Microsoft Entra Connect Sync: control de errores LargeObject causados por el atributo userCertificate

Microsoft Entra ID impone un límite máximo de 15 valores de certificado en el atributo userCertificate. Si Microsoft Entra Connect exporta un objeto con más de 15 valores a Microsoft Entra ID, Microsoft Entra ID devuelve un error LargeObject con el mensaje:

"El objeto aprovisionado es demasiado grande. Recorte el número de valores de atributo en este objeto. La operación se reintentará en el siguiente ciclo de sincronización..."

El error LargeObject puede deberse a otros atributos de AD. Para confirmar que la causa es el atributo userCertificate, debe comprobarlo en el objeto, ya sea en AD local o en la búsqueda de metaverso de Synchronization Service Manager.

Para obtener la lista de objetos en el tenant con errores de LargeObject, utilice uno de los métodos siguientes:

• Si está habilitado el inquilino para Microsoft Entra Connect Health para sincronización, puede hacer referencia al Informe de errores de sincronización proporcionado.

• La pestaña Operaciones de Synchronization Service Manager muestra la lista de objetos con errores de LargeObject si selecciona la última operación Exportar a Microsoft Entra.

Opciones de mitigación

Hasta que se resuelva el error LargeObject, no se pueden exportar otros cambios de atributo al mismo objeto a Microsoft Entra ID. Para resolver el error, puede tener en cuenta las siguientes opciones:

• Actualice Microsoft Entra Connect a la compilación 1.1.524.0 o posterior. En la compilación 1.1.524.0 de Microsoft Entra Connect, las reglas de sincronización integradas se han actualizado para no exportar atributos userCertificate y userSMIMECertificate si los atributos tienen más de 15 valores. Para obtener más información sobre cómo actualizar Microsoft Entra Connect, consulte el artículo Microsoft Entra Connect: Actualización de una versión anterior a la última.

• Implemente una regla de sincronización de salida en Microsoft Entra Connect que exporte un valor null en lugar de los valores reales de los objetos con más de 15 valores de certificado. Esta opción es adecuada si no requiere que ninguno de los valores de certificado se exporte a Microsoft Entra ID para objetos con más de 15 valores. Para más información sobre cómo implementar esta regla de sincronización, consulte la sección siguiente Implementación de la regla de sincronización para limitar la exportación del atributo userCertificate.

• Reduzca el número de valores de certificado en el objeto de AD local (15 o menos) quitando los valores que ya no están en uso por su organización. Esto es adecuado si los certificados expirados o no se usan están causando un sobredimensionamiento de atributos. Puede usar el cmdlet Remove-ADSyncToolsExpiredCertificates para ayudar a buscar, realizar copias de seguridad y eliminar certificados expirados en el AD local. Antes de eliminar los certificados, se recomienda que los compruebe con los administradores de infraestructura de clave pública de su organización.

• Configure Microsoft Entra Connect para excluir el atributo userCertificate del proceso de exportación a Microsoft Entra ID. En general, no se recomienda esta opción, ya que Microsoft Online Services puede usar el atributo para habilitar escenarios específicos. En particular:

  • El atributo userCertificate del objeto User lo usan los clientes de Exchange Online y Outlook para la firma de mensajes y el cifrado. Para obtener más información sobre esta característica, consulte el artículo S/MIME para la firma de mensajes y el cifrado.

  • El atributo userCertificate del objeto Computer lo usa Microsoft Entra ID para permitir que los dispositivos unidos a un dominio local de Windows 10 se conecten a Microsoft Entra ID. Para obtener más información sobre esta característica, consulte el artículo Conectar dispositivos vinculados a un dominio a Microsoft Entra ID para experiencias de Windows 10.

Implementación de la regla de sincronización para limitar la exportación del atributo userCertificate

Para resolver el error LargeObject causado por el atributo userCertificate, puede implementar una regla de sincronización de salida en Microsoft Entra Connect que exporte un valor null en lugar de los valores reales de los objetos con más de 15 valores de certificado. En esta sección se describen los pasos necesarios para implementar la regla de sincronización para los objetos de usuario . Los pasos se pueden adaptados para los objetos Contact y Computer.

Importante

La exportación de un valor nulo elimina los valores de certificado que se habían exportado con éxito anteriormente a Microsoft Entra ID.

Los pasos se pueden resumir como:

1. Deshabilite el programador de sincronización y compruebe que no haya ninguna sincronización en curso.
2. Busque la regla de sincronización de salida existente para el atributo userCertificate.
3. Cree la regla de sincronización de salida necesaria.
4. Compruebe la nueva regla de sincronización en un objeto existente con el error LargeObject.
5. Aplique la nueva regla de sincronización a los objetos restantes con error LargeObject.
6. Compruebe que no hay cambios inesperados a la espera de exportarse a Microsoft Entra ID.
7. Exporte los cambios a Microsoft Entra ID.
8. Vuelva a habilitar el programador de sincronización.

