Поделиться через

Понимание ошибок при синхронизации Microsoft Entra

  • Статья

Ошибки могут возникать при синхронизации данных удостоверений из Windows Server Active Directory с идентификатором Microsoft Entra. В этой статье приведены общие сведения о различных типах ошибок синхронизации, некоторые возможные сценарии возникновения этих ошибок, а также возможные способы их устранения. Здесь содержатся сведения о распространенных типах ошибок, возможно, рассматриваются не все возможные ошибки.

В этой статье предполагается, что вы знакомы с основными понятиями проектирования идентификатора Microsoft Entra и Microsoft Entra Connect.

Внимание

В этой статье предпринимается попытка рассмотреть наиболее распространенные ошибки синхронизации. К сожалению, покрытие каждого сценария в одном документе невозможно. Дополнительные сведения, включая подробные действия по устранению неполадок, см. в разделе "Комплексное устранение неполадок объектов и атрибутов Microsoft Entra Connect" и в разделе "Подготовка пользователей и Синхронизация" в документации по устранению неполадок Microsoft Entra.

Последняя версия Microsoft Entra Connect (август 2016 г. или более поздняя), отчет об ошибках синхронизации доступен в Центре администрирования Microsoft Entra в рамках Microsoft Entra Connect Health для синхронизации.

Начиная с 1 сентября 2016 г. устойчивость повторяющихся атрибутов идентификатора Microsoft Entra включена по умолчанию для всех новых клиентов Microsoft Entra. Эта функция автоматически включается для существующих клиентов.

Microsoft Entra Connect выполняет три типа операций из каталогов, которые он сохраняет в синхронизации: импорт, синхронизация и экспорт. Ошибки могут возникать во всех трех операциях. В этой статье главное внимание уделяется ошибкам при экспорте в Microsoft Entra ID.

Ошибки при экспорте в Microsoft Entra ID

В следующем разделе описаны различные типы ошибок синхронизации, которые могут возникать во время операции экспорта в идентификатор Microsoft Entra с помощью соединителя Microsoft Entra. Этот соединитель можно определить по имени в формате contoso.onmicrosoft.com. Ошибки во время экспорта в Microsoft Entra ID указывают на сбой операции, например добавления, обновления или удаления, предпринятой Microsoft Entra Connect (подсистемой синхронизации) в Microsoft Entra ID.

Диаграмма, показывающая обзор ошибок при экспорте.

Ошибки несовпадения данных

В этом разделе обсуждаются ошибки несоответствия данных.

Недопустимое жёсткое совпадение

Описание

Ошибка InvalidHardMatch возникает во время синхронизации, когда пытаются жестко сопоставить объекты, присутствующие в Microsoft Entra ID, с новым входящим объектом, имеющим то же значение исходного sourceAnchor, но при этом функция BlockCloudObjectTakeoverThroughHardMatchEnabled включена на клиенте.

Примеры сценариев ошибки InvalidHardMatch

  • DirSync повторно включен в клиенте, а объекты с тем же sourceAnchor снова синхронизированы, однако функция BlockCloudObjectTakeoverThroughHardMatchEnabled включена и предотвращает жесткое совпадение.
  • Пользователь был исключен из зоны синхронизации и восстановлен из корзины Microsoft Entra ID. Позже пользователь повторно добавляется в область синхронизации и пытается взять на себя объект, уже представленный в идентификаторе Microsoft Entra, основываясь на том же значении sourceAnchor, однако функция BlockCloudObjectTakeoverThroughHardMatchEnabled включена и предотвращает жесткое совпадение.

