Основные сведения об ошибках во время синхронизации Microsoft Entra

Ошибки могут возникать при синхронизации данных удостоверений из Windows Server Active Directory с идентификатором Microsoft Entra. В этой статье приведены общие сведения о различных типах ошибок синхронизации, некоторые возможные сценарии возникновения этих ошибок, а также возможные способы их устранения. Здесь содержатся сведения о распространенных типах ошибок, возможно, рассматриваются не все возможные ошибки.

В этой статье предполагается, что вы знакомы с основными понятиями проектирования идентификатора Microsoft Entra и Microsoft Entra Подключение.

Внимание

В этой статье предпринимается попытка рассмотреть наиболее распространенные ошибки синхронизации. К сожалению, покрытие каждого сценария в одном документе невозможно. Дополнительные сведения, включая подробные действия по устранению неполадок, см. в разделе "Комплексное устранение неполадок" объектов и атрибутов Microsoft Entra Подключение, а также раздел "Подготовка пользователей и синхронизация" в документации по устранению неполадок Microsoft Entra.

С последней версией Microsoft Entra Подключение (август 2016 г. или выше) отчет об ошибках синхронизации доступен в Центре администрирования Microsoft Entra как часть Microsoft Entra Подключение Health для синхронизации.

Начиная с 1 сентября 2016 г. устойчивость повторяющихся атрибутов идентификатора Microsoft Entra включена по умолчанию для всех новых клиентов Microsoft Entra. Эта функция автоматически включается для существующих клиентов.

Microsoft Entra Подключение выполняет три типа операций из каталогов, которые он сохраняет в синхронизации: импорт, синхронизация и экспорт. Ошибки могут возникать во всех трех операциях. В этой статье основное внимание уделяется ошибкам при экспорте в идентификатор Microsoft Entra.

Ошибки во время экспорта в идентификатор Microsoft Entra

В следующем разделе описаны различные типы ошибок синхронизации, которые могут возникать во время операции экспорта в идентификатор Microsoft Entra с помощью соединителя Microsoft Entra. Этот соединитель можно определить по имени в формате contoso.onmicrosoft.com. Ошибки при экспорте в идентификатор Microsoft Entra указывают на сбой операции, например добавления, обновления или удаления, предпринятой microsoft Entra Подключение (подсистемой синхронизации) в идентификаторе Microsoft Entra ID.

Схема, показывая обзор ошибок экспорта.

Ошибки несовпадения данных

В этом разделе обсуждаются ошибки несоответствия данных.

InvalidHardMatch

Description

Ошибка InvalidHardMatch возникает во время синхронизации при попытке жесткого сопоставления объектов, присутствующих в идентификаторе Microsoft Entra с новым входящий объект с тем же исходным значениемAnchor, но функция BlockCloudObjectTakeectThroughHardMatchEnabled включена в клиенте.

Примеры сценариев ошибки InvalidHardMatch

  • DirSync повторно включен в клиенте и объектах с тем же источникомAnchor синхронизированы снова, однако функция BlockCloudObjectTakeoverThroughHardMatchEnabled включена и предотвращает жесткое совпадение.
  • Пользователь был исключен из синхронизации область и восстановлен из корзины идентификатора Microsoft Entra ID. Позже пользователь повторно добавляется для синхронизации область и пытается взять на себя объект, уже представленный в идентификаторе Microsoft Entra, исходя из того же значения sourceAnchor, однако функция BlockCloudObjectTakeectTakeoverThroughHardMatchEnabled включена и предотвращает жесткое совпадение.

