Informacje o błędach podczas synchronizacji Microsoft Entra
Błędy mogą wystąpić, gdy dane tożsamości są synchronizowane z usługi Active Directory systemu Windows Server do identyfikatora Entra firmy Microsoft. Ten artykuł zawiera omówienie różnych typów błędów synchronizacji, niektóre z możliwych scenariuszy, które powodują te błędy i potencjalne sposoby naprawiania błędów. Ten artykuł zawiera typowe typy błędów i może nie obejmować wszystkich możliwych błędów.
W tym artykule założono, że znasz podstawowe pojęcia dotyczące projektowania microsoft Entra ID i Microsoft Entra Connect.
Ważne
W tym artykule podjęto próbę rozwiązania najczęstszych błędów synchronizacji. Niestety, pokrycie każdego scenariusza w jednym dokumencie nie jest możliwe. Aby uzyskać więcej informacji, w tym szczegółowe kroki rozwiązywania problemów, zobacz Kompleksowe rozwiązywanie problemów z obiektami i atrybutami programu Microsoft Entra Connect oraz sekcją Aprowizacja i synchronizacja użytkowników w dokumentacji rozwiązywania problemów firmy Microsoft.
W najnowszej wersji programu Microsoft Entra Connect (z sierpnia 2016 r. lub nowszej) raport o błędach synchronizacji jest dostępny w centrum administracyjnym firmy Microsoft Entra w ramach programu Microsoft Entra Connect Health na potrzeby synchronizacji.
Od 1 września 2016 r. odporność zduplikowanych atrybutów identyfikatora Entra firmy Microsoft jest domyślnie włączona dla wszystkich nowych dzierżaw firmy Microsoft Entra. Ta funkcja jest automatycznie włączona dla istniejących dzierżaw.
Program Microsoft Entra Connect wykonuje trzy typy operacji z katalogów, które są synchronizowane: Importowanie, synchronizacja i eksportowanie. Błędy mogą wystąpić we wszystkich trzech operacjach. Ten artykuł koncentruje się głównie na błędach podczas eksportowania do identyfikatora Entra firmy Microsoft.
Błędy podczas eksportowania do identyfikatora Entra firmy Microsoft
W poniższej sekcji opisano różne typy błędów synchronizacji, które mogą wystąpić podczas operacji eksportowania do identyfikatora Entra firmy Microsoft przy użyciu łącznika Microsoft Entra. Ten łącznik można zidentyfikować przy użyciu formatu nazwy contoso.onmicrosoft.com. Błędy podczas eksportowania do identyfikatora Entra firmy Microsoft wskazują, że operacja, taka jak dodawanie, aktualizowanie lub usuwanie, podjęta przez program Microsoft Entra Connect (aparat synchronizacji) w identyfikatorze Entra firmy Microsoft nie powiodła się.
Błędy niezgodności danych
W tej sekcji omówiono błędy niezgodności danych.
InvalidHardMatch
opis
Błąd InvalidHardMatch występuje podczas synchronizacji, gdy istnieje próba twardego dopasowania obiektów znajdujących się w identyfikatorze Entra firmy Microsoft z nowym obiektem przychodzącym, który ma tę samą wartość sourceAnchor, ale funkcja BlockCloudObjectTakeoverThroughHardMatchEnabled jest włączona w dzierżawie.
Przykładowe scenariusze błędu InvalidHardMatch
- Narzędzie DirSync jest ponownie włączone w dzierżawie, a obiekty z tym samym elementem sourceAnchor są ponownie synchronizowane, jednak funkcja BlockCloudObjectTakeoverThroughHardMatchEnabled jest włączona i uniemożliwia wystąpienie twardego dopasowania.
- Użytkownik został wykluczony z zakresu synchronizacji i przywrócony z Kosza identyfikatora entra firmy Microsoft. Później użytkownik zostanie ponownie dodany do zakresu synchronizacji i spróbuje przejąć obiekt już obecny w identyfikatorze Entra firmy Microsoft na podstawie tej samej wartości sourceAnchor, jednak funkcja BlockCloudObjectTakeoverThroughHardMatchEnabled jest włączona i uniemożliwia występowanie twardego dopasowania.
Przykładowy przypadek
- Bob Smith jest zsynchronizowanym użytkownikiem w identyfikatorze Microsoft Entra z wyłączeniem usług Active Directory w witrynie contoso.com.
