Grundlegendes zu Fehlern während der Microsoft Entra-Synchronisierung
Fehler können auftreten, wenn Identitätsdaten aus Windows Server Active Directory mit Microsoft Entra ID synchronisiert werden. Dieser Artikel bietet einen Überblick über verschiedene Fehlertypen, die während der Synchronisierung auftreten können, einige der möglichen Szenarios, die solche Fehler verursachen, und Möglichkeiten, diese Fehler zu beheben. In diesem Artikel werden die häufigsten Fehlertypen behandelt, daher sind eventuell nicht alle möglichen Fehler enthalten.
In diesem Artikel wird davon ausgegangen, dass Sie mit den zugrunde liegenden Designkonzepten von Microsoft Entra ID und Microsoft Entra Connect vertraut sind.
Wichtig
In diesem Artikel wird versucht, die häufigsten Synchronisierungsfehler zu behandeln. Leider ist es nicht möglich, alle Szenarien in einem Dokument zu behandeln. Weitere Informationen einschließlich ausführlicher Schritte zur Problembehandlung finden Sie unter End-to-End-Problembehandlung bei Microsoft Entra Connect-Objekten und -Attributen und im Abschnitt Benutzerbereitstellung und -synchronisierung unter der Dokumentation zur Problembehandlung für Microsoft Entra.
Mit der neuesten Version von Microsoft Entra Connect, (August 2016 oder höher), ist nun ein Bericht der Synchronisierungsfehler im Microsoft Entra Admin Center als Teil von Microsoft Entra Connect Health für die Synchronisierung verfügbar.
Ab dem 1. September 2016 ist Microsoft Entra ID-Resilienz bei doppelten Attributen standardmäßig für alle neuen Microsoft Entra-Mandanten aktiviert. Dieses Feature wird automatisch für vorhandene Mandanten aktiviert.
Microsoft Entra Connect führt drei Arten von Vorgängen aus den Verzeichnissen heraus aus, die synchron gehalten werden: Importieren, Synchronisieren und Exportieren. Fehler können in allen drei Vorgängen auftreten. In diesem Artikel werden hauptsächlich Fehler während des Exportierens nach Microsoft Entra ID behandelt.
Fehler beim Exportieren in Microsoft Entra ID
Im folgenden Abschnitt werden verschiedene Typen von Synchronisierungsfehlern beschrieben, die während des Exportvorgangs nach Microsoft Entra ID mit dem Microsoft Entra-Connector auftreten können. Sie können diesen Connector anhand des Namensformats „contoso.onmicrosoft.com“ identifizieren. Fehler beim Exportieren in Microsoft Entra ID deuten darauf hin, dass ein Vorgang wie das von Microsoft Entra Connect (Synchronisierungs-Engine) für Microsoft Entra ID versuchte Hinzufügen, Aktualisieren oder Löschen fehlgeschlagen ist.
Fehler durch Datenkonflikte
In diesem Abschnitt werden Fehler durch Datenkonflikte erläutert.
InvalidHardMatch
Beschreibung
Ein InvalidHardMatch-Fehler tritt während der Synchronisierung auf, wenn versucht wird, ein Hard Match für in Microsoft Entra ID vorhandene Objekte mit neuen eingehenden Objekten auszuführen, die denselben sourceAnchor-Attributwert aufweisen, für die aber das Feature BlockCloudObjectTakeoverThroughHardMatchEnabled für den Mandanten aktiviert ist.
Beispielszenarios für einen InvalidHardMatch-Fehler
- DirSync wird auf dem Mandanten wieder aktiviert, und Objekte mit demselben sourceAnchor-Attributwert werden erneut synchronisiert. Das Feature BlockCloudObjectTakeoverThroughHardMatchEnabled ist jedoch aktiviert und verhindert, dass ein Hard Match (eine genaue Übereinstimmung) gefunden wird.
- Der Benutzer wurde vom Synchronisierungsbereich ausgeschlossen und aus dem Microsoft Entra ID-Papierkorb wiederhergestellt. Der Benutzer wird dem Synchronisierungsbereich später erneut hinzugefügt und versucht, das Objekt, das bereits in Microsoft Entra ID vorhanden ist, basierend auf demselben sourceAnchor-Attributwert zu übernehmen. Das Feature BlockCloudObjectTakeoverThroughHardMatchEnabled ist jedoch aktiviert ist und verhindert, dass ein Hard Match gefunden wird.
Beispielfall
- Bob Smith ist ein synchronisierter Benutzer in Microsoft Entra ID aus dem lokalem Active Directory von contoso.com.
- Standardmäßig wird der sourceAnchor-Attributwert "abcdefghijklmnopqrstuv==" von Microsoft Entra Connect anhand des Attributs MsDs-ConsistencyGUID von Bob Smith (oder je nach Konfiguration anhand des ObjectGUID-Werts) aus dem lokalen Active Directory berechnet. Dieser Attributwert ist das immutableId-Attribut für Bob Smith in Microsoft Entra ID.