Пример случая

  1. Пользователь Боб Смит синхронизирован в Microsoft Entra ID из локального каталога Active Directory компании contoso.com.
  2. По умолчанию значение SourceAnchor, "abcdefghijklmnopqrstuv==", вычисляется с помощью атрибута MsDs-ConsistencyGUID (или ObjectGUID в зависимости от конфигурации) из локальной службы Active Directory. Это значение атрибута — immutableId для Боба Смита в Microsoft Entra ID.
  3. Администратор удаляет Боба Смита из области синхронизации, а Microsoft Entra Connect экспортирует удаление объекта.
  4. Объект Боба Смита мягко удаляется в идентификаторе Microsoft Entra ID, а его атрибут DirSyncEnabled становится false. Однако этот процесс не преобразует объект в управляемый облаком, он по-прежнему считается объектом, синхронизированным из локальной службы Active Directory. Параметр DirSyncEnabled имеет значение False, чтобы показать, что он в настоящее время не находится в области синхронизации и доступен для повторного сопоставления.
  5. Администратор повторно добавляет Боба Смита в область синхронизации, а Microsoft Entra Connect повторно синхронизирует объект.
  6. Как правило, жёсткое совпадение перенимает объект, присутствующий в идентификаторе Microsoft Entra, на основе того же SourceAnchor и переключает атрибут DirSyncEnabled обратно на 'True', однако при включенном BlockCloudObjectTakeoverThroughHardMatchEnabled эта операция не допускается, и появляется исключение InvalidHardMatch.

Исправьте ошибку InvalidHardMatch

Мы советуем клиентам включить BlockCloudObjectTakeoverThroughHardMatchEnabled, если они не нуждаются в этом для принятия существующих учетных записей в Microsoft Entra ID.

Если необходимо устранить ошибку InvalidHardtMatch и успешно сопоставить учетную запись, можно снова включить жесткое сопоставление, как описано в жестком сопоставлении против мягкого сопоставления.

InvalidSoftMatch

Описание

  • Ошибка InvalidSoftMatch возникает, когда жесткое совпадение не находит соответствующий объект и обратимое совпадение находит соответствующий объект, но этот объект имеет значение immutableId, отличное от значения sourceAnchor входящего объекта. Это несоответствие предполагает, что соответствующий объект был синхронизирован из другого объекта из локальной Active Directory.

Для работы мягкого сопоставления, объект, который должен быть сопоставлен, не должен иметь значения для атрибута immutableId. Операция приводит к ошибке синхронизации InvalidSoftMatch, когда объект с атрибутом immutableId, установленным со значением, не проходит жесткое соответствие, но удовлетворяет критериям мягкого соответствия.

В схеме Microsoft Entra запрещено использовать для нескольких объектов одинаковые значения приведенных ниже атрибутов. Этот список не является исчерпывающим.

  • прокси-адреса
  • userPrincipalName
  • Идентификатор безопасности на месте (onPremisesSecurityIdentifier)
  • objectId
  • неизменный идентификатор

Устойчивость к дублированию атрибутов в Microsoft Entra также развертывается как стандартное поведение в Microsoft Entra ID. Эта функция уменьшает количество ошибок синхронизации, которые видят Microsoft Entra Connect и другие клиенты синхронизации. Она повышает устойчивость Microsoft Entra в том, как система обрабатывает повторяющиеся атрибуты proxyAddresses и userPrincipalName, присутствующие в локальных средах службы Active Directory.

Эта функция не устраняет ошибки дублирования, поэтому данные все равно необходимо исправить. Но это позволяет подготавливать новые объекты, которые в противном случае заблокированы из-за повторяющихся значений в идентификаторе Microsoft Entra. Эта возможность также уменьшает количество ошибок синхронизации, возвращаемых клиенту синхронизации.

Примечание.

Если для вашего арендатора включена возможность устойчивости к дублированию атрибутов Microsoft Entra, ошибки синхронизации InvalidSoftMatch, возникающие при подготовке новых объектов, не будут отображаться.

