Microsoft Entra Connect-Synchronisierung: Beheben von LargeObject-Fehlern, die auf das „userCertificate“-Attribut zurückzuführen sind

Microsoft Entra ID erzwingt eine Obergrenze von 15 Zertifikatwerten für das userCertificate-Attribut. Wenn Microsoft Entra Connect ein Objekt mit mehr als 15 Werten in Microsoft Entra ID exportiert, gibt Microsoft Entra ID einen LargeObject-Fehler mit der folgenden Meldung zurück:

Das bereitgestellte Objekt ist zu groß. Verringern Sie die Anzahl der Attributwerte für dieses Objekt. Der Vorgang wird bei der nächsten Synchronisierung wiederholt...

Der LargeObject-Fehler wird möglicherweise von anderen AD-Attributen verursacht. Um sicherzustellen, dass er tatsächlich durch das userCertificate-Attribut verursacht wurde, müssen Sie entweder in der lokalen AD-Instanz oder in Synchronization Service Manager – Metaverse Search (Synchronization Service Manager – Metaversesuche) eine Überprüfung dieses Attribut anhand des Objekts vornehmen.

Verwenden Sie zum Abrufen der Liste mit Objekten in Ihrem Mandanten mit LargeObject-Fehlern eine der folgenden Methoden:

• Wenn Ihr Mandant für Microsoft Entra Connect Health zur Synchronisierung verwendet werden kann, können Sie den bereitgestellten Fehlerbericht zur Synchronisierung zurate ziehen.

• Auf der Registerkarte Synchronization Service Manager Operations (Synchronization Service Manager-Vorgänge) wird die Liste der Objekte mit LargeObject-Fehlern angezeigt, wenn Sie auf den Vorgang „Letzter Export nach Microsoft Entra“ klicken.

Abhilfeoptionen

Bis zur Behebung des LargeObject-Fehlers können weitere Attributänderungen am gleichen Objekt nicht nach Microsoft Entra ID exportiert werden. Berücksichtigen Sie bei der Fehlerbehebung die folgenden Optionen:

• Führen Sie ein Upgrade von Microsoft Entra Connect auf Build 1.1.524.0 oder höher durch. In Microsoft Entra Connect Build 1.1.524.0 wurden die Standardregeln für die Synchronisierung aktualisiert, sodass die Attribute „UserCertificate“ und „UserSMIMECertificate“ nicht exportiert werden, wenn sie mehr als 15 Werte haben. Weitere Informationen zum Aktualisieren von Microsoft Entra Connect finden Sie im Artikel Microsoft Entra Connect: Aktualisieren von einer früheren Version auf die aktuelle Version.

• Implementieren Sie eine ausgehende Synchronisierungsregel in Microsoft Entra Connect, die einen NULL-Wert anstelle der tatsächlichen Werte für Objekte mit mehr als 15 Zertifikatwerten exportiert. Diese Option eignet sich dann, wenn keiner der Zertifikatwerte für Objekte mit mehr als 15 Werten in Microsoft Entra ID exportiert werden muss. Ausführliche Informationen zur Implementierung dieser Synchronisierungsregel finden Sie im nächsten Abschnitt: Implementieren der Synchronisierungsregel zum Begrenzen des Exports auf das userCertificate-Attribut.

• Verringern Sie die Anzahl von Zertifikatwerten für das lokale AD-Objekt (maximal 15 Werte), indem Sie Werte entfernen, die von Ihrer Organisation nicht mehr verwendet werden. Dies ist nützlich, wenn die Überfrachtung mit Attributen durch abgelaufene oder nicht verwendete Zertifikate verursacht wird. Sie können mit dem Cmdlet Remove-ADSyncToolsExpiredCertificates abgelaufene Zertifikate im lokalen AD-Verzeichnis ermitteln, sichern und löschen. Vor dem Löschen der Zertifikate sollten Sie jedoch mit den Administratoren der Public Key-Infrastruktur Rücksprache halten.

• Konfigurieren Sie Microsoft Entra Connect, um das userCertificate-Attribut vom Export in Microsoft Entra ID auszuschließen. Im Allgemeinen wird diese Option nicht empfohlen, da Microsoft Online Services mit diesem Attribut möglicherweise bestimmte Szenarien ermöglicht. Dies gilt insbesondere für:

  • Das userCertificate-Attribut für das User-Objekt wird von Exchange Online- und Outlook-Clients für Nachrichtensignatur und -verschlüsselung verwendet. Weitere Informationen zu dieser Funktion finden Sie im Artikel S/MIME für die Nachrichtensignierung und -verschlüsselung.