- Der Administrator entfernt Bob Smith aus dem Synchronisierungsbereich, und Microsoft Entra Connect exportiert eine Löschung des Objekts.
- Das Objekt von Bob Smith wird in Microsoft Entra ID vorläufig gelöscht, und das DirSyncEnabled-Attribut wird in „False“ geändert. Bei diesem Prozess wird das Objekt jedoch nicht in ein über die Cloud verwaltetes Objekt konvertiert. Es gilt weiterhin als ein Objekt, das aus dem lokalen Active Directory synchronisiert wird. Der DirSyncEnabled-Wert lautet „False“, um anzugeben, dass das Objekt derzeit nicht im Synchronisierungsbereich enthalten ist und wieder abgeglichen werden kann.
- Der Administrator fügt Bob Smith erneut zum Synchronisierungsbereich hinzu und Microsoft Entra Connect synchronisiert das Objekt erneut.
- Bei einem Hard Match wird normalerweise das in Microsoft Entra ID vorhandene Objekt basierend auf demselben sourceAnchor-Attributwert übernommen und das DirSyncEnabled-Attribut wieder auf „True“ gesetzt. Wenn jedoch BlockCloudObjectTakeoverThroughHardMatchEnabled aktiviert ist, ist dieser Vorgang nicht zulässig, und es wird ein InvalidHardMatch-Fehler ausgegeben.
Beheben des InvalidHardMatch-Fehlers
Wir empfehlen Kunden, BlockCloudObjectTakeoverThroughHardMatchEnabled zu aktivieren, es sei denn, sie müssen vorhandene Konten in Microsoft Entra ID übernehmen.
Wenn Sie einen InvalidHardMatch Fehler löschen und das Konto erfolgreich abgleichen müssen, können Sie das Hard Match wie unter Hard Match im Vergleich zu Soft Match beschrieben erneut aktivieren.
InvalidSoftMatch (Ungültiges Soft Match (mögliche Übereinstimmung))
Beschreibung
- Der InvalidSoftMatch-Fehler tritt auf, wenn beim Hard Match kein übereinstimmendes Objekt und beim Soft Match ein übereinstimmendes Objekt gefunden wird, dieses Objekt aber einen anderen immutableId-Wert aufweist als das sourceAnchor-Attribut des eingehenden Objekts. Diese Nichtübereinstimmung deutet darauf hin, dass das übereinstimmende Objekt anhand eines anderen Objekts aus dem lokalen Active Directory synchronisiert wurde.
Damit das Soft Match funktioniert, sollte das Objekt, für das Soft Match ausgeführt wird, keinen Wert für das immutableId-Attribut aufweisen. Wenn das Objekt, für das das immutableId-Attribut mit einem Wert festgelegt ist, nicht die Kriterien eines Hard Match, aber die eines Soft Match erfüllt, tritt beim Vorgang ein Synchronisierungsfehler vom Typ „InvalidSoftMatch“ auf.
Ein Microsoft Entra-Schema lässt es nicht zu, dass zwei oder mehr Objekte denselben Wert für eines der folgenden Attribute aufweisen. Die Liste ist nicht vollständig:
- proxyAddresses
- userPrincipalName
- onPremisesSecurityIdentifier
- objectId
- immutableId
Microsoft Entra-Resilienz bei doppelten Attributen](how-to-connect-syncservice-duplicate-attribute-resiliency.md) wird auch als Standardverhalten von Microsoft Entra ID eingeführt. Dieses Feature reduziert die Anzahl von Synchronisierungsfehlern, die von Microsoft Entra Connect und anderen Synchronisierungsclients erkannt werden. Es macht Microsoft Entra resilienter, da es doppelte proxyAddresses- und userPrincipalName-Attribute behandelt, die in lokalen Active Directory-Umgebungen vorhanden sind.
Durch dieses Feature werden die Duplizierungsfehler nicht behoben, sodass die Daten noch korrigiert werden müssen. Allerdings wird die Bereitstellung neuer Objekte ermöglicht, die sonst aufgrund der Duplizierungswerte in Microsoft Entra ID nicht bereitgestellt werden konnten. Durch diese Funktion wird auch die Anzahl von Synchronisierungsfehlern verringert, die an den Synchronisierungsclient zurückgegeben werden.
Hinweis
Wenn die Resilienz von Microsoft Entra-Attributduplikaten für Ihren Mandanten aktiviert ist, werden die InvalidSoftMatch-Synchronisierungsfehler, die bei der Bereitstellung neuer Objekte auftreten, nicht angezeigt.
