Informazioni sugli errori durante la sincronizzazione di Microsoft Entra

Gli errori possono verificarsi quando i dati di identità vengono sincronizzati da Windows Server Active Directory a Microsoft Entra ID. Questo articolo offre una panoramica dei diversi tipi di errori di sincronizzazione, alcuni dei possibili scenari che causano tali errori e possibili modi per correggere gli errori. Questo articolo include tipi di errore comuni e potrebbe non coprire tutti i possibili errori.

Questo articolo presuppone che tu abbia familiarità con i concetti di progettazione sottostanti di Microsoft Entra ID e Microsoft Entra Connessione.

Importante

Questo articolo tenta di risolvere gli errori di sincronizzazione più comuni. Sfortunatamente, la copertura di ogni scenario in un documento non è possibile. Per altre informazioni, inclusi i passaggi approfonditi per la risoluzione dei problemi, vedere La risoluzione dei problemi end-to-end di Microsoft Entra Connessione oggetti e attributi e la sezione Provisioning e sincronizzazione utenti nella documentazione sulla risoluzione dei problemi di Microsoft Entra.

Con la versione più recente di Microsoft Entra Connessione (agosto 2016 o versione successiva), un report degli errori di sincronizzazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra come parte di Microsoft Entra Connessione Health per la sincronizzazione.

A partire dal 1° settembre 2016, la resilienza degli attributi duplicati di Microsoft Entra ID è abilitata per impostazione predefinita per tutti i nuovi tenant di Microsoft Entra. Questa funzionalità viene abilitata automaticamente per i tenant esistenti.

Microsoft Entra Connect esegue tre tipi di operazioni dalle directory che mantiene sincronizzate: Importazione, sincronizzazione ed esportazione. Gli errori possono verificarsi in tutte e tre le operazioni. Questo articolo è incentrato principalmente sugli errori durante l'esportazione in Microsoft Entra ID.

Errori durante l'esportazione in Microsoft Entra ID

La sezione seguente descrive diversi tipi di errori di sincronizzazione che possono verificarsi durante l'operazione di esportazione in Microsoft Entra ID tramite il connettore Microsoft Entra. È possibile identificare questo connettore in base al formato nome contoso.onmicrosoft.com. Gli errori durante l'esportazione nell'ID Microsoft Entra indicano che un'operazione come l'aggiunta, l'aggiornamento o l'eliminazione tentata da Microsoft Entra Connessione (motore di sincronizzazione) nell'ID Microsoft Entra non è riuscita.

Errori di mancata corrispondenza dei dati

In questa sezione vengono illustrati gli errori di mancata corrispondenza dei dati.

InvalidHardMatch

Descrizione

Si verifica un errore InvalidHardMatch durante la sincronizzazione quando viene eseguito un tentativo di trovare una corrispondenza rigida degli oggetti presenti in Microsoft Entra ID con un nuovo oggetto in ingresso con lo stesso valore sourceAnchor, ma la funzionalità BlockCloudObjectTakeoverThroughHardMatchEnabled è abilitata nel tenant.

Scenari di esempio per un errore InvalidHardMatch

• DirSync è riabilitato nel tenant e gli oggetti con lo stesso sourceAnchor vengono sincronizzati di nuovo, tuttavia la funzionalità BlockCloudObjectTakeoverThroughHardMatchEnabled è abilitata e impedisce che si verifichi la corrispondenza difficile.
• L'utente è stato escluso dall'ambito di sincronizzazione e ripristinato dal Cestino di Microsoft Entra ID. Successivamente, l'utente viene nuovamente aggiunto all'ambito di sincronizzazione e tenta di acquisire l'oggetto già presente nell'ID Di Microsoft Entra in base allo stesso valore sourceAnchor, tuttavia la funzionalità BlockCloudObjectTakeoverThroughHardMatchEnabled è abilitata e impedisce che si verifichi la corrispondenza rigida.