Примеры

  1. Пользователь Григорий Авдеев синхронизирован в Microsoft Entra ID из локального каталога Active Directory в домене contoso.com.
  2. По умолчанию значение SourceAnchor атрибута abcdefghijklmnopqrstuv==" вычисляется с помощью атрибута Microsoft Entra Подключение с помощью атрибута MsDs-ConsistencyGUID (или ObjectGUID в зависимости от конфигурации) от локальная служба Active Directory. Это значение атрибута является неизменяемым Идентификатором для Боба Смита в идентификаторе Microsoft Entra.
  3. Администратор удаляет Боба Смита из синхронизации область и Microsoft Entra Подключение экспортирует удаление объекта.
  4. Объект Bob Smith становится обратимо удаленным в идентификаторе Microsoft Entra ID, а его атрибут DirSyncEnabled переключится на False. Однако этот процесс не преобразует объект в управляемый облаком, он по-прежнему считается объектом, синхронизированным из локальная служба Active Directory. Значение DirSyncEnabled равно False, чтобы указать, что он в настоящее время не синхронизируется область и доступен для повторного сопоставления.
  5. Администратор повторно добавляет Боба Смита в синхронизацию область и Microsoft Entra Подключение повторно синхронизирует объект.
  6. Как правило, жесткое совпадение берет на себя объект, присутствующий в идентификаторе Microsoft Entra, на основе того же sourceAnchor и переключает атрибут DirSyncEnabled обратно на True, однако при включении BlockCloudObjectTakeectThroughHardMatchEnabled эта операция не допускается и возникает исключение InvalidHardMatch.

Исправлена ошибка InvalidHardMatch

Мы советуем клиентам включить BlockCloudObjectTakeoverThroughHardMatchEnabled , если они не должны принимать существующие учетные записи в идентификаторе Microsoft Entra.

Если необходимо очистить ошибку InvalidHardtMatch и успешно сопоставить учетную запись, можно снова включить жесткое совпадение, как описательное в жестком совпадении и Soft-match.

InvalidSoftMatch

Description

  • Ошибка InvalidSoftMatch возникает, когда жесткое совпадение не находит какой-либо соответствующий объект, и обратимое совпадение находит соответствующий объект, но этот объект имеет другое неизменяемое значениеId, отличное от исходногоAnchor входящего объекта. Это несоответствие предполагает, что соответствующий объект был синхронизирован из другого объекта из локальная служба Active Directory.

Для работы мягкого сопоставления объект, который должен быть мягким, не должен иметь никакого значения для атрибута неизменяемогоId . Операция приводит к ошибке синхронизации InvalidSoftMatch, когда объект с набором атрибута immutableId со значением завершается ошибкой жесткого соответствия, но удовлетворяет критериям мягкого соответствия.

В схеме Microsoft Entra запрещено использовать для нескольких объектов одинаковые значения приведенных ниже атрибутов. Этот список не является исчерпывающим.

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier;
  • objectId
  • immutableId

Устойчивость повторяющихся атрибутов Microsoft Entra](how-to-connect-syncservice-duplicate-attribute-resiliency.md) также развертывается в качестве поведения по умолчанию идентификатора Microsoft Entra. Эта функция уменьшает количество ошибок синхронизации, которые видят Подключение Microsoft Entra и других клиентов синхронизации. Она повышает устойчивость Microsoft Entra таким образом, как она обрабатывает повторяющиеся атрибуты proxyAddresses и userPrincipalName, присутствующих в локальная служба Active Directory средах.

Эта функция не устраняет ошибки дублирования, поэтому данные все равно необходимо исправить. Но это позволяет подготавливать новые объекты, которые в противном случае заблокированы из-за повторяющихся значений в идентификаторе Microsoft Entra. Эта возможность также уменьшает количество ошибок синхронизации, возвращаемых клиенту синхронизации.

Примечание.

Если для клиента включена устойчивость повторяющихся атрибутов Microsoft Entra, во время подготовки новых объектов не будет отображаться ошибка синхронизации InvalidSoftMatch.

