Microsoft Entra Connect Sync: obsługa błędów largeObject spowodowanych przez atrybut userCertificate

Microsoft Entra ID nakłada maksymalny limit 15 wartości certyfikatów dla atrybutu userCertificate. Jeśli program Microsoft Entra Connect eksportuje obiekt z ponad 15 wartościami do identyfikatora Entra firmy Microsoft, identyfikator Entra firmy Microsoft zwraca błąd LargeObject z komunikatem:

"Aprowizowany obiekt jest zbyt duży. Przycinanie liczby wartości atrybutów w tym obiekcie. Operacja zostanie ponowiona w następnym cyklu synchronizacji..."

Błąd LargeObject może być spowodowany przez inne atrybuty usługi AD. Aby potwierdzić, że przyczyną jest atrybut userCertificate, sprawdź na obiekcie w lokalnym środowisku AD lub w Synchronization Service Manager Metaverse Search.

Aby uzyskać listę obiektów w dzierżawie z błędami LargeObject, użyj jednej z następujących metod:

• Jeśli Twój klient jest skonfigurowany do programu Microsoft Entra Connect Health do synchronizacji, możesz zapoznać się z podanym raportem o błędach synchronizacji .

• Karta Operacje programu Synchronizacja programu Service Manager wyświetla listę obiektów z błędami LargeObject, jeśli wybierzesz najnowszą operację Eksportuj do firmy Microsoft Entra.

Opcje ograniczania ryzyka

Dopóki błąd LargeObject nie zostanie rozwiązany, inne zmiany atrybutów tego samego obiektu nie mogą być eksportowane do Microsoft Entra ID. Aby rozwiązać ten problem, możesz wziąć pod uwagę następujące opcje:

• Uaktualnij program Microsoft Entra Connect do kompilacji 1.1.524.0 lub nowszej. W kompilacji Microsoft Entra Connect 1.1.524.0 domyślne reguły synchronizacji zostały zaktualizowane, aby nie eksportować atrybutów userCertificate i userSMIMECertificate, jeśli atrybuty mają więcej niż 15 wartości. Aby uzyskać szczegółowe informacje na temat uaktualniania programu Microsoft Entra Connect, zapoznaj się z artykułem Microsoft Entra Connect: uaktualnianie z poprzedniej wersji do najnowszej.

• Zaimplementuj regułę synchronizacji ruchu wychodzącego w programie Microsoft Entra Connect, która eksportuje wartość null zamiast rzeczywistych wartości obiektów z ponad 15 wartościami certyfikatów. Ta opcja jest odpowiednia, jeśli nie musisz eksportować żadnych wartości certyfikatów do identyfikatora Entra firmy Microsoft dla obiektów z więcej niż 15 wartościami. Aby uzyskać szczegółowe informacje na temat implementowania tej reguły synchronizacji, zapoznaj się z następną sekcją Implementowanie reguły synchronizacji w celu ograniczenia eksportu atrybutu userCertificate.

• Zmniejsz liczbę wartości certyfikatów w lokalnym obiekcie usługi AD (co najmniej 15), usuwając wartości, które nie są już używane przez organizację. To jest odpowiednie, jeśli wygasłe lub nieużywane certyfikaty powodują nadmiar atrybutów. Możesz użyć polecenia cmdlet Remove-ADSyncToolsExpiredCertificates, aby ułatwić znajdowanie, tworzenie kopii zapasowych i usuwanie wygasłych certyfikatów w lokalnej usłudze AD. Przed usunięciem certyfikatów zaleca się zweryfikowanie za pomocą administratorów publicznejKey-Infrastructure w organizacji.

• Skonfiguruj program Microsoft Entra Connect, aby wykluczyć atrybut userCertificate z wyeksportowania do identyfikatora Entra firmy Microsoft. Ogólnie rzecz biorąc, nie zalecamy tej opcji, ponieważ atrybut może być używany przez usługi Microsoft Online Services w celu włączenia określonych scenariuszy. W szczególności:

  • Atrybut userCertificate obiektu User jest używany przez klientów usługi Exchange Online i Outlook do podpisywania i szyfrowania wiadomości. Aby dowiedzieć się więcej na temat tej funkcji, zapoznaj się z artykułem S/MIME na potrzeby podpisywania i szyfrowania komunikatów.