Примеры сценариев для ошибки InvalidSoftMatch

  • В локальном каталоге AD есть несколько объектов с одинаковым значением атрибута proxyAddresses. Только один настраивается в Microsoft Entra ID.
  • В локальном каталоге AD есть несколько объектов с одинаковым значением атрибута userPrincipalName. Только один идентификатор подготавливается в Microsoft Entra.
  • Объект был добавлен в локальный Active Directory с тем же значением атрибута proxyAddresses, что и существующий объект в Microsoft Entra ID. Добавленный локальный объект не проходит подготовку в Microsoft Entra ID.
  • Объект был добавлен в локальную службу Active Directory с тем же значением атрибута userPrincipalName, что и для учетной записи в Microsoft Entra ID. Объект не назначается в Microsoft Entra ID.
  • Синхронизированная учетная запись была перемещена из леса A в лес B. Microsoft Entra Connect (подсистема синхронизации) использовала атрибут objectGUID для вычисления атрибута sourceAnchor . После перемещения леса значение sourceAnchor изменилось. Новый объект из Forest B не может синхронизироваться с существующим объектом в идентификаторе Microsoft Entra.
  • Синхронизированный объект был случайно удален из локального домена Active Directory, а новый объект был создан в Active Directory для той же сущности (например, пользователя) без удаления той же учетной записи в Microsoft Entra ID. Новая учетная запись не синхронизируется с существующим объектом Microsoft Entra.
  • Microsoft Entra Connect был удален и переустановлен. При переустановке вместо атрибута sourceAnchor выбран другой атрибут. Все ранее синхронизированные объекты перестают синхронизироваться с ошибкой InvalidSoftMatch.

Примерный случай

  1. Боб Смит является синхронизированным пользователем в Microsoft Entra ID из локальной службы Active Directory contoso.com.
  2. Имя учётной записи пользователя Боба Смита установлено как bobs@contoso.com.
  3. Атрибут sourceAnchor"abcdefghijklmnopqrstuv==" вычисляется Microsoft Entra Connect с использованием атрибута objectGUID Боба Смита из локальной службы Active Directory. Этот атрибут является атрибутом immutableId для Боба Смита в идентификаторе Microsoft Entra.
  4. Боб также имеет следующие значения для атрибута proxyAddresses :
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com.
    • smtp: bob@contoso.com
  5. В локальный Active Directory добавлен новый пользователь, Боб Тейлор.
  6. Имя основной учетной записи пользователя Боба Тейлора установлено как bobt@contoso.com.
  7. Атрибут sourceAnchor объекта abcdefghijkl0123456789==" вычисляется Microsoft Entra Connect с использованием атрибута objectGUID Боба Тейлора из локальной службы Active Directory.
  8. Боб Тейлор имеет следующие значения для атрибута proxyAddresses :
    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
    • smtp: bob@contoso.com
  9. Во время синхронизации Microsoft Entra Connect распознает добавление Боба Тейлора в локальную службу Active Directory и запрашивает Microsoft Entra ID, чтобы внести тот же самый изменение.
  10. Microsoft Entra сначала выполняет жесткий матч. То есть он выполняет поиск любого объекта с атрибутом immutableId, равным "abcdefghijkl0123456789==". Не удалось выполнить жесткое совпадение, так как ни один другой объект в идентификаторе Microsoft Entra ID не имеет атрибута неизменяемого идентификатора.
  11. Идентификатор Microsoft Entra затем выполняет нежесткое сопоставление, чтобы найти Боба Тейлора. То есть он ищет объект с атрибутами proxyAddresses, равными трем значениям, включая SMTP: bob@contoso.com.
  12. Идентификатор Microsoft Entra id находит объект Боба Смита для соответствия критериям мягкого соответствия. Но этот объект имеет значение immutableId = "abcdefghijklmnopqrstuv==", которое указывает, что этот объект был синхронизирован из другого объекта из локального каталога Active Directory. Идентификатор Microsoft Entra не может осуществить мягкое сопоставление этих объектов, поэтому выдается ошибка синхронизации InvalidSoftMatch.

Исправьте ошибку InvalidSoftMatch

Наиболее распространенной причиной ошибки InvalidSoftMatch является наличие двух объектов, у которых разные атрибуты sourceAnchor (immutableId), но одинаковое значение для атрибутов proxyAddresses или userPrincipalName, которые используются в процессе soft-match в Microsoft Entra ID. Чтобы устранить ошибку InvalidSoftMatch:

  1. Определите повторяющееся значение атрибута proxyAddresses, userPrincipalName или другого атрибута, вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Connect Health для синхронизации , может помочь определить два объекта.
  2. Определите, какой объект должен продолжать иметь дублированное значение и какой объект не должен.
  3. Удалите из объекта повторяющееся значение, если этот объект не должен иметь такое значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если вы внесли изменения в локальная служба Active Directory, позвольте Microsoft Entra Connect синхронизировать изменения.

