Compartir por


Descripción de errores durante la sincronización de Microsoft Entra

Pueden producirse errores cuando se sincronizan datos de identidad de Windows Server Active Directory con Microsoft Entra ID. En este artículo se proporciona información general sobre los distintos tipos de errores de sincronización, algunos de los posibles escenarios que provocan dichos errores y las posibles maneras de corregirlos. También se incluyen tipos de errores frecuentes, pero puede que no cubra todos los posibles errores.

En este artículo se da por supuesto que está familiarizado con los conceptos de diseño subyacentes de Microsoft Entra ID y Microsoft Entra Connect.

Importante

Este artículo intenta abordar los errores de sincronización más comunes. Desafortunadamente, no es posible abarcar todos los escenarios en un documento. Para obtener más información, como los pasos para solucionar problemas en profundidad, consulte Solución de problemas de un extremo a otro de objetos y atributos de Microsoft Entra Connect y la sección Aprovisionamiento y sincronización de usuarios en la documentación de solución de problemas de Microsoft Entra.

Con la versión más reciente de Microsoft Entra Connect (agosto de 2016 o posterior), hay un informe de errores de sincronización disponible en el Centro de administración de Microsoft Entra como parte de Microsoft Entra Connect Health para la sincronización.

A partir del 1 de septiembre de 2016, la resistencia de atributos duplicados de Microsoft Entra está habilitada de manera predeterminada para todos los inquilinos nuevos de Microsoft Entra. Esta característica se habilita automáticamente para los inquilinos existentes.

Microsoft Entra Connect realiza tres tipos de operaciones desde los directorios que sincroniza: importación, sincronización y exportación. Los errores pueden producirse en las tres operaciones. Este artículo se centra principalmente en los errores que se producen durante la exportación a Microsoft Entra ID.

Errores durante la exportación a Microsoft Entra ID

La siguiente sección describe los distintos tipos de errores de sincronización que pueden producirse durante la operación de exportación a Microsoft Entra ID mediante el conector de Microsoft Entra. Puede identificar este conector por el formato de nombre contoso.onmicrosoft.com. Los errores durante la exportación a Microsoft Entra ID indican que se produjo un error en una operación como agregar, actualizar o eliminar intentada por Microsoft Entra Connect (motor de sincronización) en Microsoft Entra ID.

Diagrama que muestra el resumen de los errores de exportación.

Errores de coincidencia de datos

En esta sección se abordan los errores de coincidencia de datos.

InvalidHardMatch

Descripción

Se produce un error InvalidHardMatch durante la sincronización cuando hay un intento de coincidencia exacta de objetos presentes en Microsoft Entra ID con un nuevo objeto entrante que tenga el mismo valor sourceAnchor, pero la característica BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitada en el inquilino.

Escenarios de ejemplo de un error de InvalidHardMatch

  • DirSync se vuelve a habilitar en el inquilino y los objetos con el mismo sourceAnchor se vuelven a sincronizar, pero la característica BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitada y evita que se produzca la coincidencia exacta.
  • El usuario se excluyó del ámbito de sincronización y se restauró de la papelera de reciclaje de Microsoft Entra ID. Más adelante, el usuario se vuelve a agregar al ámbito de sincronización e intenta asumir el objeto que ya está presente en Microsoft Entra ID en función del mismo valor sourceAnchor, pero la característica BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitada y evita que se produzca la coincidencia exacta.