Примеры сценариев для ошибки InvalidSoftMatch

  • В локальном каталоге AD есть несколько объектов с одинаковым значением атрибута proxyAddresses. Только один подготавливается в идентификаторе Microsoft Entra.
  • В локальном каталоге AD есть несколько объектов с одинаковым значением атрибута userPrincipalName. Только один подготавливается в идентификаторе Microsoft Entra.
  • Объект был добавлен в локальная служба Active Directory с тем же значением атрибута proxyAddresses, что и существующий объект в идентификаторе Microsoft Entra. Добавленный локальный объект не подготавливается в идентификаторе Microsoft Entra.
  • Объект был добавлен в локальная служба Active Directory с тем же значением атрибута userPrincipalName, что и для учетной записи в идентификаторе Microsoft Entra ID. Объект не подготавливается в идентификаторе Microsoft Entra.
  • Синхронизированная учетная запись была перемещена из леса A в лес B. Microsoft Entra Подключение (подсистема синхронизации) использовала атрибут objectGUID для вычисления атрибута sourceAnchor. После перемещения леса значение sourceAnchor изменилось. Новый объект из Forest B не может синхронизироваться с существующим объектом в идентификаторе Microsoft Entra.
  • Синхронизированный объект был случайно удален из локальная служба Active Directory, а новый объект был создан в Active Directory для той же сущности (например, пользователя) без удаления учетной записи в идентификаторе Microsoft Entra. Новая учетная запись не синхронизируется с существующим объектом Microsoft Entra.
  • Microsoft Entra Подключение был удален и переустановлен. При переустановке вместо атрибута sourceAnchor выбран другой атрибут. Все ранее синхронизированные объекты перестают синхронизироваться с ошибкой InvalidSoftMatch.

Примеры

  1. Боб Смит — это синхронизированный пользователь в идентификаторе Microsoft Entra из локальная служба Active Directory contoso.com.
  2. Для имени субъекта-пользователя задано значение bobs@contoso.com.
  3. Атрибут sourceAnchor "abcdefghijklmnopqrstuv==" вычисляется microsoft Entra Подключение с помощью атрибута ObjectGUID Боба Смита из локальная служба Active Directory. Этот атрибут является атрибутом immutableId для Боба Смита в идентификаторе Microsoft Entra.
  4. Боб также имеет следующие значения для атрибута proxyAddresses :
    • smtp: bobs@contoso.com.
    • smtp: bob.smith@contoso.com.
    • smtp: bob@contoso.com.
  5. В локальный каталог AD добавлен новый пользователь Артем Кузнецов.
  6. Для его имени субъекта-пользователя задано значение bobt@contoso.com.
  7. Атрибут sourceAnchor объекта abcdefghijkl0123456789==" вычисляется microsoft Entra Подключение с помощью атрибута ObjectGUID Боба Тейлора из локальная служба Active Directory.
  8. Боб Тейлор имеет следующие значения для атрибута proxyAddresses :
    • smtp: bobt@contoso.com.
    • smtp: bob.taylor@contoso.com.
    • smtp: bob@contoso.com.
  9. Во время синхронизации Microsoft Entra Подключение распознает добавление Боба Тейлора в локальная служба Active Directory и просит идентификатора Microsoft Entra внести те же изменения.
  10. Microsoft Entra сначала выполняет жесткий матч. То есть он выполняет поиск любого объекта с атрибутом immutableId, равным "abcdefghijkl0123456789==". Жесткое совпадение завершается ошибкой, так как ни один другой объект в идентификаторе Microsoft Entra id не имеет атрибута неизменяемого Идентификатора .
  11. Затем идентификатор Microsoft Entra выполняет мягкий матч, чтобы найти БобА Тейлора. То есть он ищет объект с атрибутами proxyAddresses, равными трем значениям, включая SMTP: bob@contoso.com.
  12. Идентификатор Microsoft Entra id находит объект Боба Смита для соответствия критериям мягкого соответствия. Но этот объект имеет значение immutableId = "abcdefghijklmnopqrstuv==", которое указывает, что этот объект был синхронизирован из другого объекта из локального каталога Active Directory. Идентификатор Microsoft Entra не может мягко соответствовать этим объектам, поэтому возникает ошибка синхронизации InvalidSoftMatch.

Устранение ошибки InvalidSoftMatch

Наиболее распространенной причиной ошибки InvalidSoftMatch является два объекта с различными атрибутами sourceAnchor (immutableId), которые имеют то же значение для атрибутов proxyAddresses или userPrincipalName , которые используются во время процесса обратимого сопоставления в идентификаторе Microsoft Entra ID. Чтобы устранить ошибку InvalidSoftMatch:

  1. Определите повторяющееся значение атрибута proxyAddresses, userPrincipalName или другого атрибута, вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Подключение Health для синхронизации, поможет определить два объекта.
  2. Определите, какой объект должен продолжать иметь дублированное значение и какой объект не должен.
  3. Удалите из объекта ненужное повторяющееся значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если вы внесли изменения в локальная служба Active Directory, позвольте Microsoft Entra Подключение синхронизировать изменения.