  • Atrybut userCertificate w obiekcie Computer jest używany przez identyfikator Entra firmy Microsoft, aby umożliwić urządzeniom przyłączonym do domeny lokalnej systemu Windows 10 łączenie się z identyfikatorem Entra firmy Microsoft. Aby dowiedzieć się więcej na temat tej funkcji, zapoznaj się z artykułem Connect domain-joined devices to Microsoft Entra ID for Windows 10 experiences (Łączenie urządzeń przyłączonych do domeny z Microsoft Entra ID dla środowisk Windows 10).

Implementowanie reguły synchronizacji w celu ograniczenia eksportu atrybutu userCertificate

Aby rozwiązać błąd LargeObject spowodowany przez atrybut userCertificate, możesz zaimplementować regułę synchronizacji ruchu wychodzącego w programie Microsoft Entra Connect, która eksportuje wartość null zamiast rzeczywistych wartości dla obiektów z ponad 15 wartościami certyfikatów. W tej sekcji opisano kroki wymagane do zaimplementowania reguły synchronizacji dla obiektów użytkownika . Kroki można dostosować do obiektów Kontakt i Komputer.

Ważny

Eksportowanie wartości null powoduje usunięcie wartości certyfikatu, które zostały wcześniej pomyślnie wyeksportowane do Microsoft Entra ID.

Kroki można podsumować jako:

1. Wyłącz harmonogram synchronizacji i sprawdź, czy synchronizacja nie jest w toku.
2. Znajdź istniejącą regułę synchronizacji ruchu wychodzącego dla atrybutu userCertificate.
3. Utwórz wymaganą regułę synchronizacji ruchu wychodzącego.
4. Sprawdź nową regułę synchronizacji dla istniejącego obiektu z błędem LargeObject.
5. Zastosuj nową regułę synchronizacji do pozostałych obiektów z błędem LargeObject.
6. Sprawdź, czy nie ma nieoczekiwanych zmian oczekujących na wyeksportowanie do identyfikatora Entra firmy Microsoft.
7. Wyeksportuj zmiany do identyfikatora Entra firmy Microsoft.
8. Włącz ponownie harmonogram synchronizacji.

Krok 1. Wyłączanie harmonogramu synchronizacji i sprawdzenie, czy synchronizacja nie jest w toku

Upewnij się, że nie dochodzi do synchronizacji w trakcie wdrażania nowej reguły synchronizacji, aby uniknąć niezamierzonych zmian eksportowanych do Microsoft Entra ID. Aby wyłączyć wbudowany harmonogram synchronizacji:

1. Uruchom sesję programu PowerShell na serwerze Microsoft Entra Connect.

2. Wyłącz zaplanowaną synchronizację, uruchamiając polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Notatka

Powyższe kroki mają zastosowanie tylko do nowszych wersji (1.1.xxx.x) programu Microsoft Entra Connect z wbudowanym harmonogramem. Jeśli używasz starszych wersji programu Microsoft Entra Connect (1.0.xxx.x) korzystających z harmonogramu zadań systemu Windows lub używasz własnego niestandardowego harmonogramu (nie wspólnego) do wyzwalania okresowej synchronizacji, należy je odpowiednio wyłączyć.

1. Uruchom Synchronization Service Manager, przechodząc do START → Synchronization Service.

2. Przejdź do karty Operacje i upewnij się, że nie ma operacji, której stan jest „w toku”.

Krok 2. Znajdowanie istniejącej reguły synchronizacji ruchu wychodzącego dla atrybutu userCertificate

Powinna istnieć istniejąca reguła synchronizacji, która jest włączona i skonfigurowana do eksportowania atrybutu userCertificate dla obiektów użytkownika do identyfikatora Entra firmy Microsoft. Znajdź tę regułę synchronizacji, aby dowiedzieć się, jaki ma priorytet i jak wygląda konfiguracja filtru zakresu.