Caso de ejemplo

  1. Bob Smith es un usuario sincronizado en Microsoft Entra ID desde el entorno de Active Directory local de contoso.com.
  2. Por defecto, el valor SourceAnchor de "abcdefghijklmnopqrstuv==" es calculado por Microsoft Entra Connect usando el atributo MsDs-ConsistencyGUID de Bob Smith (u ObjectGUID dependiendo de la configuración) de Active Directory local. Este valor de atributo es el immutableId para Bob Smith en Microsoft Entra ID.
  3. El administrador quita Bob Smith del ámbito de sincronización y Microsoft Entra Connect exporta una eliminación del objeto.
  4. El objeto de Bob Smith se elimina temporalmente en Microsoft Entra ID y su atributo DirSyncEnabled se cambia a False. Sin embargo, este proceso no convierte el objeto en administrado en la nube, sino que todavía se considera un objeto sincronizado desde Active Directory local. El valor de DirSyncEnabled es False para indicar que está actualmente fuera del ámbito de sincronización y que está disponible para volver a coincidir.
  5. El administrador vuelve a agregar Bob Smith al ámbito de sincronización y Microsoft Entra Connect vuelve a sincronizar el objeto.
  6. Normalmente, una coincidencia exacta toma el objeto presente en Microsoft Entra ID basado en el mismo SourceAnchor y cambia el atributo DirSyncEnabled a "True", sin embargo, cuando BlockCloudObjectTakeoverThroughHardMatchEnabled está habilitado, esta operación no se permite y se produce un InvalidHardMatch.

Corregir el error InvalidHardMatch

Recomendamos a los clientes que habiliten BlockCloudObjectTakeoverThroughHardMatchEnabled a menos que lo necesiten para asumir cuentas existentes en Microsoft Entra ID.

Si necesita borrar un error de InvalidHardtMatch y hacer coincidir la cuenta correctamente, puede habilitar la coincidencia exacta de nuevo como se describe en Coincidencia exacta frente a coincidencia parcial.

InvalidSoftMatch

Descripción

  • El error InvalidSoftMatch se produce cuando la coincidencia exacta no encuentra ningún objeto coincidente y la coincidencia parcial encuentra un objeto coincidente, pero ese objeto tiene un valor immutableId diferente al del atributo sourceAnchor del objeto entrante. Este error de coincidencia sugiere que el objeto coincidente se sincronizó desde otro objeto de Active Directory local.

Para que la coincidencia parcial funcione, el objeto con el que va a coincidir no debe tener ningún valor en el atributo immutableId. La operación produce un error de sincronización InvalidSoftMatch cuando el objeto cuyo atributo immutableId tiene un valor, genera errores de coincidencia exacta, pero satisface los criterios de coincidencia parcial.

El esquema de Microsoft Entra no permite que dos o más objetos tengan el mismo valor en los atributos siguientes. Esta lista no es exhaustiva:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

La resistencia de atributos duplicados de Microsoft Entra](how-to-connect-syncservice-duplicate-attribute-resiliency.md) también se está implementando como comportamiento predeterminado de Microsoft Entra ID. Esta característica reduce el número de errores de sincronización detectados por Microsoft Entra Connect y otros clientes de sincronización. Hace que Microsoft Entra sea más resistente en la forma en que controla los atributos proxyAddresses y userPrincipalName duplicados presentes en entornos locales de Microsoft Entra.

Esta característica no corrige los errores de duplicación, por lo que es necesario corregir los datos. Pero permite el aprovisionamiento de nuevos objetos que, de lo contrario, no se aprovisionarían debido a la existencia de valores duplicados en Microsoft Entra ID. Esta capacidad también reduce el número de errores de sincronización que se devuelven al cliente de sincronización.

Nota:

Si la resistencia de atributos duplicados de Microsoft Entra está habilitada para el inquilino, no verá los errores de sincronización InvalidSoftMatch detectados durante el aprovisionamiento de nuevos objetos.

