目录同步报告中显示错误:此公司已超出可同步的对象数

  • 项目

本文介绍如何在 Office 365、Azure 或 Microsoft Intune 环境中提高目录同步的 Active Directory 目录服务配额。

原始产品版本:云服务 (Web 角色/辅助角色) 、Microsoft Entra ID、Microsoft Intune、Azure 备份Office 365用户和域管理
原始 KB 编号: 2812409

症状

你收到一 MSOnlineServicesTeam@MicrosoftOnline.com 封电子邮件,其中包含以下错误消息:

错误 016:同步已停止。 该公司已超过可以同步的对象数。 请联系 Microsoft Online Services 支持。

注意

如果只想请求增加目录服务配额,以便在 Microsoft 云服务(如 Office 365、Azure 或 Microsoft Intune)中拥有超过允许数量的对象,并且不使用 Active Directory 同步时,也可以使用本文。 Microsoft Entra ID中的当前目录服务配额为 50,000 个对象。

原因

出现此问题的原因是,在Microsoft Entra ID中创建的对象数超出了目录服务限制。 Microsoft Entra ID限制每个组织可以创建的对象数。 Microsoft Entra组织中的组、联系人和用户对象将计为组织的目录使用情况的一部分。

默认目录服务配额是根据以下准则计算的:

  • 如果没有任何已验证的域,则Microsoft Entra ID中的当前目录服务配额为 50,000 个对象。

    1. 如果你的组织是在 2011 年 10 月 5 日之前创建的,则默认目录服务配额为 10,000 个对象。
    2. 如果组织是在 2011 年 10 月 5 日之后和 2012 年 5 月之前创建的,则默认目录服务配额为 20,000 个对象。
    3. 如果组织是在 2012 年 5 月之后创建的,则默认目录服务配额为 50,000 个对象。

  • 如果至少有一个已验证域,则Microsoft Entra ID中默认目录服务配额为 300,000 个对象。

解决方案

当本地 Active Directory中的组、联系人和用户对象数超过目录服务配额时,可以请求增加公司的目录服务配额限制。 此增加允许在使用目录同步时同步超过当前默认限制的对象数。

若要继续在组织中创建对象,必须添加域或请求提高目录服务配额。 为此,请使用以下方法。

方法 1

如果没有已验证的域,则必须添加域才能将配额限制提高到 300,000 个对象。 有关详细信息,请参阅 添加域

方法 2

如果本地 Active Directory目录服务中的对象数超过 300,000 个,若要将可同步的对象数增加到 300,000 个以上,请联系 Microsoft 支持部门。

更多信息

通过使用云服务作为限制单个安全主体可以创建和拥有的最大对象数的方法来实现目录服务配额。 使用目录同步同步到公司的所有对象都具有将创建者/所有者值设置为该公司的默认管理员组。 例如,管理员组的设置如下: admins@contoso1.microsoftonline.com。 因此,此配置可防止用户使用目录同步创建无限数量的对象。 如果公司有同步超过目录服务配额限制的合法需求,请向技术支持提交服务请求。

常见问题解答

问题 1:通过云服务门户或云服务 API(如 Exchange Online PowerShell)手动添加的对象是否计入我的联机公司配额?

答案 1:是的。

问题 2:删除的对象是否计入我的在线公司配额?

答案 2:是的。 当云服务客户从联机公司中删除对象时,已删除的对象将放入目录服务中的已删除对象容器中。 对象将保留在已删除的对象容器中,直到逻辑删除生存期到期。 到期时间当前设置为 30 天。

例如,请考虑以下情况。 一家在线公司正在使用非生产本地 Active Directory环境评估云服务。 云服务组织是在 2011 年 10 月 5 日之前创建的,默认同步限制为 10,000 个对象。 公司使用目录同步工具对 8,000 个组对象和联系人对象执行批量同步。 稍后,在线公司决定执行以下操作:

  1. 从公司的本地非生产 Active Directory DS 环境中删除这些组对象和联系人对象。
  2. 将 8,000 个用户对象添加到其本地非生产 Active Directory DS 环境。
  3. 将更新同步到其在线公司。

8,000 个组对象和联系人对象将移动到目录服务中的已删除对象容器。 这些对象将继续消耗高达 25% 的联机公司配额,直到在 30 天逻辑删除期后将其永久删除。 (此百分比等于 2,000 个对象,即 8,000 个× 25%。) 因此,在同步 5,000 个新用户对象后,联机公司将使用其可用 Active Directory 配额中的 10,000 个对象,从已删除的对象中消耗 2,000 个对象,以及新用户对象的 8,000 个对象。 在 (的 30 天逻辑删除期间,此时间段可能与联机公司评估期) 一致,联机公司可能无法使用目录同步添加任何其他对象。 出现这种情况是因为已达到联机公司的目录服务配额。

在此方案中,执行云服务评估的联机公司必须减少其非生产本地 Active Directory DS 环境中的对象数才能完成产品评估。 但是,如果联机公司无法减少对象数,则公司必须请求增加其目录服务配额。

问题 3: 拥有多个已验证域是否意味着可以具有超过 300,000 个对象的配额?

答案 3:否。 如果你有一个或多个已验证域,则被授予 300,000 个对象的目录配额。 对于注册 的每个 已验证域,你没有获得 300,000 个对象的配额。

联系我们寻求帮助

如果你有任何疑问或需要帮助,请创建支持请求联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。