1. Uruchom Edytor Reguł Synchronizacji , przechodząc do menu START → Synchronization Rules Editor.

2. Skonfiguruj filtry wyszukiwania przy użyciu następujących wartości:

   Atrybut	Wartość
   Kierunek	wychodzące
   Typ obiektu MV	Person
   Złącze	nazwę łącznika Microsoft Entra
   Typ obiektu łącznika	użytkownika
   Atrybut MV	userCertificate

3. Jeśli używasz reguł synchronizacji OOB (out-of-box) z łącznikiem Microsoft Entra do eksportowania atrybutu userCertificate dla obiektów typu użytkownik, powinieneś otrzymać z powrotem regułę „Do Microsoft Entra ID – User ExchangeOnline”.

4. Zapisz wartość pierwszeństwa tej reguły synchronizacji.

5. Wybierz regułę synchronizacji i kliknij pozycję Edytuj.

6. W oknie dialogowym "Edytuj potwierdzenie reguły zarezerwowanej" wybierz opcję Nie. (Nie martw się, nie zamierzamy wprowadzać żadnych zmian w tej regule synchronizacji).

7. Na ekranie edycji wybierz kartę Zakres filtru.

8. Zanotuj konfigurację filtru określania zakresu. Jeśli używasz reguły synchronizacji OOB, powinna istnieć dokładnie jednej grupy filtrów określającej zakres zawierającej dwie klauzule, w tym:

   Atrybut	Operator	Wartość
   typ obiektu źródłowego	RÓWNY	Użytkownik
   cloudMastered	UWAGAQUAL	Prawda

Krok 3. Utwórz wymaganą regułę wychodzącej synchronizacji

Nowa reguła synchronizacji musi mieć ten sam filtr określania zakresu i wyższy priorytet niż istniejąca reguła synchronizacji. Dzięki temu nowa reguła synchronizacji ma zastosowanie do tego samego zestawu obiektów co istniejąca reguła synchronizacji i zastępuje istniejącą regułę synchronizacji atrybutu userCertificate. Aby utworzyć regułę synchronizacji:

1. W Edytorze reguł synchronizacji wybierz przycisk Dodaj nową regułę.

2. Na karcie Opis podaj następującą konfigurację:

   Atrybut	Wartość	Szczegóły
   Nazwa	Podaj nazwę	Np. "Wysyłanie do Microsoft Entra ID, niestandardowe zastąpienie dla userCertificate"
   Opis	Podaj opis	Na przykład "Jeśli atrybut userCertificate ma więcej niż 15 wartości, wyeksportuj wartość NULL".
   Połączony system	Wybierz łącznik Microsoft Entra
   Typ obiektu systemu połączonego	użytkownika
   Typ obiektu Metaverse	osoby
   Typ łącza	Dołącz
   Pierwszeństwo	Wybierz liczbę z zakresu od 1 do 99	Wybrana liczba nie może być używana przez żadną istniejącą regułę synchronizacji i ma niższą wartość (a zatem wyższy priorytet) niż istniejąca reguła synchronizacji.

3. Przejdź do karty filtru określania zakresu i zaimplementuj ten sam filtr określania zakresu używany przez istniejącą regułę synchronizacji.

4. Pomiń kartę Reguły dołączania .

5. Przejdź do karty przekształcenia , aby dodać nową transformację przy użyciu następującej konfiguracji:

   Atrybut	Wartość
   Typ przepływu	wyrażenie
   Atrybut docelowy	userCertificate
   Atrybut źródłowy	Użyj następującego wyrażenia: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Wybierz przycisk Dodaj, aby utworzyć regułę synchronizacji.