Caso di esempio

1. Bob Smith è un utente sincronizzato in Microsoft Entra ID da un'Active Directory locale di contoso.com.
2. Per impostazione predefinita, il valore SourceAnchor di "abcdefghijklmnopqrstuv==" viene calcolato da Microsoft Entra Connessione usando l'attributo MsDs-ConsistencyGUID di Bob Smith (o ObjectGUID a seconda della configurazione) da Active Directory locale. Questo valore dell'attributo è l'id non modificabile per Bob Smith in Microsoft Entra ID.
3. Amministrazione rimuove Bob Smith dall'ambito di sincronizzazione e Microsoft Entra Connessione esporta un'eliminazione dell'oggetto.
4. L'oggetto di Bob Smith viene eliminato soft-delete in Microsoft Entra ID e il relativo attributo DirSyncEnabled viene impostato su False. Questo processo, tuttavia, non converte l'oggetto nel cloud gestito, ma viene comunque considerato un oggetto sincronizzato da Active Directory locale. Il valore DirSyncEnabled è False per indicare che è attualmente fuori ambito di sincronizzazione ed è disponibile per la corrispondenza.
5. Amministrazione riaggiunge Bob Smith nell'ambito di sincronizzazione e Microsoft Entra Connessione sincronizza nuovamente l'oggetto.
6. In genere, una corrispondenza difficile acquisisce l'oggetto presente nell'ID di Microsoft Entra basato sullo stesso attributo SourceAnchor e commuta di nuovo l'attributo DirSyncEnabled su "True", tuttavia, quando BlockCloudObjectTakeoverThroughHardMatchEnabled è abilitato, questa operazione non è consentita e viene generata un'eccezione InvalidHardMatch.

Correggere l'errore InvalidHardMatch

È consigliabile consentire ai clienti di abilitare BlockCloudObjectTakeoverThroughHardMatchEnabled , a meno che non sia necessario assumere account esistenti in Microsoft Entra ID.

Se è necessario cancellare un errore InvalidHardtMatch e trovare una corrispondenza con l'account correttamente, è possibile abilitare di nuovo la corrispondenza rigida come descritto in Corrispondenza rigida e corrispondenza temporanea.

InvalidSoftMatch

Descrizione

• L'errore InvalidSoftMatch si verifica quando la corrispondenza rigida non trova alcun oggetto corrispondente e la corrispondenza temporanea trova un oggetto corrispondente, ma tale oggetto ha un valore immutableId diverso rispetto all'oggetto sourceAnchor dell'oggetto in ingresso. Questa mancata corrispondenza suggerisce che l'oggetto corrispondente è stato sincronizzato da un altro oggetto da Active Directory locale.

Per il funzionamento della corrispondenza temporanea, l'oggetto con cui eseguire la corrispondenza temporanea non deve avere alcun valore per l'attributo immutableId . L'operazione genera un errore di sincronizzazione InvalidSoftMatch quando l'oggetto con l'attributo immutableId impostato con un valore ha esito negativo, ma soddisfa i criteri di corrispondenza temporanea.

Lo schema di Microsoft Entra non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti. Questo elenco non è esaustivo:

• proxyAddresses
• userPrincipalName
• onPremisesSecurityIdentifier
• objectId
• immutableId

Viene implementata anche la resilienza dell'attributo duplicato di Microsoft Entra](how-to-connect-syncservice-duplicate-attribute-resiliency.md) come comportamento predefinito di Microsoft Entra ID. Questa funzionalità riduce il numero di errori di sincronizzazione rilevati da Microsoft Entra Connessione e altri client di sincronizzazione. Rende Microsoft Entra più resiliente nel modo in cui gestisce gli attributi proxyAddresses e userPrincipalName duplicati presenti negli ambienti Active Directory locale.

Questa funzionalità non corregge gli errori di duplicazione, quindi i dati devono comunque essere corretti. Ma consente il provisioning di nuovi oggetti che altrimenti impediscono il provisioning a causa di valori duplicati in Microsoft Entra ID. Questa funzionalità riduce anche il numero di errori di sincronizzazione restituiti al client di sincronizzazione.