Escenarios de ejemplo de un error de InvalidSoftMatch

  • Existen dos o más objetos cuyo atributo proxyAddresses tiene el mismo valor en el entorno de Active Directory local. Solo se aprovisiona uno en Microsoft Entra ID.
  • Existen dos o más objetos cuyo atributo userPrincipalName tiene el mismo valor en el entorno de Active Directory local. Solo se aprovisiona uno en Microsoft Entra ID.
  • Se agregó un objeto al entorno de Active Directory local en el que el atributo proxyAddresses tiene el mismo valor que el de un objeto existente en Microsoft Entra ID. El objeto agregado de forma local no se aprovisiona en Microsoft Entra ID.
  • Se agregó un objeto al entorno de Active Directory local en el que el atributo userPrincipalName tiene el mismo valor que el de una cuenta de Microsoft Entra ID. El objeto no se aprovisiona en Microsoft Entra ID.
  • Una cuenta sincronizada se ha trasladado de un bosque A a un bosque B. Microsoft Entra Connect (motor de sincronización) usaba el atributo objectGUID para calcular el valor del atributo sourceAnchor. Después de trasladarse de bosque, el valor del atributo sourceAnchor es distinto. El nuevo objeto del bosque B no se puede sincronizar con el objeto existente en Microsoft Entra ID.
  • Un objeto sincronizado se eliminó accidentalmente del entorno de Active Directory local y en Active Directory se creó un objeto nuevo para la misma entidad (por ejemplo, un usuario) sin eliminar la cuenta en Microsoft Entra ID. La cuenta nueva no puede sincronizarse con el objeto existente de Microsoft Entra.
  • Microsoft Entra Connect se desinstaló y reinstaló. Durante la reinstalación, se eligió un atributo diferente como valor de sourceAnchor. Todos los objetos sincronizados previamente dejan de sincronizarse con el error InvalidSoftMatch.

Caso de ejemplo

  1. Bob Smith es un usuario sincronizado en Microsoft Entra ID desde el entorno de Active Directory local de contoso.com.
  2. El nombre principal de usuario de Bob Smith se establece como bobs@contoso.com.
  3. El atributo sourceAnchor de "abcdefghijklmnopqrstuv==" se calcula mediante Microsoft Entra Connect con el uso del atributo objectGUID de Bob Smith de Active Directory local. Este atributo es el atributo immutableId para Bob Smith en Microsoft Entra ID.
  4. Bob también tiene los siguientes valores en el atributo proxyAddresses:
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com
  5. Un usuario nuevo, Bob Taylor, se agrega al entorno de Active Directory local.
  6. El nombre principal de usuario de Bob Taylor se establece como bobt@contoso.com.
  7. El atributo sourceAnchor de "abcdefghijkl0123456789==" se calcula mediante Microsoft Entra Connect con el uso del atributo objectGUID de Bob Taylor de Active Directory local.
  8. Bob Taylor tiene los siguientes valores en el atributo proxyAddresses:
    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
    • smtp: bob@contoso.com
  9. Durante la sincronización, Microsoft Entra Connect reconoce la incorporación de Bob Taylor al entorno de Active Directory local y pide a Microsoft Entra ID que realice el mismo cambio.
  10. Microsoft Entra primero realiza una coincidencia exacta. Es decir, busca cualquier objeto cuyo atributo immutableId sea igual a "abcdefghijkl0123456789==". Se produce un error en la coincidencia exacta porque ningún otro objeto de Microsoft Entra ID tiene ese atributo immutableId.
  11. Microsoft Entra ID realiza luego una coincidencia parcial para encontrar a Bob Taylor. Es decir, intenta encontrar algún objeto con atributos proxyAddresses iguales a los tres valores, incluido smtp: bob@contoso.com.
  12. Microsoft Entra ID encuentra el objeto de Bob Smith que coincide con los criterios de coincidencia parcial. Pero este objeto tiene el valor de immutableId = "abcdefghijklmnopqrstuv==", que indica que este objeto se sincronizó desde otro objeto de Active Directory local. Microsoft Entra ID no puede hacer coincidir parcialmente estos objetos, por lo que se produce un error de sincronización InvalidSoftMatch.

Corrección del error InvalidSoftMatch

El motivo más común que provoca el error InvalidSoftMatch es cuando dos objetos con diferentes atributos sourceAnchor (immutableId) tienen el mismo valor en los atributos ProxyAddresses o userPrincipalName, que se utilizan en el proceso de coincidencia parcial en Microsoft Entra ID. Para corregir el error InvalidSoftMatch:

  1. Identifique los valores duplicados de proxyAddresses, userPrincipalName o de cualquier otro atributo que provocan el error. Identifique también qué dos o más objetos están implicados en el conflicto. El informe que genera Microsoft Entra Connect Health para la sincronización puede ayudarle a identificar los dos objetos.
  2. Identifique qué objeto debe tener el valor duplicado y cuál no.
  3. Quite el valor duplicado del objeto que no debería tenerlo. Realice el cambio en el directorio del que procede el objeto. En algunos casos, es posible que sea preciso eliminar uno de los objetos en conflicto.
  4. Si el cambio lo ha realizado en el entorno de Active Directory local, deje que Microsoft Entra Connect lo sincronice.