Paso 1: Deshabilitar el programador de sincronización y comprobar que no hay ninguna sincronización en curso

Asegúrese de que no se realiza ninguna sincronización mientras se encuentra en medio de la implementación de una nueva regla de sincronización para evitar que se exporten cambios no deseados a Microsoft Entra ID. Para deshabilitar el programador de sincronización integrado:

1. Inicie la sesión de PowerShell en el servidor de Microsoft Entra Connect.

2. Deshabilitación de la sincronización programada mediante la ejecución del cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Nota

Los pasos anteriores solo son aplicables a las versiones más recientes (1.1.xxx.x) de Microsoft Entra Connect con el programador integrado. Si usa versiones anteriores (1.0.xxx.x) de Microsoft Entra Connect que usa el Programador de tareas de Windows o usa su propio programador personalizado (no común) para desencadenar la sincronización periódica, debe deshabilitarlos en consecuencia.

1. Inicie el Synchronization Service Manager yendo a INICIO → Synchronization Service.

2. Vaya a la pestaña Operations y confirme que no hay ninguna operación cuyo estado sea "en curso".

Paso 2: Búsqueda de la regla de sincronización de salida existente para el atributo userCertificate

Debe haber una regla de sincronización existente que esté habilitada y configurada para exportar el atributo userCertificate para objetos User a Microsoft Entra ID. Busque esta regla de sincronización para averiguar la configuración de precedencia y filtro de ámbito:

1. Inicie el editor de reglas de sincronización de ; para ello, vaya a START → Synchronization Rules Editor (Editor de reglas de sincronización).

2. Configure los filtros de búsqueda con los siguientes valores:

   Atributo	Valor
   Dirección	Outbound
   Tipo de objeto MV	Person
   Conector	nombre del conector de Microsoft Entra
   Tipo de objeto de conector	user
   Atributo del metaverso	userCertificate

3. Si está utilizando reglas de sincronización integradas (OOB, out-of-box) para el conector de Microsoft Entra con el fin de exportar el atributo userCertificate para objetos User, debe volver a la regla “Out to Microsoft Entra ID, User ExchangeOnline”.

4. Anote el valor de precedencia de esta regla de sincronización.

5. Seleccione la regla de sincronización y seleccione Editar.

6. En el cuadro de diálogo emergente "Edit Reserved Rule Confirmation" (Editar confirmación de regla reservada), seleccione No. (No se preocupe, no vamos a realizar ningún cambio en esta regla de sincronización).

7. En la pantalla de edición, seleccione la pestaña Scoping filter (Filtro de ámbito).

8. Anote la configuración del filtro de ámbito. Si se usa la regla de sincronización integrada, debe haber exactamente un grupo de filtro de ámbito que contiene dos cláusulas, incluido:

   Atributo	Operador	Valor
   sourceObjectType	EQUAL	Usuario
   cloudMastered	NOTEQUAL	Verdadero

Paso 3: Creación de la regla de sincronización de salida necesaria

La nueva regla de sincronización debe tener el mismo filtro de ámbito y una mayor prioridad que la regla de sincronización existente. Esto garantiza que la nueva regla de sincronización se aplica al mismo conjunto de objetos que la regla de sincronización existente e invalida la regla de sincronización existente para el atributo userCertificate. Para crear la regla de sincronización:

1. En el Editor de reglas de sincronización, seleccione el botón Agregar nueva regla.

2. En la pestaña Descripción, proporcione la siguiente configuración:

   Atributo	Valor	Detalles
   Nombre	Proporcione un nombre	Por ejemplo, "Salida a Microsoft Entra ID – Anulación personalizada para certificado de usuario"
   Descripción	Proporcionar una descripción	Por ejemplo, "Si el atributo userCertificate tiene más de 15 valores, exporte NULL".
   Sistema conectado	Selección del conector de Microsoft Entra
   Tipo de objeto del sistema conectado	user
   Tipo de objeto del metaverso	person
   Tipo de vínculo	Join
   Precedencia	Elegir un número entre 1 y 99	El número elegido no debe ser utilizado por ninguna regla de sincronización existente y tiene un valor menor (y, por lo tanto, mayor prioridad) que la regla de sincronización existente.

3. Vaya a la pestaña Scoping filter (Filtro de ámbito) e implemente el mismo filtro de ámbito que está usando la regla de sincronización existente.

