Freigeben über


Fehlermeldung "Größenbeschränkung überschritten – Fehlercode 0x4" während des Delta-Imports in Microsoft Entra Connect

In diesem Artikel wird erläutert, wie Sie die Fehlermeldung "Größenbeschränkung überschritten – Fehlercode 0x4" behandeln, die während des Delta-Importschritts aus einer lokales Active Directory in Microsoft Entra Connect auftritt.

Symptome

In der Synchronisierungsdienst-Manager-App schlagen die Delta-Importschritte aus dem lokales Active Directory Connector fehl. Im Dialogfeld "Verbindungsprotokoll " wird der Status "Verworfene Verbindung ", ein Fehler "Größenbeschränkung überschritten " und ein Fehlercode von 0x4 angezeigt:

Screenshot der Registerkarte

Im Anwendungsprotokoll wird die Fehlerereignis-ID 6050 aufgezeichnet, wie im folgenden Beispiel gezeigt:

Log Name:      Application
Source:        ADSync
Date:          5/12/2023 7:34:38 AM
Event ID:      6050
Task Category: Management Agent Run Profile
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      AADConnect.Contoso.com
Description:
The management agent "Contoso.com" failed on run profile "Delta Import" because of connectivity issues.
 
 Additional Information
 Discovery Errors       : "0"
 Synchronization Errors : "0"
 Metaverse Retry Errors : "0"
 Export Errors          : "0"
 Warnings               : "0"
 
 User Action
 View the management agent run history for details.

Ursache

Wenn Sie eine LDAP-Suche (Lightweight Directory Access Protocol) in microsoft Entra-ID durchführen, kann das Verzeichnis standardmäßig nicht mehr als 1.000 Datensätze zurückgeben. Im Sicherheitsentwurf ist dies das Standardverhalten von Active Directory. Das Limit von 1.000 Datensätzen soll einen verteilten Denial-of-Service(DDoS)-Angriff auf LDAP-Abfragen verhindern. Dieses Problem kann auftreten, wenn Sie kürzlich eine große Anzahl von Objekten gleichzeitig aus dem Active Directory-Papierkorb wiederhergestellt haben. Der Wiederherstellungsvorgang kann dazu führen, dass die Delta-Importabfrage den Datensatzgrenzwert überschreitet.

Lösung 1: Ausführen eines vollständigen Imports für den AD DS-Connector

Die einfachste Lösung für dieses Problem besteht darin, einen vollständigen Import (anstelle eines Delta-Imports) für den Active Directory-Domäne Services (AD DS)-Connector manuell auszuführen. Führen Sie folgende Schritte aus:

  1. Wählen Sie "Start" aus, und suchen Sie dann nach dem Synchronisierungsdienst-Manager, und wählen Sie dann "Synchronisierungsdienst-Manager" aus.

  2. Wählen Sie im Fenster "Synchronisierungsdienst-Manager " den Delta-Importschritt des lokalen AD-Connectors aus, der keine Verbindung herstellt. Suchen Sie nach dem Delta-Importschritt, der den Status " Angehaltene Konnektivität " anzeigt.

  3. Wählen Sie STRG+F5 aus, oder klicken Sie mit der rechten Maustaste auf Ihre Auswahl, und wählen Sie dann "Ausführen" aus.

  4. Wählen Sie im Dialogfeld "Connector ausführen" das Profil für die vollständige Importausführung aus, und wählen Sie dann "OK" aus.

Öffnen Sie nach Abschluss des vollständigen Imports eine PowerShell-Konsole, und führen Sie das Start-ADSyncSyncCycle Cmdlet aus, um einen normalen Delta-Synchronisierungszyklus zu starten. Dieser Vorgang wird in Microsoft Entra Connect Sync: Scheduler beschrieben.

Lösung 2: Vorübergehendes Erhöhen des Datensatzlimits

Wenn Sie keinen vollständigen Import für den AD DS-Connector ausführen möchten, können Sie ihre Konfiguration vorübergehend ändern, sodass eine LDAP-Suche während der Deltasynchronisierung eine größere Anzahl von Datensätzen zurückgeben kann.

Um das Limit von 1.000 Datensätzen zu erhöhen, erhöhen Sie die maximale Seitengröße (MaxPageSize), um die Anzahl der Objekte aufzunehmen, die der Delta-Importschritt zurückgibt. Wenn Sie beispielsweise eine Organisationseinheit (Organization Unit, OU) mit 5.000 Benutzern wiederhergestellt haben, empfehlen wir, dass Sie vorübergehend auf den Wert 5.000 erhöhen MaxPageSize . Stellen Sie dann nach der Behebung des Microsoft Entra Connect-Problems den Standardwert von 1.000 wieder her MaxPageSize .

Um die MaxPageSize Einstellung zu ändern, führen Sie den Befehl "Ntdsutil " aus, wie in der folgenden Prozedur gezeigt. Weitere Informationen finden MaxPageSizeSie unter LDAP-Verwaltungsgrenzwerte.

Wichtig

Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Schwerwiegende Probleme können auftreten, wenn Sie die Standard-AD-Konfiguration falsch ändern. Wenn das Problem behoben ist, können Sie die Standardwerte wiederherstellen.

  1. Wählen Sie "Start" aus, geben Sie die Eingabeaufforderung ein, und wählen Sie dann "Als Administrator ausführen" aus.

  2. Geben Sie an der Eingabeaufforderung die Eingabetaste ntdsutil ein, um eine Ntdsutil-Konsolensitzung zu starten.

  3. Befolgen Sie in der Ansicht und Festlegen der LDAP-Richtlinie in Active Directory mithilfe Ntdsutil.exe Artikels die Anweisungen im Abschnitt "Aktuelle Richtlinieneinstellungen anzeigen", um zu erfahren, was die Richtlinieneinstellungen derzeit sind.

  4. Um die maximale Seitengröße zu ändern, geben Sie die Zeichenfolge set MaxPageSize to <new-maximum-page-size-value>ein.

  5. Geben Sie die Eingabetaste commit changes ein, um den neuen Wert anzuwenden.

  6. Um die Ntdsutil-Sitzung zu beenden, geben Sie quit zweimal ein.

Nachdem Sie die Konfigurationsänderung vorgenommen haben, öffnen Sie eine PowerShell-Konsole, und führen Sie das Start-ADSyncSyncCycle Cmdlet aus, um einen normalen Delta-Synchronisierungszyklus zu starten. Dieser Vorgang wird in Microsoft Entra Connect Sync: Scheduler beschrieben. Jetzt gibt Active Directory eine größere Anzahl von Datensätzen zurück, und es sollte in der Lage sein, die vollständige Delta-Antwort auf Microsoft Entra Connect bereitzustellen.

Wiederholen Sie nach erfolgreichem Abschluss der Delta-Synchronisierung die Prozedur, um die MaxPageSize Einstellung auf den ursprünglichen Wert (1.000) wiederherzustellen.

References

LDAP-Richtlinien

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.