Nota

Se la resilienza dell'attributo duplicato di Microsoft Entra è abilitata per il tenant, non verranno visualizzati gli errori di sincronizzazione InvalidSoftMatch visualizzati durante il provisioning di nuovi oggetti.

Scenari di esempio per un errore InvalidSoftMatch

• Esistono due o più oggetti con lo stesso valore per l'attributo proxyAddresses in Active Directory locale. Ne viene effettuato il provisioning solo in Microsoft Entra ID.
• Due o più oggetti con lo stesso valore per l'attributo userPrincipalName esistono in Active Directory locale. Ne viene effettuato il provisioning solo in Microsoft Entra ID.
• Un oggetto è stato aggiunto in Active Directory locale con lo stesso valore per l'attributo proxyAddresses di quello di un oggetto esistente in Microsoft Entra ID. L'oggetto aggiunto in locale non viene sottoposto a provisioning in Microsoft Entra ID.
• Un oggetto è stato aggiunto in Active Directory locale con lo stesso valore per l'attributo userPrincipalName di quello di un account in Microsoft Entra ID. Il provisioning dell'oggetto non viene eseguito in Microsoft Entra ID.
• Un account sincronizzato è stato spostato dalla foresta A alla foresta B. Microsoft Entra Connessione (motore di sincronizzazione) usava l'attributo objectGUID per calcolare l'attributo sourceAnchor. Dopo lo spostamento della foresta, il valore dell'attributo sourceAnchor è diverso. Il nuovo oggetto della foresta B non riesce a eseguire la sincronizzazione con l'oggetto esistente in Microsoft Entra ID.
• Un oggetto sincronizzato è stato eliminato accidentalmente da Active Directory locale e un nuovo oggetto è stato creato in Active Directory per la stessa entità (ad esempio l'utente) senza eliminare l'account in Microsoft Entra ID. Il nuovo account non viene sincronizzato con l'oggetto Microsoft Entra esistente.
• Microsoft Entra Connect è stato disinstallato e reinstallato. Durante la reinstallazione, è stato scelto un attributo diverso come attributo sourceAnchor . Tutti gli oggetti sincronizzati in precedenza interrompino la sincronizzazione con l'errore InvalidSoftMatch.

Caso di esempio

1. Bob Smith è un utente sincronizzato in Microsoft Entra ID dal Active Directory locale di contoso.com.
2. Il nome dell'entità utente di Bob Smith è impostato su bobs@contoso.com.
3. L'attributo sourceAnchor di "abcdefghijklmnopqrstuv==" viene calcolato da Microsoft Entra Connessione usando l'attributo objectGUID di Bob Smith da Active Directory locale. Questo attributo è l'attributo immutableId per Bob Smith in Microsoft Entra ID.
4. Bob ha anche i valori seguenti per l'attributo proxyAddresses :
   • SMTP: bobs@contoso.com
   • SMTP: bob.smith@contoso.com
   • SMTP: bob@contoso.com
5. Un nuovo utente, Bob Taylor, viene aggiunto al Active Directory locale.
6. Il nome utente principale di Bob Taylor viene configurato come bobt@contoso.com.
7. L'attributo sourceAnchor di "abcdefghijkl0123456789==" viene calcolato da Microsoft Entra Connessione utilizzando l'attributo objectGUID di Bob Taylor da Active Directory locale.
8. Bob Taylor ha i valori seguenti per l'attributo proxyAddresses :
   • SMTP: bobt@contoso.com
   • SMTP: bob.taylor@contoso.com
   • SMTP: bob@contoso.com
9. Durante la sincronizzazione, Microsoft Entra Connessione riconosce l'aggiunta di Bob Taylor in Active Directory locale e chiede a Microsoft Entra ID di apportare la stessa modifica.
10. Microsoft Entra esegue prima una corrispondenza difficile. In altre parole, cerca qualsiasi oggetto con l'attributo immutableId uguale a "abcdefghijkl0123456789==". La corrispondenza rigida ha esito negativo perché nessun altro oggetto in Microsoft Entra ID ha tale attributo immutableId .
11. Microsoft Entra ID esegue quindi una corrispondenza soft per trovare Bob Taylor. In altre parole, cerca se è presente un oggetto con attributi proxyAddresses uguali ai tre valori, tra cui smtp: bob@contoso.com.
12. Microsoft Entra ID trova l'oggetto di Bob Smith in modo che corrisponda ai criteri di corrispondenza temporanea. Tuttavia, questo oggetto ha il valore immutableId = "abcdefghijklmnopqrstuv==", che indica che questo oggetto è stato sincronizzato da un altro oggetto da Active Directory locale. Microsoft Entra ID non può corrispondere a questi oggetti in modo che venga generato un errore di sincronizzazione InvalidSoftMatch.