- Domyślnie wartość SourceAnchor "abcdefghijklmnopqrstuv==" jest obliczana przez firmę Microsoft Entra Connect przy użyciu atrybutu MsDs-ConsistencyGUID Boba Smitha (lub ObjectGUID w zależności od konfiguracji) z lokalna usługa Active Directory. Ta wartość atrybutu jest niezmiennym Identyfikatorem Boba Smitha w identyfikatorze Entra firmy Microsoft.
- Administrator usuwa Boba Smitha z zakresu synchronizacji, a program Microsoft Entra Connect eksportuje usunięcie obiektu.
- Obiekt Boba Smitha staje się usuwany nietrwale w identyfikatorze Entra firmy Microsoft, a jego atrybut DirSyncEnabled jest przełączany na wartość False. Jednak ten proces nie konwertuje obiektu na zarządzany przez chmurę, nadal jest uważany za obiekt zsynchronizowany z lokalna usługa Active Directory. Wartość DirSyncEnabled ma wartość False, aby wskazać, że obecnie jest poza zakresem synchronizacji i jest dostępna do ponownego dopasowania.
- Administrator ponownie dodaje Boba Smitha do zakresu synchronizacji, a program Microsoft Entra Connect ponownie synchronizuje obiekt.
- Zwykle twarde dopasowanie przejmuje obiekt znajdujący się w identyfikatorze Entra firmy Microsoft na podstawie tego samego atrybutu SourceAnchor i przełącza atrybut DirSyncEnabled z powrotem na wartość "True", jednak gdy właściwość BlockCloudObjectTakeoverThroughHardMatchEnabled jest włączona, ta operacja nie jest dozwolona i zgłaszany jest nieprawidłowy elementHardMatch.
Naprawianie błędu InvalidHardMatch
Zalecamy klientom włączenie opcji BlockCloudObjectTakeoverThroughHardMatchEnabled , chyba że potrzebują oni przejęcia istniejących kont w identyfikatorze Microsoft Entra.
Jeśli musisz wyczyścić błąd InvalidHardtMatch i dopasować je pomyślnie, możesz ponownie włączyć twarde dopasowanie zgodnie z opisem w hard-match vs Soft-match.
InvalidSoftMatch
opis
- Błąd InvalidSoftMatch występuje, gdy twarde dopasowanie nie znajduje żadnego zgodnego obiektu, a dopasowanie miękkie znajduje pasujący obiekt, ale ten obiekt ma inną niezmienną wartość niż sourceAnchor obiektu przychodzącego. Ta niezgodność sugeruje, że pasujący obiekt został zsynchronizowany z innego obiektu z lokalna usługa Active Directory.
Aby dopasowanie miękkie działało, obiekt, z którego ma być dopasowywany programowo, nie powinien mieć żadnej wartości atrybutu immutableId . Operacja powoduje błąd synchronizacji InvalidSoftMatch, gdy obiekt z niezmiennymid atrybutem ustawionym z wartością kończy się niepowodzeniem, ale spełnia kryteria dopasowania nietrwałego.
Schemat usługi Microsoft Entra nie pozwala, aby dwa lub więcej obiektów miało tę samą wartość następujących atrybutów. Ta lista nie jest wyczerpująca:
- proxyAddresses
- userPrincipalName
- onPremisesSecurityIdentifier
- objectId
- niezmiennyid
Odporność atrybutów zduplikowanych atrybutów firmy Microsoft](how-to-connect-syncservice-duplicate-attribute-resiliency.md) jest również wdrażana jako domyślne zachowanie identyfikatora Entra firmy Microsoft. Ta funkcja zmniejsza liczbę błędów synchronizacji obserwowanych przez program Microsoft Entra Connect i innych klientów synchronizacji. Dzięki temu firma Microsoft Entra jest bardziej odporna w sposób, w jaki obsługuje zduplikowane atrybuty proxyAddresses i userPrincipalName obecne w środowiskach lokalna usługa Active Directory.
Ta funkcja nie naprawia błędów duplikowania, więc dane nadal muszą zostać naprawione. Jednak umożliwia aprowizowanie nowych obiektów, które w przeciwnym razie nie mogą być aprowizowane z powodu zduplikowanych wartości w identyfikatorze Entra firmy Microsoft. Ta funkcja zmniejsza również liczbę błędów synchronizacji zwracanych do klienta synchronizacji.
Uwaga
Jeśli odporność atrybutu Entra firmy Microsoft jest włączona dla dzierżawy, podczas aprowizacji nowych obiektów nie będą widoczne błędy synchronizacji InvalidSoftMatch.