Beispielszenarios für einen InvalidSoftMatch-Fehler
- In der lokalen Active Directory-Umgebung verfügen mindestens zwei Objekte über denselben Wert für das Attribut proxyAddresses. Nur eines wird in Microsoft Entra ID bereitgestellt.
- In der lokalen Active Directory-Umgebung verfügen mindestens zwei Objekte über denselben Wert für das Attribut userPrincipalName. Nur eines wird in Microsoft Entra ID bereitgestellt.
- Ein Objekt wurde in das lokale Active Directory hinzugefügt. Dieses Objekt hatte den gleichen Wert für das Attribut proxyAddresses wie für ein bestehendes Objekt in Microsoft Entra ID. Das Objekt, das lokal hinzugefügt wurde, wird nicht in Microsoft Entra ID bereitgestellt.
- Ein Objekt wurde in das lokale Active Directory hinzugefügt. Dieses Objekt hatte den gleichen Wert für das Attribut userPrincipalName wie für ein Konto in Microsoft Entra ID. Das Objekt wird nicht in Microsoft Entra ID bereitgestellt.
- Ein synchronisiertes Konto wurde aus Gesamtstruktur A in Gesamtstruktur B verschoben. Microsoft Entra Connect (das Synchronisierungsmodul) hat das Attribut objectGUID verwendet, um das Attribut sourceAnchor zu berechnen. Nach dem Verschieben der Gesamtstruktur hat das Attribut sourceAnchor einen anderen Wert. Das neue Objekt aus Gesamtstruktur B kann nicht mit dem in Microsoft Entra ID vorhandenen Objekt synchronisiert werden.
- Ein synchronisiertes Objekt wurde versehentlich aus dem lokalen Active Directory gelöscht, und ein neues Objekt für die gleiche Entität (z. B. Benutzer) wurde in Active Directory erstellt, ohne das Konto in Microsoft Entra ID zu löschen. Das neue Konto kann nicht mit dem bestehenden Microsoft Entra-Objekt synchronisiert werden.
- Microsoft Entra Connect wurde deinstalliert und neu installiert. Bei der erneuten Installation wurde ein anderes Attribut als sourceAnchor ausgewählt. Alle zuvor synchronisierten Objekte halten die Synchronisierung aufgrund des InvalidSoftMatch-Fehlers an.
Beispielfall
- Bob Smith ist ein synchronisierter Benutzer in Microsoft Entra ID aus dem lokalem Active Directory von contoso.com.
- Der Benutzerprinzipalname von Bob Smith ist auf bobs@contoso.com festgelegt.
- Das Attribut sourceAnchor von "abcdefghijklmnopqrstuv==" wird von Microsoft Entra Connect mithilfe des Attributs objectGUID von Bob Smith aus dem lokalen Active Directory berechnet. Dieses Attribut ist das immutableId-Attribut für Bob Smith in Microsoft Entra ID.
- Außerdem verfügt Bob über die folgenden Werte des Attributs proxyAddresses:
- smtp: bobs@contoso.com
- smtp: bob.smith@contoso.com
- smtp: bob@contoso.com
- Ein neuer Benutzer, Bob Taylor, wird zum lokalen Active Directory hinzugefügt.
- Der Benutzerprinzipalname von Bob Taylor ist auf bobt@contoso.com festgelegt.
- Das Attribut sourceAnchor von "abcdefghijkl0123456789==" wird von Microsoft Entra Connect mithilfe des Attributs objectGUID von Bob Taylor aus dem lokalen Active Directory berechnet.
- Außerdem verfügt Bob Taylor über die folgenden Werte des Attributs proxyAddresses:
- smtp: bobt@contoso.com
- smtp: bob.taylor@contoso.com
- smtp: bob@contoso.com
- Während der Synchronisierung erkennt Microsoft Entra Connect das Hinzufügen von Bob Taylor in das lokale Active Directory, und weist Microsoft Entra ID an, dieselbe Änderung durchzuführen.
- Microsoft Entra führt zuerst ein Hard Match (genaue Übereinstimmung) durch. Das heißt, es wird nach jedem Objekt mit dem Attribut immutableId gleich "abcdefghijkl0123456789==" gesucht. Beim Hard Match (genaue Übereinstimmung) tritt ein Fehler auf, da kein anderes Objekt in Microsoft Entra ID das Attribut immutableId besitzt.
- Microsoft Entra ID führt dann ein Soft Match (mögliche Übereinstimmung) aus, um Bob Taylor zu finden. Das heißt, es wird nach Objekten gesucht, deren proxyAddresses-Attribute den drei Werten entsprechen, einschließlich „smtp“: bob@contoso.com.