El informe de errores de sincronización de Microsoft Entra Connect Health para la sincronización se actualiza cada 30 minutos e incluye los errores del último intento de sincronización.

Nota:

El atributo ImmutableId, por definición, no debe cambiar en la duración del objeto. Pero puede que Microsoft Entra Connect no se configurara teniendo en cuenta algunos de los escenarios de la lista anterior. En ese caso, Microsoft Entra Connect podría calcular un valor diferente del atributo sourceAnchor para el objeto de Active Directory que representa la misma entidad (mismo usuario, grupo o contacto) que tiene un objeto de Microsoft Entra existente que desea seguir usando.

Artículo relacionado

Los atributos duplicados o no válidos impiden la sincronización de directorios en Microsoft 365

ObjectTypeMismatch

Descripción

Cuando Microsoft Entra ID intenta realizar una coincidencia parcial de dos objetos, es posible que dos objetos de diferentes "tipo de objeto", como usuario, grupo o contacto, tengan los mismos valores en los atributos que se utilizan para realizar la coincidencia parcial. Dado que no se permite la duplicación de estos atributos en Microsoft Entra ID, la operación puede provocar un error de sincronización ObjectTypeMismatch.

Escenario de ejemplo del error ObjectTypeMismatch

Se crea un grupo de seguridad habilitado para correo en Microsoft 365. El administrador agrega un nuevo usuario o contacto en el entorno de Active Directory local que aún no se ha sincronizado con Microsoft Entra ID con el mismo valor en el atributo proxyAddresses que el del grupo de Microsoft 365.

Caso de ejemplo

  1. Un administrador crea un nuevo grupo de seguridad habilitado para correo en Microsoft 365 para el departamento de fiscalidad y proporciona una dirección de correo electrónico como tax@contoso.com. A este grupo se le asigna el valor del atributo proxyAddresses de smtp: tax@contoso.com.
  2. Un usuario nuevo se incorpora a Contoso.com y se crea una cuenta para él en el entorno local con el atributo proxyAddress como smtp: tax@contoso.com.
  3. Cuando Microsoft Entra Connect sincroniza la nueva cuenta de usuario, aparece el error ObjectTypeMismatch.

Corrección del error ObjectTypeMismatch

El motivo más común por el que aparece el error ObjectTypeMismatch es que dos objetos de tipo diferente, como usuario, grupo o contacto, tienen el mismo valor para el atributo proxyAddresses. Para corregir el error ObjectTypeMismatch:

  1. Identifique los valores duplicados de proxyAddresses (o de cualquier otro atributo) que provocan el error. Identifique también qué dos o más objetos están implicados en el conflicto. El informe que genera Microsoft Entra Connect Health para la sincronización puede ayudarle a identificar los dos objetos.
  2. Identifique qué objeto debe tener el valor duplicado y cuál no.
  3. Quite el valor duplicado del objeto que no debería tenerlo. Realice el cambio en el directorio del que procede el objeto. En algunos casos, es posible que sea preciso eliminar uno de los objetos en conflicto.
  4. Si realizó el cambio en AD local, deje que Microsoft Entra Connect sincronice el cambio. El informe de errores de sincronización de Microsoft Entra Connect Health para la sincronización se actualiza cada 30 minutos. El informe describe los errores del último intento de sincronización.

Atributos duplicados

En esta sección se abordan los errores de atributos duplicados.

AttributeValueMustBeUnique

Descripción

El esquema de Microsoft Entra no permite que dos o más objetos tengan el mismo valor en los atributos siguientes. Cada objeto de Microsoft Entra ID debe tener un valor único en estos atributos en una instancia determinada:

  • mail
  • proxyAddresses
  • signInName
  • userPrincipalName

Si Microsoft Entra Connect intenta agregar un objeto nuevo o actualizar un objeto existente con un valor para los atributos anteriores que ya está asignado a otro objeto en Microsoft Entra ID, la operación producirá el error de sincronización AttributeValueMustBeUnique.