Przykładowe scenariusze dotyczące błędu InvalidSoftMatch
- W lokalna usługa Active Directory istnieją co najmniej dwa obiekty o tej samej wartości atrybutu proxyAddresses. Tylko jedna z nich jest aprowizowana w identyfikatorze Entra firmy Microsoft.
- W lokalna usługa Active Directory istnieją co najmniej dwa obiekty o tej samej wartości atrybutu userPrincipalName. Tylko jedna z nich jest aprowizowana w identyfikatorze Entra firmy Microsoft.
- Obiekt został dodany w lokalna usługa Active Directory o tej samej wartości atrybutu proxyAddresses co istniejący obiekt w identyfikatorze Entra firmy Microsoft. Obiekt dodany lokalnie nie jest aprowizowany w identyfikatorze Entra firmy Microsoft.
- Obiekt został dodany w lokalna usługa Active Directory o tej samej wartości atrybutu userPrincipalName co konto w identyfikatorze Entra firmy Microsoft. Obiekt nie jest aprowizowany w identyfikatorze Entra firmy Microsoft.
- Zsynchronizowane konto zostało przeniesione z lasu A do lasu B. Microsoft Entra Connect (aparat synchronizacji) używał atrybutu objectGUID do obliczenia atrybutu sourceAnchor . Po przeniesieniu lasu wartość atrybutu sourceAnchor jest inna. Nowy obiekt z lasu B nie może zsynchronizować z istniejącym obiektem w identyfikatorze Entra firmy Microsoft.
- Zsynchronizowany obiekt został przypadkowo usunięty z lokalna usługa Active Directory, a nowy obiekt został utworzony w usłudze Active Directory dla tej samej jednostki (takiej jak użytkownik) bez usuwania konta w identyfikatorze Entra firmy Microsoft. Nie można zsynchronizować nowego konta z istniejącym obiektem Microsoft Entra.
- Program Microsoft Entra Connect został odinstalowany i ponownie zainstalowany. Podczas ponownej instalacji inny atrybut został wybrany jako atrybut sourceAnchor . Wszystkie wcześniej zsynchronizowane obiekty przestają synchronizować się z błędem InvalidSoftMatch.
Przykładowy przypadek
- Bob Smith jest zsynchronizowanym użytkownikiem w usłudze Microsoft Entra ID z lokalna usługa Active Directory contoso.com.
- Główna nazwa użytkownika Boba Smitha jest ustawiona na bobs@contoso.com.
- Atrybut sourceAnchor "abcdefghijklmnopqrstuv==" jest obliczany przez firmę Microsoft Entra Connect przy użyciu atrybutu objectGUID Boba Smitha z lokalna usługa Active Directory. Ten atrybut jest atrybutem immutableId dla Boba Smitha w identyfikatorze Entra firmy Microsoft.
- Bob ma również następujące wartości dla atrybutu proxyAddresses :
- Smtp: bobs@contoso.com
- Smtp: bob.smith@contoso.com
- Smtp: bob@contoso.com
- Nowy użytkownik, Bob Taylor, jest dodawany do lokalna usługa Active Directory.
- Główna nazwa użytkownika Boba Taylora jest ustawiona jako bobt@contoso.com.
- Atrybut sourceAnchor "abcdefghijkl0123456789==" jest obliczany przez firmę Microsoft Entra Connect przy użyciu atrybutu objectGUID Boba Taylora z lokalna usługa Active Directory.
- Bob Taylor ma następujące wartości dla atrybutu proxyAddresses :
- Smtp: bobt@contoso.com
- Smtp: bob.taylor@contoso.com
- Smtp: bob@contoso.com
- Podczas synchronizacji program Microsoft Entra Connect rozpoznaje dodanie Boba Taylora w lokalna usługa Active Directory i prosi firmę Microsoft Entra ID o wprowadzenie tej samej zmiany.
- Firma Microsoft Entra najpierw wykonuje twardy mecz. Oznacza to, że wyszukuje dowolny obiekt z atrybutem immutableId równy "abcdefghijkl0123456789==". Twarde dopasowanie kończy się niepowodzeniem, ponieważ żaden inny obiekt w identyfikatorze Entra firmy Microsoft nie ma atrybutu immutableId .
- Microsoft Entra ID następnie wykonuje miękkie dopasowanie, aby znaleźć Bob Taylor. Oznacza to, że wyszukuje, czy istnieje jakikolwiek obiekt z atrybutami proxyAddresses równymi trzem wartościom, w tym smtp: bob@contoso.com.