Krok 4. Weryfikowanie nowej reguły synchronizacji dla istniejącego obiektu z błędem LargeObject

Jest to sprawdzenie, czy utworzona reguła synchronizacji działa prawidłowo w istniejącym obiekcie usługi AD z błędem LargeObject przed zastosowaniem go do innych obiektów:

1. Przejdź do karty Operations w programie Synchronization Service Manager.
2. Wybierz najnowszą operację Eksportuj do Microsoft Entra i wybierz jeden z obiektów z błędami LargeObject.
3. W oknie Właściwości obiektu obszaru łącznika wybierz przycisk Preview.
4. Na wyskakującym ekranie podglądu wybierz pozycję Pełna synchronizacja i wybierz pozycję Commit Preview.
5. Zamknij ekran Podglądu i ekran Właściwości obiektu przestrzeni łącznika.
6. Przejdź do karty Łączniki w programie Synchronization Service Manager.
7. Wybierz prawym przyciskiem myszy łącznik Microsoft Entra ID Connector i wybierz pozycję Uruchom...
8. W oknie podręcznym Uruchom łącznik wybierz krok Eksportuj i wybierz OK.
9. Poczekaj na zakończenie eksportu do Microsoft Entra ID i upewnij się, że dla tego konkretnego obiektu nie występuje już błąd LargeObject.

Krok 5. Stosowanie nowej reguły synchronizacji do pozostałych obiektów z błędem LargeObject

Po dodaniu reguły synchronizacji należy uruchomić pełny krok synchronizacji w łączniku usługi AD:

1. Przejdź do karty Łączniki w programie Synchronization Service Manager.
2. Wybierz prawym przyciskiem myszy łącznik AD i wybierz Uruchom...
3. W oknie podręcznym Uruchamianie łącznika wybierz krok Pełna synchronizacja i wybierz OK.
4. Poczekaj na ukończenie kroku Pełnej synchronizacji.
5. Powtórz powyższe kroki dla pozostałych łączników usługi AD, jeśli masz więcej niż jeden łącznik usługi AD. Zazwyczaj wiele łączników jest wymaganych, jeśli masz wiele katalogów lokalnych.

Krok 6. Sprawdź, czy nie ma nieoczekiwanych zmian oczekujących na wyeksportowanie do identyfikatora Entra firmy Microsoft

1. Przejdź do karty Łączniki w programie Synchronization Service Manager.
2. Wybierz prawym przyciskiem myszy łącznik Microsoft Entra ID Connector i wybierz Search Connector Space.
3. W oknie podręcznym Obszar łącznika wyszukiwania:
   1. Ustaw zakres na Oczekuje eksportu.
   2. Zaznacz wszystkie 3 pola wyboru, w tym Dodaj, Modyfikuji usuń .
   3. Wybierz przycisk Wyszukaj, aby zwrócić wszystkie obiekty ze zmianami, które oczekują na wyeksportowanie do Microsoft Entra ID.
   4. Sprawdź, czy nie ma nieoczekiwanych zmian. Aby zbadać zmiany dla danego obiektu, zaznacz dwukrotnie obiekt.

Krok 7: Eksportowanie zmian do Microsoft Entra ID

Aby wyeksportować zmiany do identyfikatora Entra firmy Microsoft:

1. Przejdź do karty Łączniki w programie Synchronization Service Manager.
2. Wybierz prawym przyciskiem myszy łącznik Microsoft Entra ID Connector i wybierz pozycję Uruchom...
3. W oknie podręcznym Uruchom łącznik kliknij krok Eksportuj i kliknij pozycję OK.
4. Poczekaj na ukończenie eksportu do Microsoft Entra ID i upewnij się, że nie ma więcej błędów LargeObject.

Krok 8. Ponowne włączanie harmonogramu synchronizacji

Teraz, gdy problem został rozwiązany, włącz ponownie wbudowany harmonogram synchronizacji:

1. Uruchom sesję programu PowerShell.
2. Włącz ponownie zaplanowaną synchronizację, uruchamiając polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Notatka

Powyższe kroki mają zastosowanie tylko do nowszych wersji (1.1.xxx.x) programu Microsoft Entra Connect z wbudowanym harmonogramem. Jeśli używasz starszych wersji programu Microsoft Entra Connect (1.0.xxx.x) korzystających z harmonogramu zadań systemu Windows lub używasz własnego niestandardowego harmonogramu (nie wspólnego) do wyzwalania okresowej synchronizacji, należy je odpowiednio wyłączyć.

Następne kroki

Dowiedz się więcej o Integrowanie tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.