Microsoft Entra Connect Sync: control de errores LargeObject causados por el atributo userCertificate

Microsoft Entra ID impone un límite máximo de 15 valores de certificado en el atributo userCertificate. Si Microsoft Entra Connect exporta un objeto con más de 15 valores a Microsoft Entra ID, Microsoft Entra ID devuelve un error LargeObject con el mensaje:

que el objeto aprovisionado es demasiado grande y se debe recordar el número de valores de atributo en este objeto. La operación se volverá a intentar en el siguiente ciclo de sincronización.

El error LargeObject puede deberse a otros atributos de AD. Para confirmar que realmente está causado por el atributo userCertificate, debe comprobarlo en el objeto ya sea en AD local o en la búsqueda de metaverso de Synchronization Service Manager.

Para obtener la lista de objetos en el inquilino con errores LargeObject, siga uno de los métodos siguientes:

• Si está habilitado el inquilino para Microsoft Entra Connect Health para sincronización, puede hacer referencia al Informe de errores de sincronización proporcionado.

• La pestaña Operaciones de Synchronization Service Manager muestra la lista de objetos con errores de LargeObject si hace clic en la última operación Exportar a Microsoft Entra.

Opciones de mitigación

Hasta que no se resuelva el error LargeObject, no se podrán exportar otros cambios de atributos del mismo objeto a Microsoft Entra ID. Para resolver el error, puede considerar las siguientes opciones:

• Actualiza Microsoft Entra Connect para la compilación 1.1.524.0 o posterior. En la compilación 1.1.524.0 de Microsoft Entra Connect, las reglas de sincronización originales se han actualizado para no exportar los atributos userSMIMECertificate y userCertificate, si estos tienen más de 15 valores. Para más información acerca cómo actualizar Microsoft Entra Connect, consulte el artículo Microsoft Entra Connect: actualización de una versión anterior a la versión más reciente.

• Implemente una regla de sincronización saliente en Microsoft Entra Connect que exporte un valor null en lugar de los valores reales para objetos con más de 15 valores de certificado. Esta opción es adecuada si no necesita que ninguno de los valores de certificado se exporte a Microsoft Entra ID para objetos con más de 15 valores. Para más información sobre cómo implementar esta regla de sincronización, consulte la sección siguiente Implementación de la regla de sincronización para limitar la exportación del atributo userCertificate.

• Reduzca el número de valores de certificado en el objeto de AD local (15 o menos) mediante la eliminación de los valores que ya no están en uso por su organización. Esto es adecuado si el sobredimensionamiento del atributo está causado por los certificados expirados o sin usar. Puede usar el cmdlet Remove-ADSyncToolsExpiredCertificates para buscar, hacer una copia de seguridad y eliminar certificados expirados en el directorio AD local. Antes de eliminar los certificados, se recomienda que los compruebe con los administradores de infraestructura de clave pública de su organización.

• Configure Microsoft Entra Connect para excluir el atributo userCertificate de ser exportado a Microsoft Entra ID. En general, no se recomienda esta opción ya que el atributo lo puede usar Microsoft Online Services para habilitar escenarios concretos. En concreto:

  • El atributo userCertificate del objeto de usuario lo usan los clientes de Outlook y Exchange Online para el cifrado y la firma de mensajes. Para más información sobre esta característica, consulte el artículo S/MIME para la firma y el cifrado de mensajes.

  • El atributo userCertificate del objeto Computer lo usa Microsoft Entra ID para permitir que los dispositivos locales unidos a un dominio de Windows 10 se conecten a Microsoft Entra ID. Para más información sobre esta característica, consulte el artículo Experiencias de conexión de dispositivos unidos a un dominio a Microsoft Entra ID para Windows 10.

Implementación de la regla de sincronización para limitar la exportación del atributo userCertificate

Para resolver el error LargeObject causado por el atributo userCertificate, puede implementar una regla de sincronización saliente en Microsoft Entra Connect que exporte un valor null en lugar de los valores reales para objetos con más de 15 valores de certificado. En esta sección se describen los pasos necesarios para implementar la regla de sincronización para objetos User. Los pasos se pueden adaptados para los objetos Contact y Computer.

Importante

La exportación de un valor null elimina los valores de certificado previamente exportados con éxito a Microsoft Entra ID.

Los pasos se pueden resumir como:

1. Deshabilitar el programador de sincronización y comprobar que no hay ninguna sincronización en curso.
2. Buscar la regla de sincronización de salida existente para el atributo userCertificate.
3. Crear la regla de sincronización de salida requerida.
4. Comprobar la nueva regla de sincronización en un objeto existente con el error LargeObject.
5. Aplicar la nueva regla de sincronización a los objetos restantes con el error LargeObject.
6. Compruebe que no hay cambios inesperados a la espera de ser exportados a Microsoft Entra ID.
7. Exporta los cambios a Microsoft Entra ID.
8. Volver a habilitar el programador de sincronización.