- Microsoft Entra ID ermittelt, dass das Objekt von Bob Smith den Soft Match-Kriterien entspricht. Dieses Objekt weist jedoch den Wert immutableId = "abcdefghijklmnopqrstuv==" auf, was bedeutet, dass dieses Objekt mit einem anderen Objekt aus dem lokalen Active Directory synchronisiert wurde. Microsoft Entra ID kann kein Soft Match für diese Objekte durchführen, sodass ein InvalidSoftMatch-Synchronisierungsfehler ausgelöst wird.
Beheben des InvalidSoftMatch-Fehlers
Der häufigste Grund für den InvalidSoftMatch-Fehler sind zwei Objekte mit unterschiedlichen sourceAnchor (immutableId)-Attributen, die denselben Wert für die proxyAddresses- oder userPrincipalName-Attribute besitzen, die während des Soft Match-Prozesses in Microsoft Entra ID verwendet werden. So beheben Sie den InvalidSoftMatch-Fehler:
- Identifizieren Sie den duplizierten Wert für „proxyAddresses, userPrincipalName oder ein anderes Attribut, das den Fehler verursacht hat. Finden Sie auch heraus, welche zwei oder mehr Objekte am Konflikt beteiligt sind. Der Bericht, der von Microsoft Entra Connect Health für die Synchronisierung erstellt wurde, kann Ihnen dabei helfen, diese beiden Objekte zu identifizieren.
- Bestimmen Sie, welches Objekt weiterhin den duplizierten Wert aufweisen soll, und welches nicht.
- Entfernen Sie den duplizierten Wert aus dem Objekt, das diesen Wert nicht haben soll. Nehmen Sie die Änderung in dem Verzeichnis vor, aus dem das Objekt stammt. In einigen Fällen müssen Sie möglicherweise eines der in Konflikt stehenden Objekte löschen.
- Wenn Sie die Änderungen im lokalen Active Directory durchgeführt haben, synchronisieren Sie die Änderung mit Microsoft Entra Connect.
Synchronisierungsfehlerberichte in Microsoft Entra Connect Health für die Synchronisierung werden alle 30 Minuten aktualisiert und enthalten die Fehler aus dem letzten Synchronisierungsversuch.
Hinweis
Das ImmutableId-Attribut sollte sich definitionsgemäß während der Lebensdauer des Objekts nicht ändern. Aber vielleicht wurde Microsoft Entra Connect nicht mit Blick auf einige der Szenarien aus der vorangegangenen Liste konfiguriert. In diesem Fall berechnet Microsoft Entra Connect möglicherweise einen anderen Wert des Attributs sourceAnchor für das Active Directory-Objekt, das dieselbe Entität (denselben Benutzer, dieselbe Gruppe oder denselben Kontakt) darstellt, die ein vorhandenes Microsoft Entra-Objekt aufweist, das Sie weiterhin verwenden möchten.
Verwandter Artikel
Doppelte oder ungültige Attribute verhindern die Verzeichnissynchronisierung in Microsoft 365.
ObjectTypeMismatch (Konflikt mit Objekttyp)
Beschreibung
Wenn Microsoft Entra ID versucht, ein Soft Match mit zwei Objekten durchzuführen, kann es vorkommen, dass zwei Objekte unterschiedlicher „Typen“ (z. B. Benutzer, Gruppe oder Kontakt) den gleichen Wert für die Attribute besitzen, die für die Ausführung des Soft Match-Prozesses benötigt werden. Da die Duplizierung dieser Attribute in Microsoft Entra ID nicht zulässig ist, kann der Vorgang zu einem ObjectTypeMismatch-Synchronisierungsfehler führen.
Beispielszenario für einen ObjectTypeMismatch-Fehler
In Microsoft 365 wird eine per E-Mail aktivierte Sicherheitsgruppe erstellt. Der Administrator fügt einen neuen Benutzer oder Kontakt mit demselben Wert für das Attribut proxyAddresses wie der der Microsoft 365-Gruppe im lokalen Active Directory hinzu, der noch nicht mit Microsoft Entra ID synchronisiert ist.
Beispielfall
- Ein Administrator erstellt in Microsoft 365 eine neue per E-Mail aktivierte Sicherheitsgruppe für die Steuerabteilung, und stellt als E-Mail Adresse tax@contoso.com bereit. Diese Gruppe wird dem Wert des Attributs proxyAddresses von smtp: tax@contoso.com zugewiesen.
- Ein neuer Benutzer tritt Contoso.com bei. Für diesen Benutzer wird ein lokales Konto mit dem Attribut proxyAddresses als smtp: tax@contoso.com erstellt.
- Wenn Microsoft Entra Connect das neue Benutzerkonto synchronisiert, wird der ObjectTypeMismatch-Fehler angezeigt.