- Identyfikator Entra firmy Microsoft znajduje obiekt Boba Smitha w celu dopasowania do kryteriów dopasowania miękkiego. Jednak ten obiekt ma wartość immutableId = "abcdefghijklmnopqrstuv==", co wskazuje, że ten obiekt został zsynchronizowany z innego obiektu z lokalna usługa Active Directory. Identyfikator Entra firmy Microsoft nie może nietrwało dopasować tych obiektów, dlatego zostanie zgłoszony błąd synchronizacji InvalidSoftMatch.
Naprawianie błędu InvalidSoftMatch
Najczęstszą przyczyną błędu InvalidSoftMatch są dwa obiekty z różnymi atrybutami sourceAnchor (immutableId), które mają tę samą wartość atrybutów proxyAddresses lub userPrincipalName , które są używane podczas procesu dopasowania miękkiego w identyfikatorze Entra firmy Microsoft. Aby naprawić błąd InvalidSoftMatch:
- Zidentyfikuj zduplikowane wartości proxyAddresses, userPrincipalName lub inną wartość atrybutu, która powoduje błąd. Określ także, które dwa lub więcej obiektów jest zaangażowanych w konflikt. Raport wygenerowany przez program Microsoft Entra Connect Health do celów synchronizacji może pomóc w zidentyfikowaniu dwóch obiektów.
- Określ, który obiekt powinien nadal mieć zduplikowaną wartość i który obiekt nie powinien.
- Usuń zduplikowaną wartość z obiektu, który nie powinien mieć tej wartości. Dokonaj zmiany w katalogu, z którego pochodzi obiekt. W niektórych przypadkach może być konieczne usunięcie jednego z obiektów powodujących konflikt.
- Jeśli wprowadzisz zmianę w lokalna usługa Active Directory, pozwól firmie Microsoft Entra Connect zsynchronizować zmianę.
Raporty o błędach synchronizacji w programie Microsoft Entra Connect Health na potrzeby synchronizacji są aktualizowane co 30 minut i zawierają błędy z najnowszej próby synchronizacji.
Uwaga
Atrybut ImmutableId z definicji nie powinien zmieniać się w okresie istnienia obiektu. Być może jednak program Microsoft Entra Connect nie został skonfigurowany z myślą o niektórych scenariuszach z poprzedniej listy. W takim przypadku program Microsoft Entra Connect może obliczyć inną wartość atrybutu sourceAnchor dla obiektu usługi Active Directory, który reprezentuje tę samą jednostkę (ten sam użytkownik, grupa lub kontakt), który ma istniejący obiekt Microsoft Entra, którego chcesz kontynuować.
Powiązany artykuł
Zduplikowane lub nieprawidłowe atrybuty uniemożliwiają synchronizację katalogów w Microsoft 365
ObjectTypeMismatch
opis
Gdy identyfikator Entra firmy Microsoft próbuje nietrwało dopasować dwa obiekty, możliwe jest, że dwa obiekty o różnym typie "obiektu", takie jak użytkownik, grupa lub kontakt, mają te same wartości atrybutów używanych do wykonywania dopasowania miękkiego. Ponieważ duplikowanie tych atrybutów nie jest dozwolone w identyfikatorze Entra firmy Microsoft, operacja może spowodować błąd synchronizacji ObjectTypeMismatch.
Przykładowy scenariusz błędu ObjectTypeMismatch
Grupa zabezpieczeń z obsługą poczty jest tworzona na platformie Microsoft 365. Administrator dodaje nowego użytkownika lub kontaktu w lokalna usługa Active Directory, który nie jest jeszcze zsynchronizowany z identyfikatorem Entra firmy Microsoft z tą samą wartością atrybutu proxyAddresses co grupa platformy Microsoft 365.
Przykładowy przypadek
- Administrator tworzy nową grupę zabezpieczeń z obsługą poczty w rozwiązaniu Microsoft 365 dla działu podatkowego i udostępnia adres e-mail jako tax@contoso.com. Ta grupa ma przypisaną wartość atrybutu proxyAddresses smtp: tax@contoso.com.
- Nowy użytkownik dołącza Contoso.com, a konto jest tworzone dla użytkownika lokalnego za pomocą atrybutu proxyAddresses jako smtp: tax@contoso.com.