Отчеты об ошибках синхронизации в Microsoft Entra Connect Health для синхронизации обновляются каждые 30 минут и включают ошибки из последней попытки синхронизации.

Примечание.

По сути атрибут immutableId не должен изменяться в течение времени существования объекта. Возможно, Microsoft Entra Connect не был настроен с учётом некоторых сценариев из предыдущего списка. В этом случае Microsoft Entra Connect может вычислить другое значение атрибута sourceAnchor для объекта Active Directory, представляющего ту же сущность (одного пользователя, группы или контакта), которая имеет существующий объект Microsoft Entra, который вы хотите продолжить использовать.

Связанная статья

Запрет синхронизации службы каталогов в Microsoft 365 из-за повторяющихся или недопустимых атрибутов

НесоответствиеТипаОбъекта

Описание

Если идентификатор Microsoft Entra пытается выполнить мягкое сопоставление двух объектов, возможно, что два объекта разных типов, таких как пользователь, группа или контакт, имеют одинаковые значения атрибутов, используемых для выполнения мягкого сопоставления. Так как дублирование этих атрибутов не разрешено в идентификаторе Microsoft Entra, операция может привести к ошибке синхронизации ObjectTypeMismatch.

Примеры сценариев ошибки ObjectTypeMismatch

В Microsoft 365 создана группа безопасности с поддержкой почты. Администратор добавляет нового пользователя или контакт в локальной службе Active Directory, который еще не синхронизирован с Microsoft Entra ID, но с тем же значением для атрибута proxyAddresses, что и у группы Microsoft 365.

Пример случая

  1. Администратор создал для налогового департамента в Microsoft 365 группу безопасности, поддерживающую почту, а в качестве адреса электронной почты указал tax@contoso.com. Этой группе назначается значение атрибута ProxyAddressesSMTP: tax@contoso.com.
  2. На сайт Contoso.com присоединился новый пользователь, и для этого пользователя в локальной системе создается учетная запись с атрибутом proxyAddresses, которому присвоено значение smtp: tax@contoso.com.
  3. Когда Microsoft Entra Connect синхронизирует новую учетную запись пользователя, она получает ошибку ObjectTypeMismatch.

Исправьте ошибку ObjectTypeMismatch

Чаще всего причина ошибки ObjectTypeMismatch заключается в наличии двух объектов разных типов (например, пользователь, группа или контакт), у которых одинаковое значение атрибута proxyAddresses. Чтобы устранить ошибку ObjectTypeMismatch:

  1. Определите повторяющееся значение атрибута proxyAddresses (или другого атрибута), вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Connect Health для синхронизации , может помочь определить два объекта.
  2. Определите, какой объект должен продолжать иметь дублированное значение и какой объект не должен.
  3. Удалите повторяющееся значение из объекта, который не должен иметь это значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если вы внесли изменения в локальную AD, позвольте Microsoft Entra Connect синхронизировать изменения. Отчет об ошибке синхронизации в Microsoft Entra Connect Health для синхронизации обновляется каждые 30 минут. Отчет содержит ошибки, связанные с последней попыткой синхронизации.

повторяющиеся атрибуты

В этом разделе рассматриваются ошибки повторяющихся атрибутов.

Значение атрибута должно быть уникальным

Описание

В схеме Microsoft Entra запрещено использовать для нескольких объектов одинаковые значения приведенных ниже атрибутов. У каждого объекта в Microsoft Entra ID должно быть уникальное значение для этих атрибутов в любой момент времени.

  • почта
  • адреса прокси
  • Имя для входа
  • основное имя пользователя

Если Microsoft Entra Connect пытается добавить новый объект или обновить указанные выше атрибуты имеющегося объекта, добавив для них значения, назначенные другому объекту в Microsoft Entra ID, то операция завершится ошибкой синхронизации AttributeValueMustBeUnique.

Возможный сценарий

Повторяющееся значение назначено синхронизированному объекту, конфликтующему с другим синхронизированным объектом.