Correggere l'errore InvalidSoftMatch

Il motivo più comune per l'errore InvalidSoftMatch è costituito da due oggetti con attributi sourceAnchor (immutableId) diversi che hanno lo stesso valore per gli attributi proxyAddresses o userPrincipalName, che vengono usati durante il processo di corrispondenza temporanea in Microsoft Entra ID. Per correggere l'errore InvalidSoftMatch:

1. Identificare il valore di proxyAddresses duplicato, userPrincipalName o un altro valore di attributo che causa l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
2. Identificare quale oggetto deve continuare ad avere il valore duplicato e quale oggetto non deve essere.
3. Rimuovere il valore duplicato dall'oggetto che non deve avere tale valore. Apportare la modifica nella directory da cui l'oggetto è originato. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.
4. Se è stata apportata la modifica in Active Directory locale, lasciare che Microsoft Entra Connessione Sincronizza la modifica.

Le segnalazioni degli errori di sincronizzazione all'interno di Microsoft Entra Connect Health per la sincronizzazione vengono aggiornate ogni 30 minuti e includono gli errori del tentativo di sincronizzazione più recente.

Nota

L'attributo ImmutableId , per definizione, non deve cambiare nella durata dell'oggetto. Ma forse Microsoft Entra Connessione non è stato configurato con alcuni degli scenari descritti nell'elenco precedente. In tal caso, Microsoft Entra Connessione potrebbe calcolare un valore diverso dell'attributo sourceAnchor per l'oggetto Active Directory che rappresenta la stessa entità (stesso utente, gruppo o contatto) con un oggetto Microsoft Entra esistente che si desidera continuare a utilizzare.

Articolo correlato

Gli attributi duplicati o non validi impediscono la sincronizzazione delle directory in Microsoft 365

ObjectTypeMismatch

Descrizione

Quando Microsoft Entra ID tenta di associare temporaneamente due oggetti, è possibile che due oggetti di tipo "oggetto" diversi, ad esempio utente, gruppo o contatto, abbiano gli stessi valori per gli attributi usati per eseguire la corrispondenza temporanea. Poiché la duplicazione di questi attributi non è consentita in Microsoft Entra ID, l'operazione può generare un errore di sincronizzazione ObjectTypeMismatch.

Scenario di esempio per un errore ObjectTypeMismatch

Un gruppo di sicurezza abilitato alla posta elettronica viene creato in Microsoft 365. L'amministratore aggiunge un nuovo utente o contatto in Active Directory locale che non è ancora sincronizzato con Microsoft Entra ID con lo stesso valore per l'attributo proxyAddresses del gruppo di Microsoft 365.

Caso di esempio

1. Un amministratore crea un nuovo gruppo di sicurezza abilitato alla posta elettronica in Microsoft 365 per il reparto fiscale e fornisce un indirizzo di posta elettronica come tax@contoso.com. A questo gruppo viene assegnato il valore dell'attributo proxyAddresses smtp : tax@contoso.com.
2. Un nuovo utente viene aggiunto Contoso.com e viene creato un account per l'utente locale con l'attributo proxyAddresses come smtp: tax@contoso.com.
3. Quando Microsoft Entra Connessione sincronizza il nuovo account utente, ottiene l'errore ObjectTypeMismatch.