Beheben des ObjectTypeMismatch-Fehlers
Der häufigste Grund für den ObjectTypeMismatch-Fehler ist, dass zwei Objekte mit unterschiedlichem Typ, z. B. Benutzer, Gruppe oder Kontakt, denselben Wert für das Attribut proxyAddresses aufweisen. So beheben Sie den ObjectTypeMismatch-Fehler:
- Identifizieren Sie den duplizierten Wert für das Attribut proxyAddresses (oder ein anderes Attribut), der den Fehler verursacht hat. Finden Sie auch heraus, welche zwei oder mehr Objekte am Konflikt beteiligt sind. Der Bericht, der von Microsoft Entra Connect Health für die Synchronisierung erstellt wurde, kann Ihnen dabei helfen, diese beiden Objekte zu identifizieren.
- Bestimmen Sie, welches Objekt weiterhin den duplizierten Wert aufweisen soll, und welches nicht.
- Entfernen Sie den duplizierten Wert aus dem Objekt, das diesen Wert nicht haben soll. Führen Sie die Änderung in dem Verzeichnis durch, aus dem das Objekt stammt. In einigen Fällen müssen Sie möglicherweise eines der in Konflikt stehenden Objekte löschen.
- Wenn Sie die Änderungen im lokalen AD durchgeführt haben, synchronisieren Sie die Änderung mit Microsoft Entra Connect. Der Synchronisierungsfehlerbericht in Microsoft Entra Connect Health für die Synchronisierung wird alle 30 Minuten aktualisiert. Der Bericht enthält die Fehler des letzten Synchronisierungsversuchs.
Duplizierte Attribute
In diesem Abschnitt werden Fehler durch doppelte Attribute behandelt.
AttributeValueMustBeUnique (Wert für Attribut muss eindeutig sein)
Beschreibung
Ein Microsoft Entra-Schema lässt es nicht zu, dass zwei oder mehr Objekte denselben Wert für eines der folgenden Attribute aufweisen. Jedes Objekt in Microsoft Entra ID muss einen eindeutigen Wert für diese Attribute bei einer jeweiligen Instanz aufweisen:
- proxyAddresses
- signInName
- userPrincipalName
Wenn Microsoft Entra Connect versucht, ein neues Objekt hinzuzufügen oder ein vorhandenes Objekt zu aktualisieren, dessen Wert für vorangegangene Attribute bereits einem anderen Objekt in Microsoft Entra ID zugewiesen ist, tritt bei diesem Vorgang der Synchronisierungsfehler „AttributeValueMustBeUnique“ auf.
Mögliches Szenario
Ein duplizierter Wert wird einem bereits synchronisierten Objekt zugewiesen, das mit einem anderen synchronisierten Objekt in Konflikt steht.
Beispielfall
- Bob Smith ist ein synchronisierter Benutzer in Microsoft Entra ID aus dem lokalem Active Directory von contoso.com.
- Der lokale Benutzerprinzipalname von Bob Smith ist als bobs@contoso.com festgelegt.
- Außerdem verfügt Bob über die folgenden Werte des Attributs proxyAddresses:
- smtp: bobs@contoso.com
- smtp: bob.smith@contoso.com
- smtp: bob@contoso.com
- Ein neuer Benutzer, Bob Taylor, wird zum lokalen Active Directory hinzugefügt.
- Der Benutzerprinzipalname von Bob Taylor ist auf bobt@contoso.com festgelegt.
- Außerdem verfügt Bob Taylor über die folgenden Werte des Attributs proxyAddresses:
- smtp: bobt@contoso.com
- smtp: bob.taylor@contoso.com
- Das Objekt von Bob Taylor wird erfolgreich mit Microsoft Entra ID synchronisiert.
- Der Administrator hat entschieden, das Attribut proxyAddresses von Bob Taylor mit dem folgenden Wert zu aktualisieren:
- smtp: bob@contoso.com
- Microsoft Entra ID versucht, Bob Taylors Objekt in Microsoft Entra ID mit dem vorhergehenden Wert zu aktualisieren, aber bei diesem Vorgang tritt ein Fehler auf, da dieser proxyAddresses-Wert bereits Bob Smith zugewiesen ist. Das Ergebnis ist ein AttributeValueMustBeUnique-Fehler.
Beheben des AttributeValueMustBeUnique-Fehlers
Der häufigste Grund für den AttributeValueMustBeUnique-Fehler ist, dass zwei Objekte mit unterschiedlichen sourceAnchor (immutableId)-Attributen den gleichen Wert für die Attribute proxyAddresses oder userPrincipalName aufweisen. So beheben Sie den AttributeValueMustBeUnique-Fehler:
- Identifizieren Sie den duplizierten Wert für „proxyAddresses, userPrincipalName oder ein anderes Attribut, das den Fehler verursacht hat. Finden Sie auch heraus, welche zwei oder mehr Objekte am Konflikt beteiligt sind. Der Bericht, der von Microsoft Entra Connect Health für die Synchronisierung erstellt wurde, kann Ihnen dabei helfen, diese beiden Objekte zu identifizieren.