  • Das userCertificate-Attribut für das Computer-Objekt wird von Microsoft Entra ID dazu verwendet, lokalen in die Domäne eingebundenen Windows 10-Geräten das Herstellen einer Verbindung mit Microsoft Entra ID zu ermöglichen. Weitere Informationen zu dieser Funktion finden Sie im Artikel Verbinden von in die Domäne eingebundenen Geräten mit Microsoft Entra ID für Windows 10-Funktionen.

Implementieren der Synchronisierungsregel zum Begrenzen des Exports auf das userCertificate-Attribut

Zum Beheben des durch das userCertificate-Attribut verursachten LargeObject-Fehlers können Sie eine ausgehende Synchronisierungsregel in Microsoft Entra Connect implementieren, die einen NULL-Wert anstelle der tatsächlichen Werte für Objekte mit mehr als 15 Zertifikatwerten exportiert. Dieser Abschnitt beschreibt die erforderlichen Schritte zum Implementieren der Synchronisierungsregel für User-Objekte. Die Schritte können für Contact- und Computer-Objekte angepasst werden.

Wichtig

Durch den Export eines NULL-Werts werden Zertifikatwerte entfernt, die zuvor in Microsoft Entra ID exportiert wurden.

Diese Schritte können wie folgt zusammengefasst werden:

1. Deaktivieren des Synchronisierungsplaners und Sicherstellen, dass derzeit keine Synchronisierung ausgeführt wird
2. Suchen der vorhandenen ausgehenden Synchronisierungsregel für das userCertificate-Attribut
3. Erstellen der erforderlichen ausgehenden Synchronisierungsregel
4. Überprüfen der neuen Synchronisierungsregel anhand eines vorhandenen Objekts mit einem LargeObject-Fehler
5. Anwenden der neuen Synchronisierungsregel auf die übrigen Objekte mit LargeObject-Fehler
6. Vergewissern, dass keine unerwarteten Änderungen auf den Export nach Microsoft Entra ID warten.
7. Exportieren Sie die Änderungen nach Microsoft Entra ID.
8. Erneutes Aktivieren des Synchronisierungsplaners

Schritt 1: Deaktivieren des Synchronisierungsplaners und Sicherstellen, dass derzeit keine Synchronisierung ausgeführt wird

Stellen Sie sicher, dass keine Synchronisierung ausgeführt wird, während Sie eine neue Synchronisierungsregel implementieren. So vermeiden Sie, dass unbeabsichtigte Änderungen nach Microsoft Entra ID exportiert werden. So deaktivieren Sie den integrierten Synchronisierungsplaner:

1. Starten Sie eine PowerShell-Sitzung auf dem Microsoft Entra Connect-Server.

2. Deaktivieren Sie die geplante Synchronisierung durch Ausführung des Cmdlets Set-ADSyncScheduler -SyncCycleEnabled $false.

Hinweis

Die vorherigen Schritte gelten nur für neuere Versionen (1.1.xxx.x) von Microsoft Entra Connect mit dem integrierten Planer. Wenn Sie ältere Versionen (1.0.xxx.x) von Microsoft Entra Connect verwenden, die den Windows-Taskplaner nutzen, oder einen eigenen benutzerdefinierten Planer (nicht üblich) verwenden, um eine regelmäßige Synchronisierung auszulösen, müssen Sie diese entsprechend deaktivieren.

1. Starten Sie Synchronization Service Manager, indem Sie zu „START“ > „Synchronization Service“ navigieren.

2. Wechseln Sie zur Registerkarte Vorgänge, und vergewissern Sie sich, dass kein Vorgang mit dem Status In Arbeit angezeigt wird.

