Microsoft Entra Connect Sync: LargeObject-fouten verwerken die worden veroorzaakt door het kenmerk userCertificate

Microsoft Entra ID handhaaft een maximum van 15 certificaatwaarden op het kenmerk userCertificate. Als Microsoft Entra Connect een object met meer dan 15 waarden exporteert naar Microsoft Entra ID, retourneert Microsoft Entra ID een LargeObject foutbericht met het volgende bericht:

Het geconfigureerde object is te groot. Het aantal kenmerkwaarden voor dit object bijsnijden. De bewerking wordt opnieuw geprobeerd in de volgende synchronisatiecyclus..."

De LargeObject-fout kan worden veroorzaakt door andere AD-kenmerken. Om te bevestigen dat de oorzaak het userCertificate-kenmerk is, controleert u het object in on-premises AD of in de Synchronization Service Manager Metaverse Search.

Gebruik een van de volgende methoden om de lijst met objecten in uw tenant met LargeObject-fouten op te halen:

• Als uw tenant is geconfigureerd voor Microsoft Entra Connect Health voor synchronisatie, kunt u het verstrekte synchronisatiefoutrapport raadplegen.

• Op het tabblad Synchronization Service Manager Operations wordt de lijst met objecten met LargeObject-fouten weergegeven als u de meest recente exportbewerking naar Microsoft Entra selecteert.

Opties voor risicobeperking

Totdat de LargeObject-fout is opgelost, kunnen andere kenmerkwijzigingen in hetzelfde object niet worden geëxporteerd naar Microsoft Entra-id. U kunt de volgende opties overwegen om de fout op te lossen:

• Voer een upgrade uit van Microsoft Entra Connect naar build 1.1.524.0 of later. In Microsoft Entra Connect build 1.1.524.0 zijn de out-of-box-synchronisatieregels bijgewerkt om kenmerken userCertificate en userSMIMECertificate niet te exporteren als de kenmerken meer dan 15 waarden hebben. Raadpleeg het artikel Microsoft Entra Connect: upgraden van een vorige versie naar de meest recentevoor meer informatie over het upgraden van Microsoft Entra Connect.

• Implementeer een uitgaande synchronisatieregel in Microsoft Entra Connect waarmee een null-waarde wordt geëxporteerd in plaats van de werkelijke waarden voor objecten met meer dan 15 certificaatwaarden. Deze optie is geschikt als u niet wilt dat de certificaatwaarden worden geëxporteerd naar Microsoft Entra-id voor objecten met meer dan 15 waarden. Raadpleeg de volgende sectie Synchronisatieregel implementeren om het exporteren van het kenmerk userCertificate te beperkenvoor meer informatie over het implementeren van deze synchronisatieregel.

• Verminder het aantal certificaatwaarden op het on-premises AD-object (15 of minder) door waarden te verwijderen die niet meer worden gebruikt door uw organisatie. Dit is geschikt als verlopen of ongebruikte certificaten kenmerk-bloat veroorzaken. U kunt de cmdlet Remove-ADSyncToolsExpiredCertificates gebruiken om verlopen certificaten in uw on-premises AD te vinden, er een back-up van te maken en te verwijderen. Voordat u de certificaten verwijdert, is het raadzaam dat u verifieert met de openbareKey-Infrastructure beheerders in uw organisatie.

• Configureer Microsoft Entra Connect om het kenmerk userCertificate uit te sluiten van het exporteren naar Microsoft Entra-id. Over het algemeen raden we deze optie niet aan, omdat het kenmerk kan worden gebruikt door Microsoft Online Services om specifieke scenario's in te schakelen. In het bijzonder:

  • Het kenmerk userCertificate op het gebruikersobject wordt gebruikt door Exchange Online- en Outlook-clients voor berichtondertekening en -versleuteling. Raadpleeg het artikel S/MIME voor berichtondertekening en -versleutelingvoor meer informatie over deze functie.

  • Het kenmerk userCertificate op het computerobject wordt door Microsoft Entra-id gebruikt om windows 10 on-premises apparaten die lid zijn van een domein verbinding te laten maken met Microsoft Entra-id. Raadpleeg het artikel Verbinding maken van domein-gebonden apparaten met Microsoft Entra ID voor Windows 10-ervaringenvoor meer informatie over deze functie.

Synchronisatieregel implementeren om het exporteren van het kenmerk userCertificate te beperken

Als u de LargeObject-fout wilt oplossen die wordt veroorzaakt door het kenmerk userCertificate, kunt u een uitgaande synchronisatieregel implementeren in Microsoft Entra Connect waarmee een null-waarde wordt geëxporteerd in plaats van de werkelijke waarden voor objecten met meer dan 15 certificaatwaarden. In deze sectie worden de stappen beschreven die nodig zijn voor het implementeren van de synchronisatieregel voor gebruikers--objecten. De stappen kunnen worden aangepast voor Contact en Computer objecten.

Belangrijk

Bij het exporteren van een null-waarde worden certificaatwaarden verwijderd die eerder succesvol naar Microsoft Entra ID zijn geëxporteerd.