- Bestimmen Sie, welches Objekt weiterhin den duplizierten Wert aufweisen soll, und welches nicht.
- Entfernen Sie den duplizierten Wert aus dem Objekt, das diesen Wert nicht haben soll. Nehmen Sie die Änderung in dem Verzeichnis vor, aus dem das Objekt stammt. In einigen Fällen müssen Sie möglicherweise eines der in Konflikt stehenden Objekte löschen.
- Wenn Sie die Änderungen im lokalen Active Directory durchgeführt haben, synchronisieren Sie die Änderung mit Microsoft Entra Connect, um den Fehler zu beheben.
Verwandter Artikel
Doppelte oder ungültige Attribute verhindern die Verzeichnissynchronisierung in Microsoft 365.
Fehler bei der Datenüberprüfung
In diesem Abschnitt werden Fehler bei der Datenüberprüfung erläutert.
IdentityDataValidationFailed (Überprüfung von Identitätsdaten schlägt fehl)
Beschreibung
Microsoft Entra ID erzwingt verschiedene Einschränkungen für die Daten selbst, bevor diese Daten in das Verzeichnis geschrieben werden können. Diese Einschränkungen gewährleisten eine optimale Erfahrung für Endbenutzer, wenn sie die Anwendungen verwenden, die von diesen Daten abhängig sind.
Szenarien
- Der Wert des Attributs userPrincipalName enthält ungültige oder nicht unterstützte Zeichen.
- Das Attribut userPrincipalName folgt nicht dem erforderlichen Format.
Das Ergebnis der vorherigen Szenarien ist ein IdentityDataValidationFailed-Fehler.
Beheben des IdentityDataValidationFailed-Fehlers
Stellen Sie sicher, dass das Attribut userPrincipalName nur unterstütze Zeichen enthält und dem erforderlichen Format entspricht.
Verwandter Artikel
Fehler bei Löschzugriffsverletzung und Kennwortzugriffsverletzung
Microsoft Entra ID schützt reine Cloudobjekte vor der Aktualisierung durch Microsoft Entra Connect. Es ist nicht möglich, diese Objekte über Microsoft Entra Connect zu aktualisieren, es können jedoch Aufrufe direkt an das Microsoft Entra-Back-End gesendet werden, um zu versuchen, reine Cloudobjekte zu ändern. Dabei können die folgenden Fehler zurückgegeben werden:
- Dieser Synchronisierungsvorgang, Löschen, ist ungültig. Wenden Sie sich an den technischen Support (Fehlertyp 114).
- Dieses Update kann nicht verarbeitet werden, da mindestens eine Aktualisierung der Anmeldeinformationen von Cloudbenutzern in der aktuellen Anforderung enthalten ist.
- Das Löschen eines reinen Cloudobjekts wird nicht unterstützt. Wenden Sie sich an den Microsoft-Kundensupport.
- Die Anforderung zur Kennwortänderung kann nicht ausgeführt werden, da sie Änderungen an einem oder mehreren cloudbasierten Benutzerobjekten beinhaltet, die nicht unterstützt werden. Wenden Sie sich an den Microsoft-Kundensupport.
Resolve DeletingCloudOnlyObjectNotAllowed (Fehlertyp 114)
In diesem Abschnitt werden potenzielle Ursachen und Lösungen zum Beheben des Fehlers DeletingCloudOnlyObjectNotAllowed (Fehlertyp 114) erläutert.
Microsoft empfiehlt Organisationen, zwei Nur-Cloud-Notfallzugriffskonten dauerhaft der Rolle Globaler Administrator zugewiesen zu haben. Diese Konten verfügen über hohe Zugriffsrechte und sind keinen bestimmten Einzelpersonen zugewiesen. Die Konten sind auf Notfall- oder Unterbrechungsglasszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administratoren versehentlich gesperrt sind. Diese Konten sollten nach den Empfehlungen für das Notfallzugriffskonto erstellt werden.
Beschreibung
Dies ist ein Szenario, wenn ein Kunde von der Hybridbereitstellung in die Cloud migrieren möchte. Der Administrator initiiert einen Aufruf an Microsoft Entra Connect, um zu versuchen, Benutzer aus dem Gültigkeitsbereich zu verschieben. Microsoft Entra Connect gibt jedoch den Fehler DeletingCloudOnlyObjectNotAllowed (Fehlertyp 114) zurück: „Dieser Synchronisierungsvorgang, Löschen, ist ungültig. Wenden Sie sich an den technischen Support."
Dieser Fehler kann folgende Ursachen haben:
- Der Aufruf von Microsoft Entra Connect enthält keinen UPN, keine neue oder eindeutige GUID oder andere erforderliche Informationen.