Correggere l'errore ObjectTypeMismatch

Il motivo più comune dell'errore ObjectTypeMismatch è che due oggetti di tipo diverso, ad esempio utente, gruppo o contatto, hanno lo stesso valore per l'attributo proxyAddresses . Per correggere l'errore ObjectTypeMismatch:

1. Identificare il valore proxyAddresses (o altro attributo) duplicato che causa l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
2. Identificare quale oggetto deve continuare ad avere il valore duplicato e quale oggetto non deve essere.
3. Rimuovere il valore duplicato dall'oggetto che non deve avere tale valore. Apportare la modifica nella directory da cui proviene l'oggetto. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.
4. Se è stata apportata la modifica in AD locale, lasciare che Microsoft Entra Connessione Sincronizzare la modifica. Il report degli errori di sincronizzazione in Microsoft Entra Connessione Health per la sincronizzazione viene aggiornato ogni 30 minuti. Il report include gli errori del tentativo di sincronizzazione più recente.

Attributi duplicati

In questa sezione, vengono illustrati gli errori di attributo duplicati.

AttributeValueMustBeUnique

Descrizione

Lo schema di Microsoft Entra non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti. Ogni oggetto in Microsoft Entra ID è obbligato ad avere un valore univoco di questi attributi a una determinata istanza.

• mail
• proxyAddresses
• signInName
• userPrincipalName

Se Microsoft Entra Connect tenta di aggiungere un nuovo oggetto o di aggiornare un oggetto esistente con un valore degli attributi indicati sopra che è già stato assegnato a un altro oggetto in Microsoft Entra ID, l'operazione restituisce l'errore di sincronizzazione AttributeValueMustBeUnique.

Scenario possibile

Un valore duplicato viene assegnato a un oggetto già sincronizzato, che entra in conflitto con un altro oggetto sincronizzato.

Caso di esempio

1. Bob Smith è un utente sincronizzato in Microsoft Entra ID da un'Active Directory locale di contoso.com.
2. Il nome utente principale di Bob Smith in locale è configurato come bobs@contoso.com.
3. Bob ha anche i valori seguenti per l'attributo proxyAddresses :
   • SMTP: bobs@contoso.com
   • SMTP: bob.smith@contoso.com
   • SMTP: bob@contoso.com
4. Un nuovo utente, Bob Taylor, viene aggiunto a Active Directory locale.
5. Il nome utente principale di Bob Taylor viene configurato come bobt@contoso.com.
6. Bob Taylor ha i valori seguenti per l'attributo proxyAddresses :
   • SMTP: bobt@contoso.com
   • SMTP: bob.taylor@contoso.com
7. L'oggetto di Bob Taylor è stato sincronizzato correttamente con l'ID Microsoft Entra.
8. L'amministratore ha deciso di aggiornare l'attributo proxyAddresses di Bob Taylor con il valore seguente:
   • SMTP: bob@contoso.com
9. Microsoft Entra ID tenta di aggiornare l'oggetto di Bob Taylor in Microsoft Entra ID con il valore precedente, ma l'operazione non ha esito positivo perché il valore proxyAddresses è già assegnato a Bob Smith. Il risultato è un errore AttributeValueMustBeUnique.

Correggere l'errore AttributeValueMustBeUnique

Il motivo più comune dell'errore AttributeValueMustBeUnique è che due oggetti con attributi sourceAnchor (immutableId) diversi hanno lo stesso valore per gli attributi proxyAddresses o userPrincipalName. Per correggere l'errore AttributeValueMustBeUnique:

1. Identificare il valore di proxyAddresses duplicato, userPrincipalName o un altro valore di attributo che causa l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
2. Identificare quale oggetto deve continuare ad avere il valore duplicato e quale oggetto non deve essere.
3. Rimuovere il valore duplicato dall'oggetto che non deve avere tale valore. Apportare la modifica nella directory da cui l'oggetto è originato. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.
4. Se si apporta la modifica nell'Active Directory locale, consentire a Microsoft Entra Connect Sync la modifica per correggere l'errore.