- Gdy program Microsoft Entra Connect synchronizuje nowe konto użytkownika, otrzymuje błąd ObjectTypeMismatch.
Naprawianie błędu ObjectTypeMismatch
Najczęstszą przyczyną błędu ObjectTypeMismatch jest to, że dwa obiekty innego typu, takie jak użytkownik, grupa lub kontakt, mają tę samą wartość atrybutu proxyAddresses . Aby naprawić błąd ObjectTypeMismatch:
- Zidentyfikuj zduplikowaną wartość proxyAddresses (lub innego atrybutu), która powoduje błąd. Określ także, które dwa lub więcej obiektów jest zaangażowanych w konflikt. Raport wygenerowany przez program Microsoft Entra Connect Health do celów synchronizacji może pomóc w zidentyfikowaniu dwóch obiektów.
- Określ, który obiekt powinien nadal mieć zduplikowaną wartość i który obiekt nie powinien.
- Usuń zduplikowaną wartość z obiektu, który nie powinien mieć tej wartości. Wprowadź zmianę w katalogu, z którego pochodzi obiekt. W niektórych przypadkach może być konieczne usunięcie jednego z obiektów powodujących konflikt.
- Jeśli wprowadzisz zmianę w lokalnej usłudze AD, pozwól firmie Microsoft Entra Connect zsynchronizować zmianę. Raport o błędach synchronizacji w programie Microsoft Entra Connect Health do celów synchronizacji jest aktualizowany co 30 minut. Raport zawiera błędy z najnowszej próby synchronizacji.
Zduplikowane atrybuty
Błąd zduplikowanego atrybutu
AttributeValueMustBeUnique
opis
Schemat usługi Microsoft Entra nie pozwala, aby dwa lub więcej obiektów miało tę samą wartość następujących atrybutów. Każdy obiekt w usłudze identyfikatora Microsoft Entra musi mieć unikatową wartość tych atrybutów w danej instancji:
- poczta
- proxyAddresses
- signInName
- userPrincipalName
Jeśli usługa Microsoft Entra Connect spróbuje dodać nowy obiekt lub zaktualizować istniejący obiekt o wartość powyższych atrybutów, która jest już przypisana do innego obiektu w usłudze identyfikatora Microsoft Entra, operacja powoduje błąd synchronizacji AttributeValueMustBeUnique.
Możliwy scenariusz
Do już zsynchronizowanego obiektu przypisano zduplikowaną wartość, co powoduje konflikt z innym zsynchronizowanym obiektem.
Przykładowy przypadek
- Bob Smith jest zsynchronizowanym użytkownikiem w identyfikatorze Microsoft Entra z wyłączeniem usług Active Directory w witrynie contoso.com.
- Główna nazwa użytkownika Boba Smitha lokalnie jest ustawiona jako bobs@contoso.com.
- Bob ma również następujące wartości dla atrybutu proxyAddresses :
- Smtp: bobs@contoso.com
- Smtp: bob.smith@contoso.com
- Smtp: bob@contoso.com
- Nowy użytkownik, Bob Taylor, jest dodawany do lokalna usługa Active Directory.
- Główna nazwa użytkownika Boba Taylora jest ustawiona jako bobt@contoso.com.
- Bob Taylor ma następujące wartości dla atrybutu proxyAddresses :
- Smtp: bobt@contoso.com
- Smtp: bob.taylor@contoso.com
- Obiekt Boba Taylora został pomyślnie zsynchronizowany z identyfikatorem Microsoft Entra.
- Administrator postanowił zaktualizować atrybut proxyAddresses Boba Taylora o następującej wartości:
- Smtp: bob@contoso.com
- Usługa identyfikatora Microsoft Entra próbuje zaktualizować obiekt Boba Taylora w usłudze identyfkatora Microsoft Entra o poprzednią wartość, ale ta operacja kończy się niepowodzeniem, ponieważ ta wartość proxyAddresses jest już przypisana do Boba Smitha. Wynikiem jest błąd AttributeValueMustBeUnique.
Napraw błąd AttributeValueMustBeUnique
Najczęstszą przyczyną błędu AttributeValueMustBeUnique jest to, że dwa obiekty z różnymi atrybutami sourceAnchor (immutableId) mają taką samą wartość atrybutów proxyAddresses lub userPrincipalName . Aby naprawić błąd AttributeValueMustBeUnique:
- Zidentyfikuj zduplikowane wartości proxyAddresses, userPrincipalName lub inną wartość atrybutu, która powoduje błąd. Określ także, które dwa lub więcej obiektów jest zaangażowanych w konflikt. Raport wygenerowany przez program Microsoft Entra Connect Health do celów synchronizacji może pomóc w zidentyfikowaniu dwóch obiektów.
