Синхронизация Microsoft Entra Connect: обработка ошибок LargeObject, вызванных атрибутом userCertificate

Идентификатор Microsoft Entra применяет максимальный лимит 15 значений сертификатов для атрибута userCertificate. Если Microsoft Entra Connect экспортирует объект с более чем 15 значениями в идентификатор Microsoft Entra, идентификатор Microsoft Entra id возвращает ошибку LargeObject с сообщением:

Предоставленный объект слишком велик. Обрезать количество значений атрибутов в этом объекте. Операция будет выполнена в следующем цикле синхронизации..."

Ошибка LargeObject может быть вызвана другими атрибутами AD. Чтобы убедиться, что причиной является атрибут userCertificate, проверьте объект либо в локальной службе AD, либо в поиске метавселенной диспетчера синхронизации .

Чтобы получить список объектов в вашем тенанте с ошибками LargeObject, используйте один из следующих методов:

• Если клиент включен для службы microsoft Entra Connect Health для синхронизации, вы можете обратиться к отчету об ошибке синхронизации.

• На вкладке "Операции менеджера службы синхронизации" отображается перечень объектов с ошибками больших объектов, если выбрать последнюю операцию экспорта в Microsoft Entra.

Варианты устранения рисков

До устранения ошибки LargeObject изменения других атрибутов того же объекта не могут быть экспортированы в Microsoft Entra ID. Чтобы устранить ошибку, можно рассмотреть следующие варианты:

• Обновите Microsoft Entra Connect до сборки 1.1.524.0 или более поздней версии. В сборке Microsoft Entra Connect 1.1.524.0 правила синхронизации по умолчанию были обновлены, чтобы не экспортировать атрибуты userCertificate и userSMIMECertificate, если их значения превышают 15. Дополнительные сведения об обновлении Microsoft Entra Connect см. в статье Microsoft Entra Connect: обновление с предыдущей версии до последней.

• Реализуйте правило синхронизации исходящего трафика в Microsoft Entra Connect, которое экспортирует значение null вместо фактических значений для объектов с более чем 15 значениями сертификатов. Этот параметр подходит, если вам не требуется экспортировать какие-либо значения сертификата в идентификатор Microsoft Entra для объектов с более чем 15 значениями. Дополнительные сведения о реализации этого правила синхронизации см. в следующем разделе: Реализация правила синхронизации, чтобы ограничить экспорт атрибута userCertificate.

• Уменьшите количество значений сертификатов в локальном объекте AD (15 или меньше), удалив значения, которые больше не используются вашей организацией. Это подходит, если истек срок действия или неиспользуемые сертификаты вызывают раздувание атрибутов. Командлет Remove-ADSyncToolsExpiredCertificates можно использовать для поиска, резервного копирования и удаления истекших сертификатов в локальной AD. Перед удалением сертификатов рекомендуется проконсультироваться с администраторами Public-Key-Infrastructure в вашей организации.

• Настройте Microsoft Entra Connect, чтобы исключить атрибут userCertificate из экспорта в Microsoft Entra ID. Как правило, этот параметр не рекомендуется использовать, так как атрибут может использоваться службами Microsoft Online Services для включения конкретных сценариев. В частности:

  • Атрибут userCertificate в объекте User используется клиентами Exchange Online и Outlook для подписывания и шифрования сообщений. Дополнительные сведения об этой функции см. в статье S/MIME для подписывания сообщений и шифрования.

  • Атрибут userCertificate в объекте Computer используется идентификатором Microsoft Entra, чтобы разрешить устройствам, присоединенным к локальному домену Windows 10, подключаться к идентификатору Microsoft Entra. Чтобы узнать больше об этой функции, обратитесь к статье "Подключение устройств, присоединенных к домену, к Microsoft Entra ID для работы с Windows 10".

Реализация правила синхронизации для ограничения экспорта атрибута userCertificate

Чтобы устранить ошибку LargeObject, вызванную атрибутом userCertificate, можно реализовать правило исходящей синхронизации в Microsoft Entra Connect, которое экспортирует значение null вместо фактических значений для объектов с более чем 15 значениями сертификатов. В этом разделе описаны шаги, необходимые для реализации правила синхронизации для объектов user. Действия можно адаптировать для объектов "Contact" и "Computer".

Важно

При экспорте значения NULL удаляются значения сертификатов, которые ранее были успешно экспортированы в Microsoft Entra ID.

Ниже приведены инструкции.