Отчеты об ошибках синхронизации в Microsoft Entra Подключение Работоспособности для синхронизации обновляются каждые 30 минут и включают ошибки из последней попытки синхронизации.

Примечание.

По сути атрибут immutableId не должен изменяться в течение времени существования объекта. Но, возможно, Microsoft Entra Подключение не настроены с некоторыми сценариями, которые следует учитывать из предыдущего списка. В этом случае Microsoft Entra Подключение может вычислить другое значение атрибута sourceAnchor для объекта Active Directory, представляющего ту же сущность (одного пользователя, группы или контакта), которая имеет существующий объект Microsoft Entra, который вы хотите продолжить использовать.

Связанная статья

Запрет синхронизации службы каталогов в Microsoft 365 из-за повторяющихся или недопустимых атрибутов

ObjectTypeMismatch

Description

Если идентификатор Microsoft Entra пытается выполнить обратимое сопоставление двух объектов, возможно, что два объекта разных типов объектов, таких как пользователь, группа или контакт, имеют одинаковые значения атрибутов, используемых для выполнения мягкого сопоставления. Так как дублирование этих атрибутов не разрешено в идентификаторе Microsoft Entra, операция может привести к ошибке синхронизации ObjectTypeMismatch.

Примеры сценариев ошибки ObjectTypeMismatch

Администратор создал в Microsoft 365 группу безопасности, поддерживающую почту. Администратор добавляет нового пользователя или контакт в локальная служба Active Directory, который не синхронизируется с идентификатором Microsoft Entra, но с тем же значением для атрибута proxyAddresses, что и для группы Microsoft 365.

Примеры

  1. Администратор создал для налогового департамента в Microsoft 365 группу безопасности, поддерживающую почту, а в качестве адреса электронной почты указал tax@contoso.com. Этой группе назначается значение атрибута ProxyAddressesSMTP: tax@contoso.com.
  2. К домену contoso.com присоединился новый пользователь, для которого в локальном каталоге создана учетная запись с атрибутом proxyAddress. Значение этого атрибута — smtp: tax@contoso.com.
  3. Когда Microsoft Entra Подключение синхронизирует новую учетную запись пользователя, она получает ошибку ObjectTypeMismatch.

Устранение ошибки ObjectTypeMismatch

Чаще всего причина ошибки ObjectTypeMismatch заключается в наличии двух объектов разных типов (например, пользователь, группа или контакт), у которых одинаковое значение атрибута proxyAddresses. Чтобы устранить ошибку ObjectTypeMismatch:

  1. Определите повторяющееся значение атрибута proxyAddresses (или другого атрибута), вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Подключение Health для синхронизации, поможет определить два объекта.
  2. Определите, какой объект должен продолжать иметь дублированное значение и какой объект не должен.
  3. Удалите из объекта ненужное повторяющееся значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если вы внесли изменения в локальную службу AD, позвольте Microsoft Entra Подключение синхронизировать изменения. Отчет об ошибке синхронизации в Microsoft Entra Подключение Работоспособности для синхронизации обновляется каждые 30 минут. Отчет содержит ошибки, связанные с последней попыткой синхронизации.

повторяющиеся атрибуты

В этом разделе рассматриваются ошибки повторяющихся атрибутов.

AttributeValueMustBeUnique

Description

В схеме Microsoft Entra запрещено использовать для нескольких объектов одинаковые значения приведенных ниже атрибутов. У каждого объекта в Microsoft Entra ID должно быть уникальное значение для этих атрибутов в заданном экземпляре:

  • mail
  • proxyAddresses
  • signInName
  • userPrincipalName

Если Microsoft Entra Connect пытается добавить новый объект или обновить указанные выше атрибуты имеющегося объекта, добавив для них значения, назначенные другому объекту в Microsoft Entra ID, то операция завершится ошибкой синхронизации AttributeValueMustBeUnique.

Возможный сценарий

Повторяющееся значение назначено синхронизированному объекту, конфликтующему с другим синхронизированным объектом.