- Określ, który obiekt powinien nadal mieć zduplikowaną wartość i który obiekt nie powinien.
- Usuń zduplikowaną wartość z obiektu, który nie powinien mieć tej wartości. Dokonaj zmiany w katalogu, z którego pochodzi obiekt. W niektórych przypadkach może być konieczne usunięcie jednego z obiektów powodujących konflikt.
- Jeśli dokonano zmiany w lokalnej usłudze Active Directory, pozwól Microsoft Entra Connect zsynchronizować zmianę, aby błąd został naprawiony.
Powiązany artykuł
Zduplikowane lub nieprawidłowe atrybuty uniemożliwiają synchronizację katalogów w Microsoft 365
Błędy sprawdzania poprawności danych
W tej sekcji omówiono błędy walidacji danych.
IdentityDataValidationFailed
opis
Microsoft Entra ID wymusza różne ograniczenia dotyczące danych przed zezwoleniem na zapisanie tych danych w katalogu. Te ograniczenia mają zapewnić użytkownikom końcowym najlepsze możliwe środowisko podczas korzystania z aplikacji, które zależą od tych danych.
Scenariusze
- Wartość atrybutu userPrincipalName ma nieprawidłowe lub nieobsługiwane znaki.
- Atrybut userPrincipalName nie jest zgodna z wymaganym formatem.
Wynikiem powyższych scenariuszy jest błąd IdentityDataValidationFailed.
Naprawianie błędu IdentityDataValidationFailed
Upewnij się, że atrybut userPrincipalName ma obsługiwane znaki i wymagany format.
Powiązany artykuł
Błędy naruszenia dostępu dotyczącego usuwania i naruszenia dostępu dotyczącego haseł
Microsoft Entra ID chroni obiekty tylko w chmurze przed aktualizacją za pośrednictwem programu Microsoft Entra Connect. Chociaż nie można zaktualizować tych obiektów za pośrednictwem programu Microsoft Entra Connect, wywołania mogą być wykonywane bezpośrednio do zaplecza firmy Microsoft Entra w celu podjęcia próby zmiany obiektów tylko w chmurze. W ten sposób można zwrócić następujące błędy:
- Ta operacja synchronizacji, Usuń, nie jest prawidłowa. Skontaktuj się z pomocą techniczną (typ błędu 114).
- Nie można przetworzyć tej aktualizacji, ponieważ w bieżącym żądaniu znajduje się co najmniej jedna aktualizacja poświadczeń użytkowników tylko w chmurze.
- Usuwanie obiektu tylko w chmurze nie jest obsługiwane. Skontaktuj się z pomocą techniczną firmy Microsoft.
- Nie można wykonać żądania zmiany hasła, ponieważ zawiera on zmiany w co najmniej jednym obiekcie użytkownika tylko w chmurze, które nie są obsługiwane. Skontaktuj się z pomocą techniczną firmy Microsoft.
Rozwiązywanie problemów z usuwaniem elementuCloudOnlyObjectNotAllowed (typ błędu 114)
W tej sekcji omówiono potencjalne przyczyny i rozwiązania dotyczące usuwania błędu Usuwanie obiektuCloudOnlyObjectNotAllowed (typ błędu 114).
Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.
opis
Jest to scenariusz, w przypadku którego klient chce przeprowadzić migrację z chmury tylko do chmury. Administrator inicjuje wywołanie programu Microsoft Entra Connect, próbując przenieść użytkowników poza zakres, ale program Microsoft Entra Connect zwraca błąd DeleteingCloudOnlyObjectNotAllowed (lub typ błędu 114): "Ta operacja synchronizacji, Usuwanie, nie jest prawidłowa. Skontaktuj się z pomocą techniczną.
Możliwe przyczyny tego błędu obejmują:
- Wywołanie z programu Microsoft Entra Connect nie ma nazwy UPN, nowego lub unikatowego identyfikatora GUID ani innych wymaganych informacji.
- Program Microsoft Entra Connect próbuje wyeksportować dane, ale ma
DirSyncEnabled
ustawioną wartość False. - Program Microsoft Entra Connect próbuje usunąć przywróconego użytkownika lub innego obiektu. Jest to zwykle spowodowane tym, że użytkownik lub inne odwołanie do obiektu zostało przeniesione z zakresu synchronizacji lub do kontenera Utracone i odnalezione.