Posible escenario

El valor duplicado se asigna a un objeto ya sincronizado, que entra en conflicto con otro objeto sincronizado.

Caso de ejemplo

  1. Bob Smith es un usuario sincronizado en Microsoft Entra ID desde el entorno de Active Directory local de contoso.com.
  2. El nombre principal de usuario local de Bob Smith se establece como bobs@contoso.com.
  3. Bob también tiene los siguientes valores en el atributo proxyAddresses:
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com
  4. Un usuario nuevo, Bob Taylor, se agrega al entorno de Active Directory local.
  5. El nombre principal de usuario de Bob Taylor se establece como bobt@contoso.com.
  6. Bob Taylor tiene los siguientes valores en el atributo proxyAddresses:
    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
  7. El objeto de Bob Taylor se sincroniza correctamente con Microsoft Entra ID.
  8. El administrador ha decidido actualizar el atributo proxyAddresses de Bob Taylor con el siguiente valor:
    • smtp: bob@contoso.com
  9. Microsoft Entra ID intenta actualizar el objeto de Bob Taylor en Microsoft Entra ID con el valor anterior, pero se produce un error en esa operación porque ese valor proxyAddresses ya está asignado a Bob Smith. El resultado es un error AttributeValueMustBeUnique.

Corrección del error AttributeValueMustBeUnique

El motivo más común por el que se aparece el error AttributeValueMustBeUnique es que dos objetos con diferentes atributos sourceAnchor (immutableId) tienen el mismo valor en los atributos proxyAddresses o userPrincipalName. Para corregir el error AttributeValueMustBeUnique:

  1. Identifique los valores duplicados de proxyAddresses, userPrincipalName o de cualquier otro atributo que provocan el error. Identifique también qué dos o más objetos están implicados en el conflicto. El informe que genera Microsoft Entra Connect Health para la sincronización puede ayudarle a identificar los dos objetos.
  2. Identifique qué objeto debe tener el valor duplicado y cuál no.
  3. Quite el valor duplicado del objeto que no debería tenerlo. Realice el cambio en el directorio del que procede el objeto. En algunos casos, es posible que sea preciso eliminar uno de los objetos en conflicto.
  4. Si el cambio lo ha realizado en el entorno de Active Directory local, deje que Microsoft Entra Connect lo sincronice, ya que así se corregirá el error.

Artículo relacionado

Los atributos duplicados o no válidos impiden la sincronización de directorios en Microsoft 365

Errores de validación de datos

En esta sección se abordan los errores de validación de datos.

IdentityDataValidationFailed

Descripción

Microsoft Entra ID aplica varias restricciones a los datos antes de permitir que se escriban en el directorio. Estas restricciones garantizan que los usuarios finales obtienen la mejor experiencia posible al usar las aplicaciones que dependen de dichos datos.

Escenarios

  • El valor del atributo userPrincipalName tiene caracteres no válidos o no compatibles.
  • El atributo userPrincipalName no sigue el formato requerido.

El resultado de los escenarios anteriores es un error IdentityDataValidationFailed.

Corrección del error IdentityDataValidationFailed

Asegúrese de que el atributo userPrincipalName tiene caracteres compatibles y el formato requerido.

Artículo relacionado

Preparación del aprovisionamiento de usuarios a Microsoft 365 mediante la sincronización de directorios

Errores de infracción de acceso de eliminación y de contraseña

Microsoft Entra ID protege a los objetos solo en la nube de actualizarse a través de Microsoft Entra Connect. Aunque no es posible actualizar estos objetos a través de Microsoft Entra Connect, las llamadas se pueden realizar directamente al back-end de Microsoft Entra para intentar cambiar objetos solo en la nube. Al hacerlo, se pueden devolver los siguientes errores:

  • Esta operación de sincronización, Eliminar, no es válida. Póngase en contacto con el soporte técnico (tipo de error 114).
  • No se puede procesar esta actualización porque en la solicitud actual solo se incluye la actualización de credenciales de uno o varios usuarios exclusivos de la nube.
  • No se admite la eliminación de un objeto exclusivo de la nube. Póngase en contacto con el servicio de atención al cliente de Microsoft.
  • La solicitud de cambio de contraseña no se puede ejecutar porque contiene cambios en uno o varios objetos de usuario exclusivos de la nube que no se admiten. Póngase en contacto con el servicio de atención al cliente de Microsoft.