Paso 1: Deshabilitar el programador de sincronización y comprobar que no hay ninguna sincronización en curso

Asegúrese de que no ha realizado ninguna sincronización mientras está implementando una nueva regla de sincronización para evitar que se exporten cambios no deseados a Microsoft Entra ID. Para deshabilitar el programador de sincronización integrado:

1. Inicie una sesión en Start PowerShell en el servidor de Microsoft Entra Connect.

2. Deshabilite la sincronización programada mediante la ejecución del cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Nota:

Los pasos anteriores solo se aplican a las versiones más recientes (1.1.xxx.x) de Microsoft Entra Connect con el programador integrado. Si usa versiones anteriores (1.0.xxx.x) de Microsoft Entra Connect que utilizan el Programador de tareas de Windows, o que usa a su propio programador personalizado (no común) para desencadenar una sincronización periódica, debe deshabilitarlas según corresponda.

1. Inicie Synchronization Service Manager. Para ello, vaya a INICIO → Synchronization Service (Servicio de sincronización).

2. Vaya a la pestaña Operations (Operaciones) y confirme que no hay ninguna operación cuyo estado sea "in progress" (En curso).

Step 2: Buscar la regla de sincronización de salida existente para el atributo userCertificate

Debería existir una regla de sincronización habilitada y configurada para exportar el atributo userCertificate de los objetos Usuario a Microsoft Entra ID. Busque esta regla de sincronización para averiguar la configuración de precedencia y filtro de ámbito:

1. Inicie el editor de reglas de sincronización. Para ello, vaya a INICIO → Synchronization Rules Editor (Servicio de sincronización).

2. Configure los filtros de búsqueda con los siguientes valores:

   Atributo	Value
   Dirección	Outbound
   Tipo de objeto del metaverso	Person
   Conector	nombre del conector de Microsoft Entra
   Tipo de objeto de conector	user
   Atributos del metaverso	userCertificate

3. Si está utilizando reglas de sincronización OOB (out-of-box) para el conector de Microsoft Entra con el fin de exportar el atributo userCertificate para objetos User, debe volver a la regla “Out to Microsoft Entra ID, User ExchangeOnline”.

4. Anote el valor de precedencia de esta regla de sincronización.

5. Seleccione la regla de sincronización y haga clic en Editar.

6. En el cuadro de diálogo emergente "Edit Reserved Rule Confirmation" (Editar confirmación de regla reservada), haga clic en No. (No se preocupe, no vamos a realizar ningún cambio en esta regla de sincronización).

7. En la pantalla de edición, seleccione la pestaña Scoping filter (Filtro de ámbito).

8. Anote la configuración del filtro de ámbito. Si se usa la regla de sincronización integrada, debe haber exactamente un grupo de filtro de ámbito que contiene dos cláusulas, incluido:

   Atributo	Operador	Value
   sourceObjectType	EQUAL	Usuario
   cloudMastered	NOTEQUAL	True

Paso 3: Crear la regla de sincronización saliente necesaria

La nueva regla de sincronización debe tener el mismo filtro de ámbito y una mayor precedencia que la regla de sincronización existente. Esto asegura que la nueva regla de sincronización se aplica al mismo conjunto de objetos que la regla de sincronización existente y reemplaza la regla de sincronización existente por el atributo userCertificate. Para crear la regla de sincronización:

1. En el Editor de reglas de sincronización, haga clic en el botón Agregar nueva regla.

2. En la pestaña Descripción, proporcione la siguiente configuración:

   Atributo	Value	Detalles
   Nombre	Proporcione un nombre.	Por ejemplo, "Out to Microsoft Entra ID, Reemplazo personalizado para userCertificate"
   Descripción	Proporcione una descripción	Por ejemplo, "Si el atributo userCertificate tiene más de 15 valores, la exportación es NULL".
   Sistema conectado	Selección del conector de Microsoft Entra
   Tipo de objeto de sistema conectado	user
   Propiedades de objeto de metaverso	person
   Tipo de vínculo	Join
   Prioridad	Elija un número entre 1 y 99	El número elegido no deben usarse por ninguna regla de sincronización existente y tiene un valor inferior (y por lo tanto, una mayor precedencia) que la regla de sincronización existente.

3. Vaya a la pestaña Scoping filter (Filtro de ámbito) e implemente el mismo filtro de ámbito que está usando la regla de sincronización existente.