- Microsoft Entra Connect versucht, Daten zu exportieren,
DirSyncEnabled
ist jedoch auf FALSCH festgelegt. - Microsoft Entra Connect versucht, einen wiederhergestellten Benutzer oder ein anderes Objekt zu löschen. Dies liegt in der Regel daran, dass ein Benutzer oder ein anderer Objektverweis aus dem Synchronisierungsbereich oder in den Container „Lost & Found" verschoben wurde.
Mögliche Szenarios
Der Microsoft Entra Connect-Client kann Benutzer während der Migration von einer Hybridumgebung zu einer reinen Cloudumgebung nicht löschen, was zu einem Fehler vom Typ 114 führt.
Benutzer werden u. a. aus den folgenden Gründen nicht gelöscht:
- Die vom Kunden erstellte Regel zum Verschieben von Benutzern außerhalb des Gültigkeitsbereichs basiert auf dem
Admin
Attribut. - Der Fehlertyp 114 wird während des Synchronisierungsvorgangs (AD Sync) zurückgegeben, was zu einem Fehler beim Löschen von Benutzern führt.
- Die Synchronisierung schlägt für bestimmte Features fehl, und in der Folge werden Benutzer nicht entsprechend gelöscht.
Fehlerbeispiel
Beispiel für den Exportfehler:
TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}
Beheben des Fehlers
So beheben Sie dieses Problem:
- Identifizieren Sie den Problemobjektverweis.
- Verwenden Sie PowerShell, um das Cloudkonto vorläufig zu löschen:
- Führen Sie
Start-ADSyncSyncCycle -PolicyType Delta
aus. Dadurch sollte die Kontolöschung erfolgreich importiert werden. - Bestätigen Sie, dass der Löschvorgang erfolgreich war.
- Stellen Sie den Benutzer aus dem Papierkorb wieder her.
- Führen Sie
Start-ADSyncSyncCycle -PolicyType Delta
auf dem Server aus, um zu bestätigen, dass der Fehler nicht mehr auftritt.
Warnung
Wenn ein Benutzer vom Synchronisierungsbereich ausgeschlossen wird, wird das Objekt in Microsoft Entra ID vorläufig gelöscht, und das DirSyncEnabled-Attribut wird in „False“ geändert. Bei diesem Prozess wird das Objekt jedoch nicht in ein über die Cloud verwaltetes Objekt konvertiert, da es weiterhin Attribute und Werte enthält, die aus dem lokalen Active Directory synchronisiert werden und nicht in der Cloud verwaltet werden können. Der DirSyncEnabled-Wert lautet „False“, um anzugeben, dass das Objekt derzeit nicht im Synchronisierungsbereich enthalten ist und wieder abgeglichen werden kann.
LargeObject oder ExceededAllowedLength
In diesem Abschnitt werden LargeObject- oder ExceededAllowedLength-Fehler erläutert.
Beschreibung
Wenn ein Attribut die maximal zulässigen Grenzwerte für Größe, Länge oder Anzahl überschreitet, die durch das Microsoft Entra-Schema festgelegt sind, tritt beim Synchronisierungsvorgang der Synchronisierungsfehler „LargeObject“ oder „ExceededAllowedLength“ auf. In der Regel tritt dieser Fehler für die folgenden Attribute auf:
- userCertificate
- userSMIMECertificate
- thumbnailPhoto
- proxyAddresses
Microsoft Entra ID erzwingt keine Grenzwerte pro Attribut, mit Ausnahme eines hart codierten Grenzwerts von 15 Zertifikaten im userCertificate-Attribut und bis zu 100 Attributen für Verzeichniserweiterungen mit maximal 250 Zeichen je Verzeichniserweiterung. Es gibt eine Größenbeschränkung für das gesamte Objekt. Wenn Microsoft Entra Connect versucht, ein Objekt zu synchronisieren, das diese Größenbeschränkung überschreitet, wird ein Exportfehler ausgelöst.
Alle Attribute tragen zur endgültigen Größe des Objekts bei. Einige Attribute haben wegen des zusätzlichen Verarbeitungsaufwands unterschiedliche Gewichtungsmultiplikatoren. Ein Beispiel sind indizierte Werte. Darüber hinaus können dem Konto verschiedene Clouddienste, Dienstpläne und Lizenzen zugewiesen werden, die noch mehr Attribute nutzen und zur Gesamtgröße des Objekts beitragen.
Es ist nicht möglich, genau zu bestimmen, wie viele Einträge ein Attribut in Microsoft Entra ID enthalten kann, z. B. wie viele SMTP-Adressen in das Attribut proxyAddresses passen. Die Menge hängt von der Größe und den Multiplikationsfaktoren aller im Objekt enthaltenen Attribute ab.
