die vorhandene Synchronisierungsregel angewendet wird und die vorhandene Synchronisierungsregel für das UserCertificate-Attribut außer Kraft setzt. So erstellen Sie die Synchronisierungsregel:

1. Wählen Sie im Editor für Synchronisierungsregeln die Schaltfläche Neue Regel hinzufügen aus.

2. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

   Attribute	Wert	Details
   Name	Geben Sie einen Namen	Zum Beispiel „Ausgehend an Microsoft Entra ID – Benutzerdefinierte Überschreibung für userCertificate“
   Beschreibung	Geben Sie eine Beschreibung	Z. B. "Wenn das Benutzerzertifikat-Attribut mehr als 15 Werte hat, exportiere NULL."
   Verbundenes System	Auswählen des Microsoft Entra-Connectors
   Objekttyp des verbundenen Systems	user
   Metaverse-Objekttyp	person
   Verknüpfungstyp	Join
   Vorrang	Wählen Sie eine Zahl zwischen 1 und 99	Die gewählte Zahl darf nicht von einer vorhandenen Synchronisierungsregel verwendet werden und weist einen niedrigeren Wert (und daher eine höhere Rangfolge) als die vorhandene Synchronisierungsregel auf.

3. Gehen Sie zur Registerkarte Bereichsfilter, und implementieren Sie den gleichen Bereichsfilter, den auch die vorhandene Synchronisierungsregel verwendet.

4. Überspringen Sie die Registerkarte Verknüpfungsregeln.

5. Wechseln Sie zur Registerkarte Transformationen, um eine neue Transformation mithilfe der folgenden Konfiguration hinzuzufügen:

   Attribute	Wert
   Flusstyp	Ausdruck
   Zielattribut	userCertificate
   Quellattribut	Verwenden Sie den folgenden Ausdruck: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Wählen Sie die Schaltfläche Hinzufügen aus, um die Synchronisierungsregel zu erstellen.

Schritt 4: Überprüfen der neuen Synchronisierungsregel anhand eines vorhandenen Objekts mit einem LargeObject-Fehler

So überprüfen Sie, ob die erstellte Synchronisierungsregel für ein vorhandenes AD-Objekt mit LargeObject-Fehler ordnungsgemäß funktioniert, bevor Sie sie auf andere Objekte anwenden:

1. Gehen Sie in Synchronization Service Manager zur Registerkarte Vorgänge.
2. Wählen Sie den aktuellen Vorgang für den Export nach Microsoft Entra, und klicken Sie auf eines der Objekte mit LargeObject-Fehlern.
3. Wählen Sie im Popupbildschirm mit den Eigenschaften der Objekte des Connectorbereichs die Schaltfläche Vorschau aus.
4. Wählen Sie auf dem Popupbildschirm „Vorschau“ die Option Vollständige Synchronisierung und anschließend Commitvorschau aus.
5. Schließen Sie den Bildschirm „Vorschau“ und den Bildschirm mit den Eigenschaften der Objekte des Connectorbereichs.
6. Gehen Sie in Synchronization Service Manager zur Registerkarte Connectors.
7. Klicken Sie mit der rechten Maustaste auf Microsoft Entra ID-Connector, und wählen Sie Ausführen... aus.
8. Wählen Sie im Popupfenster „Connector ausführen“ den Schritt Exportieren, und wählen Sie OK aus.
9. Warten Sie, bis der Export nach Microsoft Entra ID abgeschlossen ist, und vergewissern Sie sich, dass kein weiterer LargeObject-Fehler für dieses bestimmte Objekt vorliegt.

Schritt 5: Anwenden der neuen Synchronisierungsregel auf verbleibende Objekte mit LargeObject-Fehler

Nachdem die Synchronisierungsregel hinzugefügt wurde, müssen Sie einen vollständigen Synchronisierungsschritt für den AD-Connector ausführen:

1. Gehen Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf den AD-Connector, und wählen Sie Ausführen... aus.
3. Wählen Sie im Popupfenster „Connector ausführen“ den Schritt Vollständige Synchronisierung, und wählen Sie OK aus.
4. Warten Sie, bis der Vollständige Synchronisierungsschritt abgeschlossen ist.
5. Wiederholen Sie die obigen Schritte für die verbleibenden AD-Connectors, wenn Sie über mehrere AD-Connectors verfügen. In der Regel sind mehrere Connectors erforderlich, wenn Sie über mehrere lokale Verzeichnisse verfügen.

Schritt 6: Überprüfen, ob keine unerwarteten Änderungen vorhanden sind, die auf den Export in die Microsoft Entra-ID warten

1. Gehen Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf Microsoft Entra ID-Connector, und wählen Sie Connectorbereich durchsuchen aus.
3. Im Popupfenster „Connectorbereich durchsuchen“:
   1. Legen Sie für den Bereich Ausstehender Export fest.
   2. Aktivieren Sie alle drei Kontrollkästchen: Hinzufügen, Ändernund Löschen.
   3. Wählen Sie die Schaltfläche Suchen aus, um alle Objekte mit Änderungen zurückgeben zu lassen, die auf den Export in Microsoft Entra ID warten.
   4. Stellen Sie sicher, dass keine unerwarteten Änderungen vorhanden sind. Um die Änderungen für ein bestimmtes Objekt zu untersuchen, doppelklicken Sie auf das Objekt.

Schritt 7: Exportieren Sie die Änderungen in die Microsoft Entra-ID

So exportieren Sie die Änderungen in Microsoft Entra ID:

1. Gehen Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf Microsoft Entra ID-Connector, und wählen Sie Ausführen... aus.
3. Wählen Sie im Popupfenster „Connector ausführen“ den Schritt Exportieren, und wählen Sie OK aus.
4. Warten Sie, bis der Export nach Microsoft Entra ID abgeschlossen ist und bestätigen Sie, dass keine LargeObject-Fehler mehr vorhanden sind.

Schritt 8: Erneutes Aktivieren des Synchronisierungszeitplans

Nachdem das Problem behoben ist, aktivieren Sie den integrierten Synchronisierungszeitplaner erneut:

1. Starten Sie die PowerShell-Sitzung.
2. Erneute Aktivierung der geplanten Synchronisierung durch Ausführen des Cmdlets: Set-ADSyncScheduler -SyncCycleEnabled $true

Anmerkung

Die vorstehenden Schritte gelten nur für neuere Versionen (1.1.xxx.x) von Microsoft Entra Connect mit dem integrierten Scheduler. Wenn Sie ältere Versionen (1.0.xxx.x) von Microsoft Entra Connect verwenden, die Windows Task Scheduler verwendet, oder Sie verwenden ihren eigenen benutzerdefinierten Zeitplan (nicht üblich), um die regelmäßige Synchronisierung auszulösen, müssen Sie sie entsprechend deaktivieren.

Nächste Schritte

Erfahren Sie mehr über das Integrieren Ihrer lokaler Identitäten mit Microsoft Entra ID.