Articolo correlato

Gli attributi duplicati o non validi impediscono la sincronizzazione delle directory in Microsoft 365

Errori di convalida dei dati

In questa sezione vengono illustrati gli errori di convalida dei dati.

IdentityDataValidationFailed

Descrizione

Microsoft Entra ID applica varie restrizioni sui dati prima di consentire la scrittura dei dati nella directory. Queste restrizioni consentono agli utenti finali di ottenere la migliore esperienza possibile durante l'uso delle applicazioni che dipendono da questi dati.

Scenari

• Il valore dell'attributo userPrincipalName contiene caratteri non validi o non supportati.
• L'attributo userPrincipalName non segue il formato richiesto.

Il risultato degli scenari precedenti è un errore IdentityDataValidationFailed.

Correggere l'errore IdentityDataValidationFailed

Verificare che l'attributo userPrincipalName abbia caratteri supportati e il formato richiesto.

Articolo correlato

Preparare il provisioning degli utenti tramite la sincronizzazione della directory in Microsoft 365

Errori di violazione di accesso per l'eliminazione e di violazione di accesso per le password

Microsoft Entra ID protegge gli oggetti solo cloud dall'aggiornamento tramite Microsoft Entra Connessione. Anche se non è possibile aggiornare questi oggetti tramite Microsoft Entra Connessione, è possibile effettuare chiamate direttamente al back-end Microsoft Entra per tentare di modificare gli oggetti solo cloud. In questo caso, è possibile restituire gli errori seguenti:

• Questa operazione di sincronizzazione, Delete, non è valida. Contattare il supporto tecnico (tipo di errore 114).
• Impossibile elaborare questo aggiornamento perché nella richiesta corrente è incluso uno o più aggiornamenti delle credenziali degli utenti solo cloud.
• L'eliminazione di un oggetto solo cloud non è supportata. Contattare il supporto tecnico Microsoft.
• La richiesta di modifica della password non può essere eseguita perché contiene modifiche a uno o più oggetti utente solo cloud, che non sono supportati. Contattare il supporto tecnico Microsoft.

Risolvere l'eliminazione diCloudOnlyObjectNotAllowed (tipo di errore 114)

Questa sezione illustra le possibili cause e soluzioni per risolvere l'errore DeletingCloudOnlyObjectNotAllowed (tipo di errore 114).

Avviso

Microsoft consiglia ai clienti di configurare un account break glass prima di accedere a Microsoft Entra Connessione. Per altre info, vedi Gestire gli account di accesso di emergenza in Microsoft Entra ID.

Descrizione

Si tratta di uno scenario in cui un cliente vuole eseguire la migrazione da ibrido a solo cloud. L'amministratore avvia una chiamata a Microsoft Entra Connessione nel tentativo di spostare gli utenti all'esterno dell'ambito, ma Microsoft Entra Connessione restituisce l'errore DeleteCloudOnlyObjectNotAllowed (o Error Type 114): "This synchronization operation, Delete, isn't valid. Contattare il supporto tecnico."

Alcune cause possibili di questo errore sono:

• La chiamata da Microsoft Entra Connessione non ha upn, un GUID nuovo o univoco o altre informazioni necessarie.
• Microsoft Entra Connessione sta tentando di esportare i dati, ma è DirSyncEnabled impostato su False.
• Microsoft Entra Connessione sta tentando di eliminare un utente ripristinato o un altro oggetto. Ciò è in genere dovuto al fatto che un utente o un altro riferimento a un oggetto è stato spostato dall'ambito di sincronizzazione o nel contenitore Lost &Found.