Примеры

  1. Пользователь Григорий Авдеев синхронизирован в Microsoft Entra ID из локального каталога Active Directory в домене contoso.com.
  2. Для атрибута имени субъекта-пользователя в локальном каталоге задано значение bobs@contoso.com.
  3. Боб также имеет следующие значения для атрибута proxyAddresses :
    • smtp: bobs@contoso.com.
    • smtp: bob.smith@contoso.com.
    • smtp: bob@contoso.com.
  4. В локальный каталог AD добавлен новый пользователь Артем Кузнецов.
  5. Для его имени субъекта-пользователя задано значение bobt@contoso.com.
  6. Боб Тейлор имеет следующие значения для атрибута proxyAddresses :
    • smtp: bobt@contoso.com.
    • smtp: bob.taylor@contoso.com.
  7. Синхронизация объекта Артема Кузнецова выполнена успешно.
  8. Администратор решил обновить атрибут proxyAddresses Боба Тейлора со следующим значением:
    • smtp: bob@contoso.com.
  9. Microsoft Entra ID выполнит попытку обновить объект Артема в Microsoft Entra ID, добавив в него значение выше, но эта операция завершится ошибкой, потому что такое значение proxyAddresses уже назначено Григорию Авдееву. В результате отобразится ошибка AttributeValueMustBeUnique.

Как исправить ошибку AttributeValueMustBeUnique

Чаще всего причина ошибки AttributeValueMustBeUnique заключается в наличии двух объектов с разными атрибутами sourceAnchor (immutableId), но одинаковым значением атрибутов proxyAddresses или userPrincipalName. Чтобы исправить ошибку AttributeValueMustBeUnique:

  1. Определите повторяющееся значение атрибута proxyAddresses, userPrincipalName или другого атрибута, вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Подключение Health для синхронизации, поможет определить два объекта.
  2. Определите, какой объект должен продолжать иметь дублированное значение и какой объект не должен.
  3. Удалите из объекта ненужное повторяющееся значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если изменения внесены в локальном каталоге Active Directory, выполните их синхронизацию c Microsoft Entra Connect. Это позволит устранить ошибку.

Связанная статья

Запрет синхронизации службы каталогов в Microsoft 365 из-за повторяющихся или недопустимых атрибутов

Сбой проверки данных

В этом разделе рассматриваются ошибки проверки данных.

IdentityDataValidationFailed

Description

Перед записью данных в каталог Microsoft Entra ID применяет к ним разные ограничения. Эти ограничения позволяют конечным пользователям получить наилучший интерфейс при использовании приложений, которые зависят от этих данных.

Сценарии

  • Значение атрибута userPrincipalName содержит недопустимые или неподдерживаемые символы.
  • Атрибут userPrincipalName не соответствует требуемому формату.

Результатом выполнения приведенных выше сценариев является ошибка IdentityDataValidationFailed.

Как устранить ошибку IdentityDataValidationFailed

Убедитесь, что для значения атрибута userPrincipalName указаны поддерживаемые символы и значение соответствует требуемому формату.

Связанная статья

Подготовка пользователей к работе путем синхронизации каталогов с Microsoft 365

Ошибки нарушения прав доступа при удалении и нарушении прав доступа к паролю

Идентификатор Microsoft Entra защищает облачные объекты от обновления с помощью Microsoft Entra Подключение. Хотя невозможно обновить эти объекты с помощью Microsoft Entra Подключение, вызовы можно выполнять непосредственно в серверной части Microsoft Entra, чтобы попытаться изменить объекты только в облаке. При этом могут возвращаться следующие ошибки:

  • Эта операция синхронизации ("Удалить") недопустима. Обратитесь в службу технической поддержки (тип ошибки 114).
  • Не удалось обработать это обновление, так как в текущий запрос включено обновление учетных данных одного или нескольких пользователей только для облака.
  • Удаление объекта только для облака не поддерживается. Обратитесь в службу поддержки пользователей Майкрософт.
  • Невозможно выполнить запрос на изменение пароля, так как он содержит изменения в одном или нескольких облачных пользовательских объектах, которые не поддерживаются. Обратитесь в службу поддержки пользователей Майкрософт.