Resolver DeletingCloudOnlyObjectNotAllowed (tipo de error 114)

En esta sección se describen las posibles causas y soluciones para resolver el error EliminarCloudOnlyObjectNotAllowed (tipo de error 114).

Microsoft recomienda que las organizaciones tengan dos cuentas de acceso de emergencia de solo nube con el rol de administrador global asignado permanentemente. Estas cuentas tienen privilegios elevados y no se asignan a usuarios específicos. Las cuentas se limitan a escenarios de emergencia o de "romper el vidrio" en los que las cuentas normales no se pueden usar o todos los demás administradores se bloquean accidentalmente. Estas cuentas deben crearse siguiendo las recomendaciones de cuentas de acceso de emergencia.

Descripción

Este es un escenario en el que un cliente quiere migrar de híbrido a solo en la nube. El administrador inicia una llamada a Microsoft Entra Connect para intentar mover usuarios fuera del ámbito, pero Microsoft Entra Connect devuelve el error DeletingCloudOnlyObjectNotAllowed (o tipo de error 114): "Esta operación de sincronización, Eliminar, no es válida. Póngase en contacto con el soporte técnico”.

Las causas posibles de este error son:

  • La llamada de Microsoft Entra Connect no tiene ningún UPN, un GUID nuevo o único u otra información necesaria.
  • Microsoft Entra Connect está intentando exportar datos, pero tiene DirSyncEnabled establecido en False.
  • Microsoft Entra Connect está intentando eliminar un usuario restaurado u otro objeto. Esto suele deberse a que un usuario u otra referencia de objeto se ha movido fuera del ámbito de sincronización o al contenedor Perdido y encontrado.

Escenarios posibles

El cliente de Microsoft Entra Connect no puede eliminar usuarios durante la migración solo de la nube híbrida, lo que da como resultado el tipo de error 114.

Entre las posibles razones para que los usuarios no se eliminen se incluyen:

  • La regla creada por el cliente para mover usuarios fuera del ámbito se basa en el atributo Admin.
  • Se devuelve el tipo de error 114 durante la operación de sincronización (Sincronización de Azure AD), lo que provoca un error al eliminar usuarios.
  • Se produce un error en la sincronización de características específicas, lo que provoca que no se eliminen los usuarios correspondientes.

Ejemplo de error

Ejemplo del error de exportación:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Corregir el error

Para solucionar este problema:

  1. Identifique la referencia del objeto de problema.
  2. Use PowerShell para eliminar temporalmente la cuenta en la nube:
  3. Ejecute Start-ADSyncSyncCycle -PolicyType Delta, que debe importar correctamente la eliminación de la cuenta.
  4. Confirme que la eliminación se realizó correctamente.
  5. Restaure el usuario desde la Papelera de reciclaje.
  6. Ejecute Start-ADSyncSyncCycle -PolicyType Delta en el servidor para confirmar que el error no se produce de nuevo.

Advertencia

Cuando un usuario se excluye del ámbito de sincronización, el objeto se elimina temporalmente en Microsoft Entra ID y su atributo DirSyncEnabled se cambia a False. Sin embargo, este proceso no convierte el objeto en administrado en la nube, ya que todavía contiene atributos y valores sincronizados desde Active Directory local que no se pueden administrar en la nube. El valor de DirSyncEnabled es False para indicar que está actualmente fuera del ámbito de sincronización y que está disponible para volver a coincidir.

LargeObject o ExceededAllowedLength

En esta sección se abordan los errores LargeObject o ExceededAllowedLength.