Пример случая

  1. Пользователь Боб Смит является синхронизированным пользователем в Microsoft Entra ID из локальной Active Directory домена contoso.com.
  2. Имя субъекта-пользователя Боба Смита в локальной системе задано как bobs@contoso.com.
  3. Боб также имеет следующие значения для атрибута proxyAddresses :
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com.
    • smtp: bob@contoso.com
  4. В локальный Active Directory добавлен новый пользователь, Боб Тейлор.
  5. Имя пользователя Bob Taylor установлено как bobt@contoso.com.
  6. Боб Тейлор имеет следующие значения для атрибута proxyAddresses :
    • smtp: bobt@contoso.com.
    • smtp: bob.taylor@contoso.com.
  7. Синхронизация объекта Боба Тейлора с Microsoft Entra ID выполнена успешно.
  8. Администратор решил обновить атрибут proxyAddresses Боба Тейлора со следующим значением:
    • smtp: bob@contoso.com.
  9. Microsoft Entra ID выполнит попытку обновить объект Боба Тейлора в Microsoft Entra ID, добавив в него предыдущее значение, но эта операция завершится ошибкой, потому что такое значение proxyAddresses уже назначено Бобу Смиту. В результате отобразится ошибка AttributeValueMustBeUnique.

Исправьте ошибку AttributeValueMustBeUnique

Чаще всего причина ошибки AttributeValueMustBeUnique заключается в наличии двух объектов с разными атрибутами sourceAnchor (immutableId), но одинаковым значением атрибутов proxyAddresses или userPrincipalName. Чтобы исправить ошибку AttributeValueMustBeUnique:

  1. Определите повторяющееся значение атрибута proxyAddresses, userPrincipalName или другого атрибута, вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Connect Health для синхронизации , может помочь определить два объекта.
  2. Определите, какой объект должен продолжать иметь дублированное значение и какой объект не должен.
  3. Удалите из объекта повторяющееся значение, которое не должно там присутствовать. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если изменения внесены в локальном каталоге Active Directory, выполните их синхронизацию c Microsoft Entra Connect. Это позволит устранить ошибку.

Связанная статья

Запрет синхронизации службы каталогов в Microsoft 365 из-за повторяющихся или недопустимых атрибутов

Сбой проверки данных

В этом разделе рассматриваются ошибки проверки данных.

Ошибка проверки данных удостоверения личности

Описание

Перед записью данных в каталог Microsoft Entra ID применяет к ним разные ограничения. Эти ограничения позволяют конечным пользователям получить наилучший интерфейс при использовании приложений, которые зависят от этих данных.

Сценарии

  • Значение атрибута userPrincipalName содержит недопустимые или неподдерживаемые символы.
  • Атрибут userPrincipalName не соответствует требуемому формату.

Результатом выполнения приведенных выше сценариев является ошибка IdentityDataValidationFailed.

Как устранить ошибку IdentityDataValidationFailed

Убедитесь, что для значения атрибута userPrincipalName указаны поддерживаемые символы и значение соответствует требуемому формату.

Связанная статья

Подготовка к обеспечению пользователей через синхронизацию каталогов с Microsoft 365

Ошибки нарушения доступа при удалении и ошибки нарушения доступа к паролю

Идентификатор Microsoft Entra защищает облачные объекты от обновления с помощью Microsoft Entra Connect. Хотя невозможно обновить эти объекты с помощью Microsoft Entra Connect, вызовы можно выполнять непосредственно в серверной части Microsoft Entra, чтобы попытаться изменить объекты только в облаке. При этом могут возвращаться следующие ошибки:

  • Эта операция синхронизации ("Удалить") недопустима. Обратитесь в службу технической поддержки (тип ошибки 114).
  • Не удалось обработать это обновление, так как в текущий запрос включено обновление учетных данных одного или нескольких пользователей только для облака.
  • Удаление объекта только для облака не поддерживается. Обратитесь в службу поддержки пользователей Майкрософт.
  • Невозможно выполнить запрос на изменение пароля, так как он содержит изменения в одном или нескольких облачных пользовательских объектах, которые не поддерживаются. Обратитесь в службу поддержки пользователей Майкрософт.

Разрешение проблемы удаления только облачных объектов невозможно (тип ошибки 114)

В этом разделе рассматриваются потенциальные причины и решения для устранения ошибки DeleteCloudOnlyObjectNotAllowed (тип ошибки 114).