De stappen kunnen worden samengevat als:

1. Schakel de synchronisatieplanner uit en controleer of er geen synchronisatie wordt uitgevoerd.
2. Zoek de bestaande uitgaande synchronisatieregel voor het kenmerk userCertificate.
3. Maak de vereiste regel voor uitgaande synchronisatie.
4. Controleer de nieuwe synchronisatieregel voor een bestaand object met de LargeObject-fout.
5. Pas de nieuwe synchronisatieregel toe op resterende objecten met een LargeObject-fout.
6. Controleer of er geen onverwachte wijzigingen zijn die wachten om te worden geëxporteerd naar Microsoft Entra-id.
7. Exporteer de wijzigingen naar de Microsoft Entra-id.
8. Schakel de synchronisatieplanner opnieuw in.

Stap 1: Synchronisatieplanner uitschakelen en controleren of er geen synchronisatie wordt uitgevoerd

Zorg ervoor dat er geen synchronisatie plaatsvindt tijdens het implementeren van een nieuwe synchronisatieregel om te voorkomen dat onbedoelde wijzigingen worden geëxporteerd naar Microsoft Entra-id. De ingebouwde synchronisatieplanner uitschakelen:

1. Start de PowerShell-sessie op de Microsoft Entra Connect-server.

2. Geplande synchronisatie uitschakelen door cmdlet uit te voeren: Set-ADSyncScheduler -SyncCycleEnabled $false

Notitie

De voorgaande stappen zijn alleen van toepassing op nieuwere versies (1.1.xxx.x) van Microsoft Entra Connect met de ingebouwde scheduler. Als u oudere versies (1.0.xxx.x) van Microsoft Entra Connect gebruikt die gebruikmaakt van Windows Task Scheduler, of als u uw eigen aangepaste planner (niet gebruikelijk) gebruikt om periodieke synchronisatie te activeren, moet u ze dienovereenkomstig uitschakelen.

1. Start de Synchronization Service Manager- door naar START → Synchronization Service te gaan.

2. Ga naar het tabblad Bewerkingen en controleer of er geen bewerking is waarvan de status "in uitvoering" is.

Stap 2: zoek de bestaande uitgaande synchronisatieregel voor het kenmerk userCertificate

Er moet een bestaande synchronisatieregel zijn die is ingeschakeld en geconfigureerd voor het exporteren van het kenmerk userCertificate voor gebruikersobjecten naar Microsoft Entra-id. Zoek deze synchronisatieregel op om de prioriteit en de scope filter configuratie te achterhalen.

1. Start de Editor voor synchronisatieregels door te navigeren naar START → Editor voor synchronisatieregels.

2. Configureer de zoekfilters met de volgende waarden:

   Attribuut	Waarde
   Richting	uitgaande
   MV-objecttype	Persoon
   Verbinder	naam van uw Microsoft Entra-connector
   Verbindingsobjecttype	gebruiker
   MV-kenmerk	userCertificate

3. Als u OOB-synchronisatieregels (out-of-box) gebruikt voor Microsoft Entra-connector om het kenmerk userCertificate voor gebruikersobjecten te exporteren, moet u de 'Out to Microsoft Entra ID – User ExchangeOnline' regel terughalen.

4. Noteer de prioriteit waarde van deze synchronisatieregel.

5. Selecteer de synchronisatieregel en selecteer bewerken.

6. Selecteer in het pop-upvenster 'Bevestiging van gereserveerde regel bewerken'Geen. (Geen zorgen, we gaan geen wijzigingen aanbrengen in deze synchronisatieregel).

7. Selecteer in het bewerkingsscherm het tabblad Omvangsfilter.

8. Schrijf de bereikfilterconfiguratie op. Als u de OOB-synchronisatieregel gebruikt, moet er precies één bereikfiltergroep met twee clausules, waaronder:

   Attribuut	Bediener	Waarde
   sourceObjectType	GELIJK	Gebruiker
   cloudMastered	NOTEQUAL	Waar

Stap 3: Maak de vereiste regel voor uitgaande synchronisatie

De nieuwe synchronisatieregel moet hetzelfde bereikfilter hebben en hogere prioriteit dan de bestaande synchronisatieregel. Dit zorgt ervoor dat de nieuwe synchronisatieregel van toepassing is op dezelfde set objecten als de bestaande synchronisatieregel en de bestaande synchronisatieregel voor het kenmerk userCertificate overschrijft. De synchronisatieregel maken:

1. Selecteer in de editor voor synchronisatieregels de knop Nieuwe regel toevoegen.

2. Geef op het tabblad Beschrijvingde volgende configuratie op:

   Attribuut	Waarde	Bijzonderheden
   Naam	Geef een naam op	Bijvoorbeeld "Out to Microsoft Entra ID – Custom override voor userCertificate"
   Beschrijving	Een beschrijving opgeven	Bijvoorbeeld: 'Als het kenmerk userCertificate meer dan 15 waarden heeft, exporteert u NULL'
   Verbonden systeem	De Microsoft Entra-connector selecteren
   Verbonden systeemobjecttype	gebruiker
   Metaverse-objecttype	persoon
   Koppelingstype	deelnemen aan
   Voorrang	Kies een getal tussen 1 en 99	Het gekozen getal mag niet worden gebruikt door een bestaande synchronisatieregel en heeft een lagere waarde (en dus een hogere prioriteit) dan de bestaande synchronisatieregel.