Schritt 2: Suchen der vorhandenen ausgehenden Synchronisierungsregel für das userCertificate-Attribut

Eine Synchronisierungsregel sollte vorhanden sein, die aktiviert und so konfiguriert ist, dass sie das userCertificate-Attribut für User-Objekte nach Microsoft Entra ID exportiert. Suchen Sie diese Synchronisierungsregel, um ihre Konfiguration für Rangfolge und Bereichsfilter zu ermitteln:

1. Starten Sie den Synchronisierungsregel-Editor, indem Sie zu „START“ > „Synchronisierungsregel-Editor“ navigieren.

2. Konfigurieren Sie die Suchfilter mit den folgenden Werten:

   attribute	Wert
   Direction	Ausgehend
   MV-Objekttyp	Person
   Connector	Name Ihres Microsoft Entra-Connectors
   Connector-Objekttyp	user
   MV-Attribut	userCertificate

3. Wenn Sie Standardsynchronisierungsregeln für den Microsoft Entra-Connector verwenden, um das userCertficate-Attribut für User-Objekte zu exportieren, sollte die Regel „Ausgehend an Microsoft Entra ID – ExchangeOnline“ zurückgegeben werden.

4. Notieren Sie sich den Wert der Rangfolge dieser Synchronisierungsregel.

5. Wählen Sie die Synchronisierungsregel aus, und klicken Sie auf Bearbeiten.

6. Klicken Sie im Popupdialogfeld Edit Reserved Rule Confirmation (Bestätigung der reservierten Regel bearbeiten) auf Nein. (Keine Sorge, an dieser Synchronisierungsregel werden keine Änderungen vorgenommen.)

7. Wählen Sie auf dem Bearbeitungsbildschirm die Registerkarte Bereichsfilter.

8. Notieren Sie sich die Konfiguration des Bereichsfilters. Wenn Sie die Standardsynchronisierungsregel verwenden, sollte genau eine Bereichsfiltergruppe mit zwei Klauseln und folgenden Werten angezeigt werden:

   attribute	Operator	Wert
   sourceObjectType	EQUAL	Benutzer
   cloudMastered	NOTEQUAL	True

Schritt 3: Erstellen der erforderlichen ausgehenden Synchronisierungsregel

Die neue Synchronisierungsregel muss über denselben Bereichsfilter und eine höhere Rangfolge als die vorhandene Synchronisierungsregel verfügen. Dadurch wird sichergestellt, dass die neue Synchronisierungsregel für den gleichen Satz von Objekten gilt wie die vorhandene Synchronisierungsregel und die vorhandene Synchronisierungsregel für das UserCertificate-Attribut überschreibt. So löschen Sie die Synchronisierungsregel:

1. Klicken Sie im Synchronisierungsregel-Editor auf die Schaltfläche Neue Regel hinzufügen.

2. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

   attribute	Wert	Details
   Name	Geben Sie einen Namen ein.	Beispiel: „Ausgehend an Microsoft Entra ID – Benutzerdefinierte Überschreibung für userCertificate“
   Beschreibung	Geben Sie eine Beschreibung ein.	Beispiel: Wenn das userCertificate-Attribut mehr als 15 Werte enthält, soll NULL exportiert werden.
   Verbundenes System	Auswählen des Microsoft Entra-Connectors
   Objekttyp des verbundenen Systems	user
   Metaverse-Objekttyp	person
   Verknüpfungstyp	Join
   Rangfolge	Wählen eine Zahl zwischen 1 und 99.	Die ausgewählte Zahl darf nicht von einer vorhandenen Synchronisierungsregel verwendet werden und muss einen niedrigeren Wert (und damit eine höhere Rangfolge) als die vorhandene Synchronisierungsregel besitzen.

3. Wechseln Sie zur Registerkarte Bereichsfilter, und implementieren Sie den gleichen Bereichsfilter, den auch die vorhandene Synchronisierungsregel verwendet.

4. Überspringen Sie die Registerkarte Verknüpfungsregeln.

5. Wechseln Sie zur Registerkarte Transformationen, um eine neue Transformation mit der folgenden Konfiguration hinzuzufügen:

   attribute	Wert
   Flowtyp	Ausdruck
   Zielattribut	userCertificate
   Quellattribut	Verwenden Sie den folgenden Ausdruck: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Klicken Sie auf die Schaltfläche Hinzufügen, um die Synchronisierungsregel zu erstellen.