Możliwe scenariusze
Klient microsoft Entra Connect nie może usunąć użytkowników podczas migracji tylko z chmury hybrydowej do chmury, co powoduje błąd typu 114.
Potencjalne przyczyny, dla których użytkownicy nie mają zostać usunięci, obejmują:
- Reguła utworzona przez klienta w celu przeniesienia użytkowników z zakresu jest oparta na atrybucie
Admin
. - Typ błędu 114 jest zwracany podczas operacji synchronizacji (Azure AD Sync), co powoduje niepowodzenie usunięcia użytkowników.
- Synchronizacja kończy się niepowodzeniem dla określonych funkcji, co powoduje, że użytkownicy nie są odpowiednio usuwani.
Przykład błędu
Przykład błędu eksportu:
TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}
Naprawianie błędu
Aby rozwiązać ten problem:
- Zidentyfikuj odwołanie do obiektu problemu.
- Użyj programu PowerShell, aby usunąć nietrwałe konto w chmurze:
- Uruchom polecenie
Start-ADSyncSyncCycle -PolicyType Delta
, które powinno pomyślnie zaimportować usunięcie konta. - Upewnij się, że usunięcie zakończyło się pomyślnie.
- Przywróć użytkownika z Kosza.
- Uruchom
Start-ADSyncSyncCycle -PolicyType Delta
polecenie na serwerze, aby potwierdzić, że błąd nie występuje ponownie.
Ostrzeżenie
Gdy użytkownik zostanie wykluczony z zakresu synchronizacji, obiekt zostanie usunięty nietrwale w identyfikatorze Entra firmy Microsoft, a jego atrybut DirSyncEnabled zostanie przełączony na wartość False. Ten proces nie konwertuje jednak obiektu na zarządzany w chmurze, ponieważ nadal zawiera atrybuty i wartości synchronizowane z lokalna usługa Active Directory, którymi nie można zarządzać w chmurze. Wartość DirSyncEnabled ma wartość False, aby wskazać, że obecnie jest poza zakresem synchronizacji i jest dostępna do ponownego dopasowania.
LargeObject lub ExceededAllowedLength
W tej sekcji omówiono błędy LargeObject lub ExceededAllowedLength.
opis
Jeśli atrybut przekracza dozwolony limit rozmiaru, limit długości lub limit liczby ustawiony przez schemat Firmy Microsoft Entra, operacja synchronizacji powoduje błąd synchronizacji LargeObject lub ExceededAllowedLength synchronizacji. Zazwyczaj ten błąd występuje dla następujących atrybutów:
- userCertificate
- userSMIMECertificate
- thumbnailPhoto
- proxyAddresses
Identyfikator Entra firmy Microsoft nie nakłada limitów na atrybut, z wyjątkiem zakodowanego na sztywno limitu 15 certyfikatów w atrybucie userCertificate i maksymalnie 100 atrybutów dla rozszerzeń katalogu z maksymalnie 250 znakami dla każdego rozszerzenia katalogu. Istnieje limit rozmiaru całego obiektu. Gdy program Microsoft Entra Connect próbuje zsynchronizować obiekt, który przekracza ten limit rozmiaru obiektu, zgłaszany jest błąd eksportu.
Wszystkie atrybuty przyczyniają się do końcowego rozmiaru obiektu. Niektóre atrybuty mają różne mnożniki wagi ze względu na dodatkowe obciążenie przetwarzania. Przykładem są indeksowane wartości. Ponadto różne usługi w chmurze, plany usług i licencje mogą być przypisane do konta, które zużywają jeszcze więcej atrybutów i przyczyniają się do ogólnego rozmiaru obiektu.
Nie można określić dokładnie, ile wpisów atrybut może przechowywać w identyfikatorze Entra firmy Microsoft, na przykład ile adresów SMTP może zmieścić się w atrybucie proxyAddresses . Kwota zależy od rozmiaru i mnożenia czynników wszystkich atrybutów wypełnionych w obiekcie.
Możliwe scenariusze
- Atrybut userCertificate Boba przechowuje zbyt wiele certyfikatów przypisanych do Boba. Niektóre z tych certyfikatów mogą być starsze, wygasłe. Nieprzekraczalny limit wynosi 15 certyfikatów. Aby uzyskać więcej informacji na temat obsługi błędów obiektu LargeObject za pomocą atrybutu userCertificate , zobacz Obsługa błędów largeObject spowodowanych przez atrybut userCertificate.