1. Отключите планировщик синхронизации и убедитесь, что синхронизация не выполняется.
2. Найдите существующее правило синхронизации исходящего трафика для атрибута userCertificate.
3. Создайте необходимое правило для исходящей синхронизации.
4. Проверьте новое правило синхронизации для существующего объекта с ошибкой LargeObject.
5. Примените новое правило синхронизации к оставшимся объектам с ошибкой LargeObject.
6. Убедитесь, что нет неожиданных изменений, ожидающих экспорта в Microsoft Entra ID.
7. Экспортируйте изменения в идентификатор Microsoft Entra.
8. Повторно включите планировщик синхронизации.

Шаг 1. Отключите планировщик синхронизации и убедитесь, что синхронизация не выполняется

Убедитесь, что синхронизация не выполняется во время реализации нового правила синхронизации, чтобы избежать экспорта непреднамеренных изменений в идентификатор Microsoft Entra ID. Чтобы отключить встроенный планировщик синхронизации, выполните следующие действия.

1. Запустите сеанс PowerShell на сервере Microsoft Entra Connect.

2. Отключите запланированную синхронизацию с помощью командлета: Set-ADSyncScheduler -SyncCycleEnabled $false

Заметка

Описанные выше шаги применимы только к более новым версиям (1.1.xxx.x) Microsoft Entra Connect со встроенным планировщиком. Если вы используете более старые версии (1.0.xxx.x) Microsoft Entra Connect, использующей планировщик задач Windows, или вы используете собственный настраиваемый планировщик (не распространенный) для активации периодической синхронизации, их необходимо отключить соответствующим образом.

1. Запустите диспетчер службы синхронизации , перейдя в ПУСК → Служба синхронизации.

2. Перейдите на вкладку «Операции» и убедитесь, что нет операции со статусом «выполняется».

Шаг 2. Поиск существующего правила синхронизации исходящего трафика для атрибута userCertificate

Должно быть существующее правило синхронизации, которое включено и настроено для экспорта атрибута "userCertificate" для объектов типа User в Microsoft Entra ID. Найдите это правило синхронизации, чтобы узнать приоритет и конфигурацию фильтра области.

1. Запустите редактор правил синхронизации , выбрав ПУСК → Редактор правил синхронизации.

2. Настройте фильтры поиска со следующими значениями:

   Атрибут	Ценность
   Направление	Исходящие
   Тип объекта MV	человек
   Соединитель	имя соединителя Microsoft Entra
   Тип объекта соединителя	пользователь
   Атрибут MV	userCertificate

3. Если вы используете правила синхронизации OOB (вне поля) с соединителем Microsoft Entra для экспорта атрибута userCertificate для объектов User, необходимо вернуть "Out to Microsoft Entra ID — User ExchangeOnline" rule.

4. Запишите приоритет этого правила синхронизации.

5. Выберите правило синхронизации и выберите Изменить.

6. В всплывающем диалоговом окне "Подтверждение изменения зарезервированного правила" выберите "Нет". (Не беспокойтесь, мы не будем вносить никаких изменений в это правило синхронизации.

7. На экране редактирования выберите вкладку фильтра ограничения.

8. Запишите настройки фильтра области действия. Если вы используете правило синхронизации OOB, то необходимо точно одну группу фильтров области, содержащую два предложения, в том числе:

   Атрибут	Оператор	Ценность
   типИсходногоОбъекта	РАВНЫЙ	Пользователь
   CloudMastered	ПРИМЕЧАНИЕQUAL	Истина

Шаг 3. Создание правила исходящей синхронизации

Новое правило синхронизации должно иметь тот же фильтр области и более высокий приоритет , чем существующее правило синхронизации. Это гарантирует, что новое правило синхронизации применяется к тому же набору объектов, что и существующее правило синхронизации и переопределяет существующее правило синхронизации для атрибута userCertificate. Чтобы создать правило синхронизации, выполните следующие действия.

1. В редакторе правил синхронизации нажмите кнопку Добавить новое правило.

2. На вкладке "Описание" укажите следующую конфигурацию:

   Атрибут	Ценность	Подробности
   Имя	Укажите имя	Например, "Отправка в Microsoft Entra ID — произвольное переопределение для userCertificate"
   Описание	Укажите описание	Например, "Если атрибут userCertificate имеет более 15 значений, экспортируйте NULL".
   Подключенная система	Выберите соединитель Microsoft Entra Connector
   Тип подключенного системного объекта	пользователь
   Тип объекта Metaverse	человека
   Тип ссылки	Присоединяйтесь к
   Предшествование	Выберите число от 1 до 99	Выбранное число не должно использоваться существующим правилом синхронизации и имеет меньшее значение (и, следовательно, более высокий приоритет), чем существующее правило синхронизации.