Разрешение удаленияCloudOnlyObjectNotAllowed (тип ошибки 114)

В этом разделе рассматриваются потенциальные причины и решения для устранения ошибки DeleteCloudOnlyObjectNotAllowed (тип ошибки 114).

Предупреждение

Корпорация Майкрософт рекомендует клиентам настроить учетную запись разбиения перед входом в Microsoft Entra Подключение. Дополнительные сведения см. в разделе "Управление учетными записями аварийного доступа" в идентификаторе Microsoft Entra.

Description

Это сценарий, когда клиент хочет перейти из гибридной среды в облако. Администратор инициирует вызов Microsoft Entra Подключение при попытке переместить пользователей из область, но Microsoft Entra Подключение возвращает ошибку DeleteCloudOnlyObjectNotAllowed (или тип ошибки 114): "Эта операция синхронизации, удаление не является допустимым. Обратитесь в службу технической поддержки".

Возможные причины этой ошибки:

  • Вызов из Microsoft Entra Подключение не имеет имени участника-участника, нового или уникального GUID или других необходимых сведений.
  • Microsoft Entra Подключение пытается экспортировать данные, но имеет DirSyncEnabled значение False.
  • Microsoft Entra Подключение пытается удалить восстановленного пользователя или другого объекта. Обычно это происходит из-за того, что пользователь или другая ссылка на объекты была перемещена из синхронизации область или в контейнер Lost &Found.

Возможные сценарии

Клиент Microsoft Entra Подключение не удалял пользователей во время миграции из гибридной среды в облако, что привело к ошибке типа 114.

Возможные причины удаления пользователей:

  • Правило, созданное клиентом для перемещения пользователей из область, основано на атрибутеAdmin.
  • Тип ошибки 114 возвращается во время операции синхронизации (синхронизации Azure AD), что приводит к сбою удаления пользователей.
  • Синхронизация завершается сбоем для определенных функций, что приводит к тому, что пользователи не удаляются соответствующим образом.

Пример ошибки

Пример ошибки экспорта:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {2819A5C8-BE27-EC11-A970-000D3A1B4EEE}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Исправление ошибки

Для разрешения этой проблемы:

  1. Определите ссылку на объект проблемы.
  2. Используйте PowerShell для обратимого удаления облачной учетной записи:
  3. Выполните Start-ADSyncSyncCyle -PolicyType Delta команду, которая должна успешно импортировать удаление учетной записи.
  4. Убедитесь, что удаление выполнено успешно.
  5. Восстановите пользователя из корзины.
  6. Запустите Start-ADSyncSyncCyle -PolicyType Delta на сервере, чтобы убедиться, что ошибка не возникает снова.

Предупреждение

Если пользователь исключен из синхронизации область объект становится обратимо удаленным в идентификаторе Microsoft Entra ID, а его атрибут DirSyncEnabled переключится на False. Однако этот процесс не преобразует объект в управляемый облаком, так как он по-прежнему содержит атрибуты и значения, синхронизированные из локальная служба Active Directory, которые нельзя управлять в облаке. Значение DirSyncEnabled равно False, чтобы указать, что он в настоящее время не синхронизируется область и доступен для повторного сопоставления.

LargeObject или ExceededAllowedLength

В этом разделе обсуждаются ошибки LargeObject или ExceededAllowedLength.

Description

Если атрибут превышает допустимое ограничение размера, ограничение длины или ограничение количества, заданное схемой Microsoft Entra, операция синхронизации приводит к ошибке синхронизации LargeObject или ExceededAllowedLength. Как правило, эта ошибка возникает со следующими атрибутами:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto;
  • proxyAddresses

Идентификатор Microsoft Entra id не накладывает ограничения для каждого атрибута, за исключением жестко закодированного ограничения в 15 сертификатов в атрибуте userCertificate и до 100 атрибутов для расширений каталогов с максимум 250 символами для каждого расширения каталога. Существует ограничение на размер для целого объекта. Если Microsoft Entra Connect попытается синхронизировать объект с превышением ограничения на размер объекта, возникнет ошибка экспорта.

Все атрибуты вносят вклад в окончательный размер объекта. Некоторые атрибуты имеют разные множители из-за дополнительных затрат на обработку. Примером являются индексированные значения. Кроме того, учетной записи могут быть назначены разные облачные службы, планы служб и лицензии, которые используют еще больше атрибутов, увеличивающих общий размер объекта.