Корпорация Майкрософт рекомендует организациям постоянно назначать роль глобального администратора двум учетным записям экстренного доступа, предназначенным исключительно для облака. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничены сценариями аварийного доступа или экстренных ситуаций, когда обычные учетные записи не могут быть использованы, или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями по созданию учетных записей аварийного доступа.

Описание

Это сценарий, когда клиент хочет перейти из гибридной среды в облако. Администратор инициирует вызов Microsoft Entra Connect при попытке переместить пользователей за пределы области действия, но Microsoft Entra Connect возвращает ошибку DeletingCloudOnlyObjectNotAllowed (или тип ошибки 114): "Эта операция синхронизации, удаление, не является допустимой." Обратитесь в службу технической поддержки".

Возможные причины этой ошибки:

  • Вызов из Microsoft Entra Connect не имеет UPN, нового или уникального GUID или других необходимых сведений.
  • Microsoft Entra Connect пытается экспортировать данные, но параметр DirSyncEnabled установлен в значение False.
  • Microsoft Entra Connect пытается удалить восстановленного пользователя или другого объекта. Обычно это связано с тем, что пользователь или другая ссылка на объекты была перемещена из области синхронизации или в контейнер Lost &Found.

Возможные сценарии

Клиент Microsoft Entra Connect не удаляет пользователей во время миграции из гибридной среды в облако, что приводит к ошибке типа 114.

Возможные причины, по которым пользователей нельзя удалить:

  • Правило, созданное клиентом для вывода пользователей за рамки, основано на атрибуте Admin.
  • Тип ошибки 114 возвращается во время операции синхронизации (синхронизации Azure AD), что приводит к сбою удаления пользователей.
  • Синхронизация завершается сбоем для определенных функций, что приводит к тому, что пользователи не удаляются соответствующим образом.

Пример ошибки

Пример ошибки экспорта:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Исправление ошибки

Для разрешения этой проблемы:

  1. Определите ссылку на объект проблемы.
  2. Используйте PowerShell для обратимого удаления облачной учетной записи:
  3. Выполните Start-ADSyncSyncCycle -PolicyType Delta команду, которая должна успешно импортировать удаление учетной записи.
  4. Убедитесь, что удаление выполнено успешно.
  5. Восстановите пользователя из корзины.
  6. Запустите Start-ADSyncSyncCycle -PolicyType Delta на сервере, чтобы убедиться, что ошибка не возникает снова.

Предупреждение

Если пользователь исключен из области синхронизации, объект становится обратимо удаленным в идентификаторе Microsoft Entra, а его атрибут DirSyncEnabled переключится на False. Однако этот процесс не преобразует объект в управляемый облаком, так как он по-прежнему содержит атрибуты и значения, синхронизированные из локальной Active Directory, которыми нельзя управлять в облаке. Значение DirSyncEnabled равно False, чтобы указать, что он в настоящее время выходит из области синхронизации и доступен для повторного сопоставления.

БольшойОбъект или ПревышенаДопустимаяДлина

В этом разделе обсуждаются ошибки LargeObject или ExceededAllowedLength.

Описание

Если атрибут превышает допустимое ограничение размера, ограничение длины или ограничение количества, заданное схемой Microsoft Entra, операция синхронизации приводит к ошибке синхронизации LargeObject или ExceededAllowedLength. Как правило, эта ошибка возникает со следующими атрибутами:

  • Пользовательский сертификат
  • userSMIMECertificate
  • миниатюрное фото
  • прокси-адреса

Идентификатор Microsoft Entra ID не накладывает ограничения для каждого атрибута, за исключением жестко заданного ограничения в 15 сертификатов в атрибуте userCertificate и до 100 атрибутов для расширений каталогов с максимумом 250 символов для каждого расширения каталога. Существует ограничение на размер для целого объекта. Если Microsoft Entra Connect попытается синхронизировать объект с превышением ограничения на размер объекта, возникнет ошибка экспорта.