Scenari possibili

Il client Microsoft Entra Connessione non riesce a eliminare gli utenti durante la migrazione solo da ibrido a cloud, con conseguente errore di tipo 114.

I possibili motivi per cui gli utenti non devono essere eliminati includono:

• La regola creata dal cliente per spostare gli utenti dall'ambito è basata sull'attributo Admin .
• Il tipo di errore 114 viene restituito durante l'operazione di sincronizzazione (Sincronizzazione Azure AD), causando un errore di eliminazione degli utenti.
• La sincronizzazione non riesce per funzionalità specifiche, con conseguente mancata eliminazione da parte degli utenti.

Esempio di errore

Esempio dell'errore di esportazione:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {2819A5C8-BE27-EC11-A970-000D3A1B4EEE}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Correggere l'errore

Per risolvere il problema:

1. Identificare il riferimento all'oggetto del problema.
2. Usare PowerShell per eliminare soft-delete l'account cloud:
3. Eseguire Start-ADSyncSyncCycle -PolicyType Delta che deve importare correttamente l'eliminazione dell'account.
4. Verificare che l'eliminazione sia stata completata correttamente.
5. Ripristinare l'utente dal Cestino.
6. Eseguire Start-ADSyncSyncCycle -PolicyType Delta nel server per verificare che l'errore non si verifichi di nuovo.

Avviso

Quando un utente viene escluso dall'ambito di sincronizzazione, l'oggetto viene eliminato soft-delete in Microsoft Entra ID e il relativo attributo DirSyncEnabled viene impostato su False. Questo processo, tuttavia, non converte l'oggetto in cloud gestito, perché contiene ancora attributi e valori sincronizzati da Active Directory locale che non possono essere gestiti nel cloud. Il valore DirSyncEnabled è False per indicare che è attualmente fuori ambito di sincronizzazione ed è disponibile per la corrispondenza.

LargeObject o ExceededAllowedLength

In questa sezione vengono illustrati gli errori LargeObject o ExceededAllowedLength.

Descrizione

Quando un attributo supera il limite di dimensioni consentite, il limite di lunghezza o il limite di conteggio impostato dallo schema di Microsoft Entra, l'operazione di sincronizzazione genera un errore di sincronizzazione LargeObject o ExceededAllowedLength. In genere, questo errore si verifica per gli attributi seguenti:

• userCertificate
• userSMIMECertificate
• thumbnailPhoto
• proxyAddresses

Microsoft Entra ID non impone limiti per attributo, ad eccezione di un limite hardcoded di 15 certificati nell'attributo userCertificate e fino a 100 attributi per le estensioni della directory con un massimo di 250 caratteri per ogni estensione di directory. Esiste un limite di dimensioni per l'intero oggetto. Quando Microsoft Entra Connect tenta di sincronizzare un oggetto che supera questo limite di dimensioni, viene generato un errore di esportazione.

Tutti gli attributi contribuiscono alle dimensioni finali dell'oggetto. Alcuni attributi hanno moltiplicatori di peso diversi a causa di un sovraccarico di elaborazione aggiuntivo. Un esempio è costituito da valori indicizzati. Inoltre, diversi servizi cloud, piani di servizio e licenze possono essere assegnati all'account, che usano ancora più attributi e contribuiscono alla dimensione complessiva dell'oggetto.

Non è possibile determinare esattamente il numero di voci che un attributo può contenere nell'ID Microsoft Entra, ad esempio il numero di indirizzi SMTP che possono rientrare nell'attributo proxyAddresses . La quantità dipende dalle dimensioni e dalla moltiplicazione dei fattori di tutti gli attributi popolati nell'oggetto .