3. Перейдите на вкладку фильтра области и реализуйте тот же фильтр области, который использует существующее правило синхронизации.

4. Пропустите вкладку правил присоединения .

5. Перейдите на вкладку Преобразования, чтобы добавить новое преобразование с помощью следующей конфигурации:

   Атрибут	Ценность
   Тип потока	выражение
   Целевой атрибут	userCertificate
   Исходный атрибут	Использовать следующее выражение: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Нажмите кнопку Добавить, чтобы создать правило синхронизации.

Шаг 4. Проверка нового правила синхронизации существующего объекта с ошибкой LargeObject

Это позволяет убедиться, что созданное правило синхронизации работает правильно с существующим объектом AD с ошибкой LargeObject, прежде чем применить его к другим объектам:

1. Перейдите на вкладку Operations в Диспетчере Синхронизации.
2. Выберите последнюю операцию экспорта в Microsoft Entra и выберите один из объектов с ошибками LargeObject.
3. Во всплывающем окне "Свойства объекта пространства соединителя" нажмите кнопку "Предварительный просмотр".
4. Во всплывающем окне предварительного просмотра выберите полную синхронизацию и выберите предварительный просмотр фиксации.
5. Закройте экран предварительного просмотра и экран свойств объекта пространства соединителя.
6. Перейдите на вкладку Соединители в диспетчере службы синхронизации.
7. Щелкните правой кнопкой мыши идентификатор microsoft Entra ID Connector и выберите Выполнить...
8. Во всплывающем окне соединителя выберите Шаг экспорта и ОК.
9. Дождитесь завершения экспорта в Microsoft Entra ID и убедитесь, что в этом конкретном объекте больше нет ошибки "LargeObject".

Шаг 5. Применение нового правила синхронизации к оставшимся объектам с ошибкой LargeObject

После добавления правила синхронизации необходимо выполнить полный шаг синхронизации в соединителе AD:

1. Перейдите на вкладку Соединители в Менеджере Службы Синхронизации.
2. Щелкните правой кнопкой мыши на коннекторе AD и выберите Выполнить...
3. Во всплывающем окне соединителя выберите полную синхронизацию и нажмите OK.
4. Дождитесь завершения шага полной синхронизации.
5. Повторите описанные выше действия для оставшихся соединителей AD, если у вас несколько соединителей AD. Обычно требуется несколько соединителей, если у вас несколько локальных каталогов.

Шаг 6. Убедитесь, что нет непредвиденных изменений, ожидающих экспорта в идентификатор Microsoft Entra ID

1. Перейдите на вкладку Соединители в Диспетчере служб синхронизации.
2. Щелкните правой кнопкой мыши по идентификатору Microsoft Entra ID Connector и выберите пространство для поиска соединителя.
3. Во всплывающем окне пространства соединителя поиска:
   1. Установите для области статус "Ожидает экспорт".
   2. Установите все 3 флажка, включая добавить, изменитьи удалить.
   3. Нажмите кнопку Поиск, чтобы отобразить все объекты с изменениями, которые ожидают экспорта в Microsoft Entra ID.
   4. Убедитесь, что не произошло непредвиденных изменений. Чтобы проверить изменения для данного объекта, дважды выберите его.

Шаг 7. Экспорт изменений в идентификатор Microsoft Entra

Чтобы экспортировать изменения в идентификатор Microsoft Entra, выполните следующие действия.

1. Перейдите на вкладку Соединители в диспетчере служб синхронизации.
2. Щелкните правой кнопкой мыши на коннекторе Microsoft Entra ID и выберите Выполнить...
3. Во всплывающем окне соединителя выберите шаг Экспорта и нажмите ОК.
4. Дождитесь завершения экспорта в Microsoft Entra ID и убедитесь, что больше не осталось ошибок LargeObject.

Шаг 8. Повторное включение планировщика синхронизации

Теперь, когда проблема устранена, повторно включите встроенный планировщик синхронизации:

1. Запустите сеанс PowerShell.
2. Повторно включите запланированную синхронизацию, выполнив командлет: Set-ADSyncScheduler -SyncCycleEnabled $true

Заметка

Описанные выше шаги применимы только к более новым версиям (1.1.xxx.x) Microsoft Entra Connect со встроенным планировщиком. Если вы используете более старые версии (1.0.xxx.x) Microsoft Entra Connect, использующей планировщик задач Windows, или вы используете собственный настраиваемый планировщик (не распространенный) для активации периодической синхронизации, их необходимо отключить соответствующим образом.

Дальнейшие действия

Узнайте больше о интеграции локальных удостоверений с идентификатором Microsoft Entra ID.