Все атрибуты вносят вклад в окончательный размер объекта. Некоторые атрибуты имеют разные множители из-за дополнительных затрат на обработку. Примером являются индексированные значения. Кроме того, учетной записи могут быть назначены разные облачные службы, планы служб и лицензии, которые используют еще больше атрибутов, увеличивающих общий размер объекта.

Невозможно определить, сколько записей атрибут может храниться в идентификаторе Microsoft Entra, например сколько SMTP-адресов может быть в атрибуте proxyAddresses . Объем зависит от размера и коэффициентов умножения всех атрибутов в объекте.

Возможные сценарии

  • Атрибут userCertificate хранит слишком много сертификатов, назначенных Бобу. В их числе могут быть старые и устаревшие сертификаты. Жесткий предел — 15 сертификатов. Дополнительные сведения о том, как обрабатывать ошибки LargeObject с атрибутом userCertificate, см. в статье Обработка ошибок LargeObject, вызванных атрибутом userCertificate.
  • Атрибут userSMIMECertificate хранит слишком много сертификатов, назначенных Бобу. В их числе могут быть старые и просроченные сертификаты. Жесткий предел — 15 сертификатов.
  • Атрибут Bob `thumbnailPhoto`, установленный в Active Directory, слишком велик для синхронизации в Microsoft Entra ID.
  • При автоматическом заполнении атрибута proxyAddresses в Active Directory объекту назначено слишком много атрибутов proxyAddresses.

Ниже приведены примеры, которые демонстрируют разный вес атрибутов, например UserCertificate и ProxyAddresses:

  • Синхронизированный пользователь, который не имеет внесенных атрибутов, кроме обязательных атрибутов Active Directory и почты, может синхронизировать до 332 прокси-адресов.
  • Аналогичный синхронизированный пользователь с атрибутом mailNickname и 10 сертификатами пользователей может синхронизировать не более 329 прокси-адресов.
  • Для аналогичного синхронизированного пользователя с 10 сертификатами пользователей и 4 назначенными подписками (со всеми включенными планами служб) максимальное число прокси-адресов уменьшается до 311.
  • Теперь рассмотрим предыдущего пользователя, который уже имеет максимальное количество прокси-адресов, и предположим, что нужно добавить еще один SMTP-адрес. Чтобы число прокси-адресов равнялось 312, необходимо удалить хотя бы три сертификата пользователя (в зависимости от размера сертификата).

Примечание.

Эти значения могут немного отличаться. Как правило, надежнее предположить, что лимит SMTP-адресов в атрибуте ProxyAddresses приблизительно равен 300. Это позволит в будущем увеличить размер объекта и количество заполненных атрибутов.

Исправьте ошибку LargeObject или ExceededAllowedLength

Проверьте свойства пользователя и удалите значения атрибутов, которые больше не нужны. Например, отозванные или просроченные сертификаты, а также устаревшие или ненужные адреса, такие как SMTP, X.400, X.500, MSMail и CcMail.

Конфликт с существующей ролью администратора

Описание

Ошибка синхронизации "Конфликт с существующей ролью администратора" происходит в объекте пользователя во время синхронизации, если этот объект пользователя имеет следующие характеристики:

  • Разрешения администратора.
  • Тот же атрибут userPrincipalName , что и существующий объект Microsoft Entra.

Microsoft Entra Connect не допускает мягкого сопоставления пользовательского объекта из локальной AD с объектом пользователя в идентификаторе Microsoft Entra ID, которому назначена административная роль. Дополнительные сведения см. в разделе microsoft Entra userPrincipalName.

Снимок экрана, показывающий количество ошибок синхронизации конфликта текущих ролей администратора.

Исправьте ошибку "Конфликт существующей роли администратора"

Для разрешения этой проблемы:

  1. Удалите учетную запись Microsoft Entra (владелец) из всех ролей администратора.
  2. Окончательное удаление объекта, помещенного в карантин, в облаке.
  3. Следующий цикл синхронизации будет заниматься мягким сопоставлением локального пользователя с облачной учетной записью, так как облачный пользователь больше не является администратором гибридных удостоверений.
  4. Восстановление членства в ролях для владельца.

Примечание.

Можно снова назначить административную роль существующему объекту пользователя после завершения мягкого сопоставления между локальным объектом пользователя и объектом пользователя Microsoft Entra.