4. Omita pestaña Join rules (Reglas de unión).

5. Vaya a la pestaña Transformations (Transformaciones) para agregar una nueva transformación mediante la configuración siguiente:

   Atributo	Value
   Tipo de flujo	Expression
   Atributo de destino	userCertificate
   Atributo de origen	Utilice la expresión siguiente:IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Haga clic en el botón Agregar para crear la regla de sincronización.

Paso 4: Comprobar la nueva regla de sincronización en un objeto existente con error LargeObject

Esto sirve para comprobar que la regla de sincronización creada funciona correctamente en un objeto de AD existente con el error LargeObject antes de aplicarla a otros objetos:

1. Vaya a la pestaña Operations (Operaciones) de Synchronization Service Manager.
2. Seleccione la operación más reciente de exportación a Microsoft Entra y haga clic en uno de los objetos con errores LargeObject.
3. En la pantalla emergente Connector Space Object Properties (Propiedades de objeto del espacio de conector), haga clic en el botón Preview (Vista previa).
4. En la pantalla emergente Preview (Vista previa), seleccione Full synchronization (Sincronización completa) y haga clic en Commit Preview (Confirmar vista previa).
5. Cierre la pantalla de vista previa y la pantalla de propiedades del objeto de espacio de conector.
6. Vaya a la pestaña Connectors (Conectores) de Synchronization Service Manager.
7. Haga clic con el botón derecho en el conector Microsoft Entra ID y seleccione Ejecutar...
8. En el menú emergente Run Connector (Ejecutar conector), seleccione el paso Exportar (Exportar) y haga clic en OK (Aceptar).
9. Espere a que la exportación a Microsoft Entra ID finalice y confirme que no hay ningún error LargeObject más en este objeto específico.

Paso 5: Aplicar la nueva regla de sincronización a los objetos restantes con error LargeObject

Una vez que se ha agregado la regla de sincronización, debe ejecutar un paso de sincronización completa en el conector de AD:

1. Vaya a la pestaña Connectors (Conectores) de Synchronization Service Manager.
2. Haga clic con el botón derecho en el conector AD y seleccione Run... (Ejecutar).
3. En el menú emergente Run Connector (Ejecutar conector), seleccione el paso Full Synchronization (Sincronización completa) y haga clic en OK (Aceptar).
4. Espere a que el paso de sincronización completa se complete.
5. Repita los pasos anteriores para los conectores AD restantes si tiene más de uno. Normalmente, se necesitan varios conectores si tiene varios directorios locales.

Paso 6: Comprobar que no hay cambios inesperados en espera de exportarse a Microsoft Entra ID

1. Vaya a la pestaña Connectors (Conectores) de Synchronization Service Manager.
2. Haga clic con el botón derecho en el conector Microsoft Entra ID y seleccione Espacio del conector de búsqueda.
3. En el elemento emergente Search Connector Space (Espacio del conector de búsqueda):
   1. Establezca el ámbito en Pending Export (Exportación pendiente).
   2. Active las tres casillas, incluidas Add (Agregar), Modify (Modificar) y Delete (Eliminar).
   3. Haga clic en el botón Búsqueda para devolver todos los objetos con cambios que esperan su exportación a Microsoft Entra ID.
   4. Compruebe que no hay cambios inesperados. Para examinar los cambios de un determinado objeto, haga doble clic en el objeto.

Paso 7: Exportación de los cambios Microsoft Entra ID

Para exportar los cambios Microsoft Entra ID:

1. Vaya a la pestaña Connectors (Conectores) de Synchronization Service Manager.
2. Haga clic con el botón derecho en el conector Microsoft Entra ID y seleccione Ejecutar...
3. En el menú emergente Run Connector (Ejecutar conector), seleccione el paso Exportar (Exportar) y haga clic en OK (Aceptar).
4. Espere a que la exportación a Microsoft Entra ID finalice y confirme que no hay más errores en LargeObject.

Paso 8: Volver a habilitar el programador de sincronización

Ahora que el problema se ha resuelto, vuelva a habilitar el programador de sincronización integrado:

1. Inicie la sesión de PowerShell.
2. Vuelva a habilitar la sincronización programada mediante la ejecución del cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Nota:

Los pasos anteriores solo se aplican a las versiones más recientes (1.1.xxx.x) de Microsoft Entra Connect con el programador integrado. Si usa versiones anteriores (1.0.xxx.x) de Microsoft Entra Connect que utilizan el Programador de tareas de Windows, o que usa a su propio programador personalizado (no común) para desencadenar una sincronización periódica, debe deshabilitarlas según corresponda.

Pasos siguientes

Más información sobre la Integración de las identidades locales con Microsoft Entra ID.