Schritt 4: Überprüfen der neuen Synchronisierungsregel anhand eines vorhandenen Objekts mit einem LargeObject-Fehler

Mit den folgenden Schritten können Sie sicherstellen, dass die Synchronisierungsregel für ein vorhandenes AD-Objekt mit LargeObject-Fehler ordnungsgemäß funktioniert, bevor Sie sie auf andere Objekte anwenden:

1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Vorgänge.
2. Wählen Sie den neuesten Vorgang für den Export nach Microsoft Entra, und klicken Sie auf eines der Objekte mit LargeObject-Fehlern.
3. Klicken Sie im Popupbildschirm mit den Eigenschaften der Objekte des Connectorbereichs auf die Schaltfläche Vorschau.
4. Wählen Sie auf dem Popupbildschirm „Vorschau“ die Option Full synchronization (Vollständige Synchronisierung), und klicken Sie auf Commit Preview (Commitvorschau).
5. Schließen Sie den Bildschirm „Vorschau“ und den Bildschirm mit den Eigenschaften der Objekte des Connectorbereichs.
6. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.
7. Klicken Sie mit der rechten Maustaste auf Microsoft Entra ID Connector, und wählen Sie Ausführen... aus.
8. Wählen Sie im Popupfenster „Run Connector“ (Connector ausführen) den Schritt Exportieren, und klicken Sie auf OK.
9. Warten Sie, bis der Export nach Microsoft Entra ID abgeschlossen ist, und vergewissern Sie sich, dass kein weiterer LargeObject-Fehler für dieses bestimmte Objekt vorliegt.

Schritt 5: Anwenden der neuen Synchronisierungsregel auf die übrigen Objekte mit LargeObject-Fehler

Nachdem die Synchronisierungsregel hinzugefügt wurde, müssen Sie eine vollständige Synchronisierung für den AD-Connector ausführen:

1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf den AD-Connector, und wählen Sie Run... (Ausführen).
3. Wählen Sie im Popupfenster „Run Connector“ (Connector ausführen) den Schritt Full Synchronization (Vollständige Synchronisierung), und klicken Sie auf OK.
4. Warten Sie, bis die vollständige Synchronisierung abgeschlossen ist.
5. Wiederholen Sie die oben genannten Schritte für die übrigen AD-Connectors, sofern mehrere AD-Connectors vorhanden sind. In der Regel sind mehrere Connectors erforderlich, wenn mehrere lokale Verzeichnisse eingerichtet sind.

Schritt 6: Vergewissern, dass keine unerwarteten Änderungen auf den Export nach Microsoft Entra ID warten

1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf Microsoft Entra ID Connector, und wählen Sie Connectorbereich durchsuchen aus.
3. Gehen Sie im Popupfenster „Search Connector Space“ (Connectorbereich durchsuchen) wie folgt vor:
   1. Legen Sie den Bereich auf Ausstehender Export fest.
   2. Aktivieren Sie alle drei Kontrollkästchen: Hinzufügen, Ändern und Löschen.
   3. Klicken Sie auf die Schaltfläche Suchen, um alle Objekte mit Änderungen zurückzugeben, die auf den Export in Microsoft Entra ID warten.
   4. Stellen Sie sicher, dass keine unerwarteten Änderungen vorhanden sind. Um die Änderungen für ein bestimmtes Objekt zu untersuchen, doppelklicken Sie auf das Objekt.

Schritt 7: Exportieren der Änderungen nach Microsoft Entra ID

So exportieren Sie die Änderungen nach Microsoft Entra ID:

1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf Microsoft Entra ID Connector, und wählen Sie Ausführen... aus.
3. Wählen Sie im Popupfenster „Run Connector“ (Connector ausführen) den Schritt Exportieren, und klicken Sie auf OK.
4. Warten Sie, bis der Export nach Microsoft Entra ID abgeschlossen ist, und vergewissern Sie sich, dass keine weiteren LargeObject-Fehler vorliegen.

Schritt 8: Erneutes Aktivieren des Synchronisierungsplaners

Das Problem ist nun behoben. Aktivieren Sie den Synchronisierungsplaner erneut:

1. Starten Sie eine PowerShell-Sitzung.
2. Aktivieren Sie die geplante Synchronisierung durch Ausführung des Cmdlets Set-ADSyncScheduler -SyncCycleEnabled $true wieder.

Hinweis

Die vorherigen Schritte gelten nur für neuere Versionen (1.1.xxx.x) von Microsoft Entra Connect mit dem integrierten Planer. Wenn Sie ältere Versionen (1.0.xxx.x) von Microsoft Entra Connect verwenden, die den Windows-Taskplaner nutzen, oder einen eigenen benutzerdefinierten Planer (nicht üblich) verwenden, um eine regelmäßige Synchronisierung auszulösen, müssen Sie diese entsprechend deaktivieren.

Nächste Schritte

Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.