- Atrybut userSMIMECertificate boba przechowuje zbyt wiele certyfikatów przypisanych do Boba. Niektóre z tych certyfikatów mogą być starsze, wygasłe. Nieprzekraczalny limit wynosi 15 certyfikatów.
- Atrybut thumbnailPhoto boba ustawiony w usłudze Active Directory jest zbyt duży, aby można go było zsynchronizować w identyfikatorze Entra firmy Microsoft.
- Podczas automatycznej populacji atrybutu proxyAddresses w usłudze Active Directory obiekt ma zbyt wiele przypisanych atrybutów proxyAddresses .
W poniższych przykładach pokazano różne wagi atrybutów, takich jak userCertificate i proxyAddresses:
- Zsynchronizowany użytkownik, który nie ma żadnych atrybutów wypełnionych poza obowiązkowymi atrybutami usługi Active Directory, a poczta może być w stanie zsynchronizować maksymalnie 332 adresy proxy.
- W przypadku podobnego zsynchronizowanego użytkownika z atrybutem mailNickName oraz 10 certyfikatów użytkownika maksymalna liczba adresów proxy zmniejsza się do 329.
- Jeśli podobny zsynchronizowany użytkownik z 10 certyfikatami użytkowników plus, na przykład 4 subskrypcje przypisane (z włączonymi wszystkimi planami usług), maksymalna liczba adresów proxy spadnie do 311.
- Teraz przyjmijmy poprzedniego użytkownika, który już przechowuje maksymalną liczbę adresów proxy i załóżmy, że musisz dodać jeszcze jeden adres SMTP. Aby uzyskać 312 adresów proxy, należy usunąć co najmniej trzy certyfikaty użytkownika (w zależności od rozmiaru certyfikatu).
Uwaga
Te liczby mogą się nieznacznie różnić. Bezpieczniejszą zasadą jest założenie, że limit adresów SMTP w atrybucie proxyAddresses wynosi około 300 adresów, aby pozostawić miejsce na przyszły wzrost obiektu i jego wypełnionych atrybutów.
Naprawiono błąd LargeObject lub ExceededAllowedLength
Przejrzyj właściwości użytkownika i usuń wartości atrybutów, które mogą nie być już wymagane. Przykłady obejmują odwołane lub wygasłe certyfikaty oraz nieaktualne lub niepotrzebne adresy, takie jak SMTP, X.400, X.500, MSMail i CcMail.
Istniejący konflikt roli administratora
opis
Podczas synchronizacji obiektu użytkownika występuje błąd synchronizacji w konflikcie istniejącej roli administratora podczas synchronizacji, gdy ten obiekt użytkownika ma:
- Uprawnienia administracyjne.
- Ten sam atrybut userPrincipalName co istniejący obiekt Microsoft Entra.
Program Microsoft Entra Connect nie może dopasować obiektu użytkownika z lokalnej usługi AD z obiektem użytkownika w identyfikatorze Entra firmy Microsoft, do którego przypisano rolę administracyjną. Aby uzyskać więcej informacji, zobacz Microsoft Entra userPrincipalName population (Populacja entra userPrincipalName firmy Microsoft).
Rozwiązywanie problemu z błędem istniejącego konfliktu roli administratora
Aby rozwiązać ten problem:
- Usuń konto Microsoft Entra (właściciel) ze wszystkich ról administratora.
- Trwale usuń obiekt poddane kwarantannie w chmurze.
- Następny cykl synchronizacji zajmie się miękkim dopasowaniem użytkownika lokalnego do konta chmury, ponieważ użytkownik chmury nie jest już administratorem tożsamości hybrydowej.
- Przywróć członkostwo w rolach właściciela.
Uwaga
Rolę administracyjną można ponownie przypisać do istniejącego obiektu użytkownika po zakończeniu miękkiego dopasowania między obiektem użytkownika lokalnego a obiektem użytkownika Microsoft Entra.
Pokrewne łącza
- Lokalizowanie obiektów usługi Active Directory w Centrum administracyjnym usługi Active Directory
- Wykonywanie zapytań względem identyfikatora Entra firmy Microsoft dla obiektu przy użyciu programu Microsoft Graph PowerShell
- Kompleksowe rozwiązywanie problemów z obiektami i atrybutami w programie Microsoft Entra Connect.
- Rozwiązywanie problemów z firmą Microsoft