通过

目录同步报告中显示错误:此公司已超出可同步的对象数

  • 项目

本文介绍如何在 Office 365、Azure 或 Microsoft Intune 环境中增加目录同步的 Active Directory 目录服务配额。

原始产品版本:云服务(Web 角色/辅助角色)、Microsoft Entra ID、Microsoft Intune、Azure 备份、Office 365 用户和域管理
原始 KB 数: 2812409

现象

MSOnlineServicesTeam@MicrosoftOnline.com 收到一封电子邮件,其中包含以下错误消息:

错误 016:同步已停止。 此公司已超出可以同步的对象数。 请联系 Microsoft Online Services 支持部门。

注意

如果只想请求增加目录服务配额,如果计划将超过Microsoft云服务(如 Office 365、Azure 或 Microsoft Intune)中允许的对象数,并且不使用 Active Directory 同步,也可以使用本文。 Microsoft Entra ID 中的当前目录服务配额为 50,000 个对象。

原因

出现此问题的原因是在Microsoft Entra ID 中创建的对象数超出了目录服务限制。 Microsoft Entra ID 限制每个组织能够创建的对象数。 Microsoft Entra 组织中的组、联系人和用户对象计入组织的目录使用量。

默认的目录服务配额按以下准则计算:

  • 如果没有任何已验证的域,Microsoft Entra ID 中的当前目录服务配额为 50,000 个对象。

    1. 如果在 2011 年 10 月 5 日之前创建了组织,则默认目录服务配额为 10,000 个对象。
    2. 如果在 2011 年 10 月 5 日之后和 2012 年 5 月之前创建了组织,则默认目录服务配额为 20,000 个对象。
    3. 如果在 2012 年 5 月之后创建了组织,则默认目录服务配额为 50,000 个对象。

  • 如果至少有一个已验证的域,则Microsoft Entra ID 中的默认目录服务配额为 300,000 个对象。

解决方法

当本地 Active Directory 中的组、联系人和用户对象的数目超出目录服务配额时,可以请求提高公司的目录服务配额限制。 这样提高以后,在使用目录同步时,就可以同步比当前默认限制更多的对象。

若要继续在组织中创建对象,必须添加域或请求提高目录服务配额。 为此,请使用以下方法。

方法 1

如果没有已验证的域,则必须添加一个域,以将配额限制增加到 300,000 个对象。 有关详细信息,请参阅 “添加域”。

方法 2

如果本地 Active Directory目录服务中有 30 多,000 个对象,若要增加可同步超过 300,000 个的对象数,请联系Microsoft 支持部门。

详细信息

可以这样实施目录服务配额:使用云服务作为方法来限制可以由单个安全主体创建并拥有的最大对象数。 通过目录同步同步到某个公司的所有对象都将创建者/所有者值设置为该公司的默认管理员组。 例如,管理员组的设置如下: admins@contoso1.microsoftonline.com 因此,此配置可以防止用户通过目录同步创建无限数量的对象。 如果公司需要同步的数目超出目录服务配额限制且该需求是正当的,请向技术支持部门提交服务请求。

常见问题解答

问题 1:通过云服务门户或云服务 API(例如 Exchange Online PowerShell)手动添加的对象是否计入我的联机公司配额?

答 1:是的。

问题 2:已删除的对象是否计入我的联机公司配额?

答 2:是的。 当云服务客户从在线公司删除对象时,被删除的对象将放置到目录服务的已删除对象容器中。 该对象会一直保留在已删除对象容器中,直至逻辑删除生存期到期。 到期时间目前设置为 30 天。

例如,考虑以下情况。 一家在线公司要通过非生产性的本地 Active Directory 环境评估云服务。 该云服务组织在 2011 年 10 月 5 日之前创建,默认的同步限制为 10,000 个对象。 该公司通过 Directory Sync 工具对 8,000 个组对象和联系人对象执行批量同步。 稍后,该在线公司决定执行以下操作:

  1. 从公司的本地非生产 Active Directory DS 环境中删除这些组对象和联系人对象。
  2. 将 8,000 个用户对象添加到其本地非生产 Active Directory DS 环境。
  3. 将更新同步到其在线公司。

这 8,000 个组对象和联系人对象移到目录服务中的已删除对象容器。 这些对象会持续消耗高达 25% 的在线公司配额,直到系统在 30 天的逻辑删除期过后将其永久删除。 (此百分比相当于 2,000 个对象,即 8,000 × 25%。)因此,在同步 5,000 个新用户对象后,此在线公司会消耗其可用 Active Directory 配额中的 10,000 个对象,其中的 2,000 个来自已删除对象,8,000 个来自新用户对象。 在 30 天的逻辑删除期限(此期限可能与在线公司评估期限相同)内,在线公司可能无法使用目录同步添加任何其他的对象。 出现此情况是因为已达到在线公司的目录服务配额。

这种情况下,对云服务执行评估的在线公司必须减少其非生产性本地 Active Directory DS 环境中的对象数才能完成产品评估。 但是,如果不能减少对象数,在线公司必须请求提高其目录服务配额。

问题 3: 具有多个已验证的域是否意味着我可以具有超过 300,000 个对象的配额?

答 3:否。 我们授予你的 300,000 个对象的目录配额是针对你的一个或多个经验证的域, 对于注册的每个已验证域,你未获得 300,000 个对象的配额。

联系我们寻求帮助

如果你有任何疑问或需要帮助,请创建支持请求联系 Azure 社区支持。 你还可以将产品反馈提交到 Azure 反馈社区