Scenari possibili

• L'attributo userCertificate di Bob archivia troppi certificati assegnati a Bob. alcuni dei quali possono essere scaduti o meno recenti. Il limite rigido consente 15 certificati. Per altre informazioni su come gestire gli errori LargeObject con l'attributo userCertificate , vedere Gestione degli errori LargeObject causati dall'attributo userCertificate.
• L'attributo userSMIMECertificate di Bob archivia troppi certificati assegnati a Bob. alcuni dei quali possono essere scaduti o meno recenti. Il limite rigido consente 15 certificati.
• L'attributo thumbnailPhoto impostato in Active Directory è troppo grande da sincronizzare in Microsoft Entra ID.
• Durante il popolamento automatico dell'attributo proxyAddresses in Active Directory, un oggetto ha troppi attributi proxyAddresses assegnati.

Gli esempi seguenti illustrano i diversi pesi degli attributi, ad esempio userCertificate e proxyAddresses:

• Un utente sincronizzato che non dispone di attributi popolati diversi dagli attributi obbligatori di Active Directory e Mail potrebbe essere in grado di sincronizzare fino a 332 indirizzi proxy.
• Per un utente sincronizzato simile con un attributo mailNickName , più 10 certificati utente, il numero massimo di indirizzi proxy diminuisce a 329.
• Se un utente sincronizzato simile con 10 certificati utente più 4 sottoscrizioni assegnate (con tutti i piani di servizio abilitati), il numero massimo di indirizzi proxy diminuisce a 311.
• Si prenda ora l'utente precedente, che contiene già il numero massimo di indirizzi proxy e si supponga di dover aggiungere un altro indirizzo SMTP. Per ottenere 312 indirizzi proxy, è necessario rimuovere almeno tre certificati utente (a seconda delle dimensioni del certificato).

Nota

Questi numeri possono variare leggermente. Come regola generale, è più sicuro presupporre che il limite di indirizzi SMTP nell'attributo proxyAddresses sia di circa 300 indirizzi per lasciare spazio per la crescita futura dell'oggetto e dei relativi attributi popolati.

Correggere l'errore LargeObject o ExceededAllowedLength

Esaminare le proprietà utente e rimuovere i valori degli attributi che potrebbero non essere più necessari. Gli esempi includono certificati revocati o scaduti e indirizzi obsoleti o non necessari, ad esempio SMTP, X.400, X.500, MSMail e CcMail.

Conflitto tra ruoli di amministratore esistenti

Descrizione

Si verifica un errore di sincronizzazione dei conflitti di ruolo Amministrazione esistente in un oggetto utente durante la sincronizzazione quando l'oggetto utente ha:

• autorizzazioni Amministrazione istrative.
• Stesso attributo userPrincipalName di un oggetto Microsoft Entra esistente.

Microsoft Entra Connessione non è autorizzato a trovare una corrispondenza temporanea con un oggetto utente da AD locale con un oggetto utente nell'ID Microsoft Entra a cui è assegnato un ruolo amministrativo. Per altre informazioni, vedere Popolamento userPrincipalName di Microsoft Entra.

Correggere l'errore Conflitto di ruoli di Amministrazione esistente

Per risolvere il problema:

1. Rimuovere l'account Microsoft Entra (proprietario) da tutti i ruoli di amministratore.
2. Eliminare definitivamente l'oggetto in quarantena nel cloud.
3. Il ciclo di sincronizzazione successivo si occuperà della corrispondenza temporanea dell'utente locale con l'account cloud perché l'utente cloud non è più un'identità ibrida Amministrazione istrator.
4. Ripristinare le appartenenze ai ruoli per il proprietario.

Nota

È possibile assegnare di nuovo il ruolo amministrativo all'oggetto utente esistente al termine della corrispondenza temporanea tra l'oggetto utente locale e l'oggetto utente Microsoft Entra.

Collegamenti correlati

• Individuare gli oggetti Active Directory in Active Directory Amministrazione istrative Center
• Eseguire query sull'ID Microsoft Entra per un oggetto usando Microsoft Graph PowerShell
• Risoluzione dei problemi end-to-end relativi a oggetti e attributi di Microsoft Entra Connect
• Risoluzione dei problemi di Microsoft Entra