Mögliche Szenarios
- Das userCertificate-Attribut von Bob speichert zu viele Zertifikate, die Bob zugewiesen wurden. Diese Zertifikate können ältere, abgelaufene Zertifikate umfassen. Die harte Grenze liegt bei 15 Zertifikaten. Weitere Informationen zum Beheben von LargeObject-Fehlern mit einem userCertificate-Attribut finden Sie unter Beheben von LargeObject-Fehlern, die auf das userCertificate-Attribut zurückzuführen sind.
- Das Attribut userSMIMECertificate von Bob speichert zu viele Zertifikate, die Bob zugewiesen sind. Diese Zertifikate können ältere, abgelaufene Zertifikate umfassen. Die harte Grenze liegt bei 15 Zertifikaten.
- Das Attribut thumbnailPhoto von Bob, das in Active Directory festgelegt ist, ist zu groß, um in Microsoft Entra ID synchronisiert zu werden.
- Während des automatischen Auffüllens des proxyAddresses-Attributs in Active Directory wurden einem Objekt zu viele proxyAddresses-Attribute zugewiesen.
Die folgenden Beispiele zeigen die unterschiedliche Gewichtung von Attributen wie userCertificate und proxyAddresses:
- Ein synchronisierter Benutzer, für den keine anderen Attribute als die obligatorischen Active Directory-Attribute ausgefüllt sind, und eine E-Mail kann möglicherweise bis zu 332 Proxyadressen synchronisieren.
- Für einen ähnlichen synchronisierten Benutzer, der ein mailNickName-Attribut und zusätzlich zehn Benutzerzertifikate aufweist, sinkt die maximale Anzahl der Proxyadressen auf 329.
- Wenn ein ähnlicher Benutzer mit zehn Benutzerzertifikaten und z. B. vier zugewiesenen Abonnements (mit allen aktivierten Diensten) synchronisiert wird, sinkt die maximale Anzahl der Proxyadressen auf 311.
- Nehmen wir jetzt den vorhergehenden Benutzer, der bereits die maximale Anzahl an Proxyadressen besitzt, und sagen wir, Sie müssen eine weitere SMTP-Adresse hinzufügen. Um 312 Proxyadressen zu erreichen, müssten Sie mindestens drei Benutzerzertifikate entfernen (abhängig von der Größe des Zertifikats).
Hinweis
Diese Zahlen können leicht variieren. Als Faustregel ist es sicherer, davon auszugehen, dass der Grenzwert für SMTP-Adressen im Attribut proxyAddresses ungefähr 300 Adressen beträgt, um Platz für künftiges Wachstum des Objekts und seiner aufgefüllten Attribute zu lassen.
Beheben des LargeObject- oder ExceededAllowedLength-Fehlers
Überprüfen Sie die Benutzereigenschaften, und entfernen Sie Attributwerte, die möglicherweise nicht mehr benötigt werden. Beispiele hierfür sind gesperrte oder abgelaufene Zertifikate und veraltete oder überflüssige Adressen wie SMTP, X.400, X.500, MSMail und CcMail.
Konflikt mit vorhandener Administratorrolle
BESCHREIBUNG
Ein Synchronisierungsfehler durch einen Konflikt mit vorhandener Administratorrolle tritt bei einem Benutzerobjekt während der Synchronisierung auf, wenn dieses Benutzerobjekt über Folgendes verfügt:
- Administratorrechte
- Dasselbe userPrincipalName-Attribut wie ein vorhandenes Microsoft Entra-Objekt.
Microsoft Entra Connect darf keinen Soft Match eines Benutzerobjekts aus dem lokalen AD mit einem Benutzerobjekt in Microsoft Entra ID vornehmen, dem eine Administratorrolle zugewiesen ist. Weitere Informationen finden Sie unter Auffüllung des userPrincipalName-Attributs in Microsoft Entra.
Beheben des Fehlers „Konflikt mit vorhandener Administratorrolle“
So beheben Sie dieses Problem:
- Entfernen Sie das Microsoft Entra-Konto (Besitzer) aus allen Administratorrollen.
- Führen Sie für das unter Quarantäne gestellte Objekt in der Cloud das endgültige Löschen durch.
- Beim nächsten Synchronisierungszyklus erfolgt ein Abgleich („Soft Matching“) des lokalen Benutzers mit dem Cloudkonto, weil der Cloudbenutzer kein Hybrididentitätsadministrator mehr ist.
- Stellen Sie die Rollenmitgliedschaften für den Besitzer wieder her.
Hinweis
Sie können die Administratorrolle dem vorhandenen Benutzerobjekt erneut zuweisen, nachdem der Soft Match zwischen dem lokalen Benutzerobjekt und dem Microsoft Entra-Benutzerobjekt abgeschlossen ist.