4. Omita pestaña Join rules (Reglas de unión).

5. Vaya a la pestaña Transformaciones de para agregar una nueva transformación mediante la siguiente configuración:

   Atributo	Valor
   Tipo de flujo	Expression
   Atributo de destino	certificadoDeUsuario
   Atributo de origen	Use la siguiente expresión: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Seleccione el botón Agregar para crear la regla de sincronización.

Paso 4: Comprobación de la nueva regla de sincronización en un objeto existente con error LargeObject

Esto es para comprobar que la regla de sincronización creada funciona correctamente en un objeto de AD existente con error LargeObject antes de aplicarla a otros objetos:

1. Vaya a la pestaña Operations (Operaciones) de Synchronization Service Manager.
2. Seleccione la operación más reciente de exportación a Microsoft Entra y seleccione uno de los objetos con errores LargeObject.
3. En la pantalla emergente Connector Space Object Properties (Propiedades de objeto del espacio de conector), seleccione el botón Preview (Vista previa).
4. En la pantalla emergente Preview (Vista previa), seleccione Full synchronization (Sincronización completa) y seleccione Commit Preview (Vista previa de confirmación).
5. Cierre la pantalla de vista previa y la pantalla de propiedades del objeto de espacio de conector.
6. Vaya a la pestaña Connectors (Conectores) de Synchronization Service Manager.
7. Seleccione con el botón derecho en el conector Microsoft Entra ID y seleccione Ejecutar...
8. En el menú emergente Run Connector (Ejecutar conector), seleccione el paso Exportar (Exportar) y seleccione OK (Aceptar).
9. Espere a que la exportación a Microsoft Entra ID se complete y confirme que no hay errores de LargeObject en este objeto específico.

Paso 5: Aplicar la nueva regla de sincronización a los objetos restantes con el error LargeObject

Una vez agregada la regla de sincronización, debe ejecutar un paso de sincronización completo en el conector de AD:

1. Vaya a la pestaña Connectors (Conectores) de Synchronization Service Manager.
2. Seleccione con el botón derecho en el conector AD y seleccione Run... (Ejecutar).
3. En el menú emergente Run Connector (Ejecutar conector), seleccione el paso Full Synchronization (Sincronización completa) y seleccione OK (Aceptar).
4. Espere a que se complete el paso Sincronización completa.
5. Repita los pasos anteriores para los conectores de AD restantes si tiene más de un conector de AD. Normalmente, se requieren varios conectores si tiene varios directorios locales.

Paso 6: Comprobar que no hay cambios inesperados a la espera de exportarse a Microsoft Entra ID

1. Vaya a la pestaña Connectors (Conectores) de Synchronization Service Manager.
2. Seleccione con el botón derecho en el conector Microsoft Entra ID y seleccione Espacio del conector de búsqueda.
3. En el elemento emergente Search Connector Space (Espacio del conector de búsqueda):
   1. Establezca el ámbito en Pending Export (Exportación pendiente).
   2. Active las 3 casillas, incluidas Agregar, Modificary Eliminar.
   3. Seleccione el botón Buscar para mostrar todos los objetos con cambios en espera de ser exportados a Microsoft Entra ID.
   4. Compruebe que no hay cambios inesperados. Para examinar los cambios de un objeto determinado, haga doble clic en el objeto .

Paso 7: Exportar los cambios a Microsoft Entra ID

Para exportar los cambios a Microsoft Entra ID:

1. Vaya a la pestaña Connectors (Conectores) de Synchronization Service Manager.
2. Seleccione con el botón derecho en el conector Microsoft Entra ID y seleccione Ejecutar...
3. En el menú emergente Run Connector (Ejecutar conector), seleccione el paso Exportar (Exportar) y seleccione OK (Aceptar).
4. Espere a que la exportación a Microsoft Entra ID se complete y confirme que no hay más errores de LargeObject.

Paso 8: Volver a habilitar el programador de sincronización

Ahora que se ha resuelto el problema, vuelva a habilitar el programador de sincronización integrado:

1. Inicie la sesión de PowerShell.
2. Vuelva a habilitar la sincronización programada mediante la ejecución del cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Nota

Los pasos anteriores solo son aplicables a las versiones más recientes (1.1.xxx.x) de Microsoft Entra Connect con el programador integrado. Si usa versiones anteriores (1.0.xxx.x) de Microsoft Entra Connect que usa el Programador de tareas de Windows o usa su propio programador personalizado (no común) para desencadenar la sincronización periódica, debe deshabilitarlos en consecuencia.

Pasos siguientes

Obtenga más información sobre Integrar sus identidades locales con Microsoft Entra ID.