Невозможно определить, сколько записей атрибут может храниться в идентификаторе Microsoft Entra, например сколько SMTP-адресов может быть в атрибуте proxyAddresses . Объем зависит от размера и коэффициентов умножения всех атрибутов в объекте.

Возможные сценарии

  • Атрибут userCertificate хранит слишком большое количество назначенных Григорию сертификатов. В их числе могут быть недействительные и старые сертификаты. Жесткий предел — 15 сертификатов. Дополнительные сведения о том, как обрабатывать ошибки LargeObject с атрибутом userCertificate, см. в статье Обработка ошибок LargeObject, вызванных атрибутом userCertificate.
  • Атрибут userSMIMECertificate хранит слишком большое количество назначенных Григорию сертификатов. В их числе могут быть недействительные и старые сертификаты. Жесткий предел — 15 сертификатов.
  • Набор атрибутов эскизов Bob в Active Directory слишком велик, чтобы синхронизироваться с идентификатором Microsoft Entra.
  • При автоматическом заполнении атрибута proxyAddresses в Active Directory объекту назначено слишком много атрибутов proxyAddresses.

Ниже приведены примеры, которые демонстрируют разный вес атрибутов, например UserCertificate и ProxyAddresses:

  • Синхронизированный пользователь, который не имеет внесенных атрибутов, кроме обязательных атрибутов Active Directory и почты, может синхронизировать до 332 прокси-адресов.
  • Аналогичный синхронизированный пользователь с атрибутом mailNickname и 10 сертификатами пользователей может синхронизировать не более 329 прокси-адресов.
  • Для аналогичного синхронизированного пользователя с 10 сертификатами пользователей и 4 назначенными подписками (со всеми включенными планами служб) максимальное число прокси-адресов уменьшается до 311.
  • Теперь рассмотрим предыдущего пользователя, который уже имеет максимальное количество прокси-адресов, и предположим, что нужно добавить еще один SMTP-адрес. Чтобы число прокси-адресов равнялось 312, необходимо удалить хотя бы три сертификата пользователя (в зависимости от размера сертификата).

Примечание.

Эти значения могут немного отличаться. Как правило, надежнее предположить, что лимит SMTP-адресов в атрибуте ProxyAddresses приблизительно равен 300. Это позволит в будущем увеличить размер объекта и количество заполненных атрибутов.

Исправление ошибок LargeObject или ExceededAllowedLength

Проверьте свойства пользователя и удалите значения атрибутов, которые больше не нужны. Например, отозванные или просроченные сертификаты, а также устаревшие или ненужные адреса, такие как SMTP, X.400, X.500, MSMail и CcMail.

Конфликт с существующей ролью администратора

Description

Ошибка синхронизации "Конфликт с существующей ролью администратора" происходит в объекте пользователя во время синхронизации, если этот объект пользователя имеет следующие характеристики:

  • Разрешения администратора.
  • Тот же атрибут userPrincipalName , что и существующий объект Microsoft Entra.

Microsoft Entra Подключение не допускает мягкого сопоставления объекта пользователя из локальной службы AD с объектом пользователя в идентификаторе Microsoft Entra ID, которому назначена административная роль. Дополнительные сведения см. в разделе microsoft Entra userPrincipalName.

Снимок экрана: количество ошибок синхронизации существующих Администратор конфликтов ролей.

Исправление ошибки "Конфликт с существующей ролью администратора"

Для разрешения этой проблемы:

  1. Удалите учетную запись Microsoft Entra (владелец) из всех ролей администратора.
  2. Жесткое удаление объекта, помещенного в карантин, в облаке.
  3. Следующий цикл синхронизации будет заботиться о мягком сопоставлении локального пользователя с облачной учетной записью, так как облачный пользователь теперь не является гибридным удостоверением Администратор istrator.
  4. Восстановление членства в ролях для владельца.

Примечание.

Можно снова назначить административную роль существующему объекту пользователя после завершения мягкого сопоставления между локальным объектом пользователя и объектом пользователя Microsoft Entra.