3. Ga naar het tabblad bereikfilter en implementeer hetzelfde bereikfilter dat de bestaande synchronisatieregel gebruikt.

4. Sla het tabblad Koppelregels over.

5. Ga naar het tabblad Transformaties om een nieuwe transformatie toe te voegen met behulp van de volgende configuratie:

   Attribuut	Waarde
   Stroomtype	Expressie-
   Doelkenmerk	gebruikerscertificaat
   Bronkenmerk	Gebruik de volgende expressie: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Selecteer de knop Toevoegen om de synchronisatieregel te maken.

Stap 4: Controleer de nieuwe synchronisatieregel op een bestaand object met de fout LargeObject

Dit is om te controleren of de gemaakte synchronisatieregel correct werkt op een bestaand AD-object met largeObject-fout voordat u deze toepast op andere objecten:

1. Ga naar het tabblad Operations in Synchronization Service Manager.
2. Selecteer de meest recente exportbewerking naar Microsoft Entra en selecteer een van de objecten met LargeObject-fouten.
3. Selecteer in het pop-upvenster Eigenschappen van connectorruimteobject op de knop Preview.
4. Selecteer in het pop-upvenster Voorbeeld volledige synchronisatie en selecteer doorvoervoorbeeld.
5. Sluit het voorbeeldscherm en het eigenschappenvenster van het connectorruimte-object.
6. Ga naar het tabblad Connectors in Synchronisatieservicebeheer.
7. Klik met de rechtermuisknop op de Microsoft Entra ID Connector en kies Uitvoeren...
8. Selecteer in het pop-upvenster Connector uitvoeren stap exporteren en selecteer OK.
9. Wacht tot exporteren naar Microsoft Entra-id is voltooid en controleer of er geen LargeObject-fout meer is op dit specifieke object.

Stap 5: De nieuwe synchronisatieregel toepassen op resterende objecten met de fout LargeObject

Zodra de synchronisatieregel is toegevoegd, moet u een volledige synchronisatiestap uitvoeren op de AD-connector:

1. Ga naar het tabblad Connectors in Synchronisatieservicebeheer.
2. Klik met de rechtermuisknop op de AD Connector en selecteer Starten...
3. In de pop-up ‘Connector uitvoeren’ selecteer je de stap volledige synchronisatie en selecteer je OK.
4. Wacht totdat de volledige synchronisatiestap is voltooid.
5. Herhaal de bovenstaande stappen voor de resterende AD-connectors als u meer dan één AD-connectors hebt. Meestal zijn meerdere connectors vereist als u meerdere on-premises mappen hebt.

Stap 6: Controleer of er geen onverwachte wijzigingen zijn die wachten om te worden geëxporteerd naar Microsoft Entra-id

1. Ga naar het tabblad Connectors in Synchronisatieservicebeheer.
2. Selecteer met de rechtermuisknop de Microsoft Entra ID Connector en selecteer zoekconnectorruimte.
3. In het pop-upvenster Zoekconnector:
   1. Stel bereik in op in behandeling voor export.
   2. Schakel alle drie selectievakjes in, waaronder Toevoegen, Wijzigenen Verwijderen.
   3. Selecteer de Zoek-knop om alle objecten met wijzigingen terug te geven die moeten worden geëxporteerd naar Microsoft Entra ID.
   4. Controleer of er geen onverwachte wijzigingen zijn. Als u de wijzigingen voor een bepaald object wilt onderzoeken, dubbel selecteert u het object.

Stap 7: de wijzigingen exporteren naar Microsoft Entra-id

De wijzigingen naar Microsoft Entra-id exporteren:

1. Ga naar het tabblad Connectors in Synchronisatieservicebeheer.
2. Selecteer met de rechtermuisknop de Microsoft Entra ID Connector en selecteer Uitvoeren...
3. Selecteer in het pop-upvenster Connector uitvoeren de stap Export en selecteer OK.
4. Wacht tot export naar Microsoft Entra-id is voltooid en controleer of er geen LargeObject-fouten meer zijn.

Stap 8: Synchronisatieplanner opnieuw inschakelen

Nu het probleem is opgelost, schakelt u de ingebouwde synchronisatieplanner opnieuw in:

1. Start de PowerShell-sessie.
2. Geplande synchronisatie opnieuw inschakelen door cmdlet uit te voeren: Set-ADSyncScheduler -SyncCycleEnabled $true

Notitie

De voorgaande stappen zijn alleen van toepassing op nieuwere versies (1.1.xxx.x) van Microsoft Entra Connect met de ingebouwde scheduler. Als u oudere versies (1.0.xxx.x) van Microsoft Entra Connect gebruikt die gebruikmaakt van Windows Task Scheduler, of als u uw eigen aangepaste planner (niet gebruikelijk) gebruikt om periodieke synchronisatie te activeren, moet u ze dienovereenkomstig uitschakelen.

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra ID.