Descripción

Cuando un atributo supera los límites de tamaño, longitud o número permitidos establecidos por el esquema de Microsoft Entra, la operación de sincronización provoca que aparezcan los errores de sincronización LargeObject o ExceededAllowedLength. Normalmente, este error se produce para los siguientes atributos:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Microsoft Entra ID no impone límites por atributo, excepto un límite codificado de forma rígida de 15 certificados en el atributo userCertificate y hasta 100 atributos para las extensiones de directorio, con un máximo de 250 caracteres para cada extensión de directorio. Hay un límite de tamaño para todo el objeto. Cuando Microsoft Entra Connect intenta sincronizar un objeto que supera este límite de tamaño de objeto, se produce un error de exportación.

Todos los atributos contribuyen al tamaño final del objeto. Algunos atributos tienen multiplicadores de peso diferentes debido a una sobrecarga de procesamiento adicional. Un ejemplo son los valores indexados. También se pueden asignar diferentes servicios en la nube, planes de servicio y licencias a la cuenta, lo que consume aún más atributos y contribuyen al tamaño general del objeto.

No es posible determinar exactamente cuántas entradas puede contener un atributo en Microsoft Entra ID, por ejemplo, cuántas direcciones SMTP pueden caber en el atributo proxyAddresses. La cantidad depende del tamaño y de los factores de multiplicación de todos los atributos rellenados en el objeto.

Escenarios posibles

  • El atributo userCertificate de Bob almacena demasiados certificados asignados a Bob. Entre ellos puede haber certificados antiguos que hayan expirado. El límite máximo es de 15 certificados. Para más información sobre cómo controlar los errores LargeObject con atributo userCertificate, consulte el artículo Control de errores LargeObject causados por el atributo userCertificate.
  • El atributo userSMIMECertificate de Bob almacena demasiados certificados asignados a Bob. Entre ellos puede haber certificados antiguos que hayan expirado. El límite máximo es de 15 certificados.
  • El atributo thumbnailPhoto de Bob establecido en Active Directory es demasiado grande para sincronizarse en Microsoft Entra ID.
  • Durante el rellenado automático del atributo proxyAddresses de Active Directory, un objeto tiene demasiados atributos proxyAddresses asignados.

A continuación, encontrará algunos ejemplos que muestran los distintos pesos de atributos como userCertificate y proxyAddresses:

  • Un usuario sincronizado que solo tiene rellenados los atributos obligatorios de Active Directory y correo puede sincronizar hasta 332 atributos proxyAddresses.
  • Sin embargo, en el caso de un usuario sincronizado similar que tenga un atributo mailNickname, más 10 atributos userCertificates, el número máximo de atributos proxyAddresses disminuye a 329.
  • En el caso de un usuario sincronizado similar con 10 atributos userCertificates, y por ejemplo, 4 suscripciones asignadas (con todos los planes de servicio habilitados), el número máximo de proxyAddresses disminuye a 311.
  • Ahora vamos a tomar el usuario anterior, que ya contiene el número máximo de proxyAddresses, y supongamos que necesita agregar otra dirección SMTP. Para lograr 312 proxyAddresses, debería quitar al menos tres userCertificates (según el tamaño del certificado).

Nota

Estos números pueden variar ligeramente. Como regla general, es más seguro suponer que el límite de direcciones SMTP en el atributo proxyAddresses es, aproximadamente, 300, ya que así queda espacio para el crecimiento futuro del objeto y sus atributos rellenados.

Corrección del error LargeObject o ExceededAllowedLength

Revise las propiedades del usuario y quite los valores de atributo que ya no sean necesarios. Por ejemplo, certificados revocados o expirados y direcciones obsoletas o innecesarias, como SMTP, X.400, X.500, MSMail y CcMail.

Conflicto de rol de administrador existente

Descripción

Se producirá un error de sincronización de conflicto de rol de administrador existente en un objeto de usuario durante la sincronización cuando ese objeto de usuario tenga:

  • Permisos administrativos.
  • El mismo atributo userPrincipalName que un objeto existente de Microsoft Entra.

Microsoft Entra Connect no puede hacer coincidir parcialmente un objeto de usuario de AD local con un objeto de usuario de Microsoft Entra ID que tenga un rol administrativo asignado. Para obtener más información, consulte Rellenado de UserPrincipalName de Microsoft Entra.

Captura de pantalla que muestra el número de errores de sincronización de Conflicto de rol de administrador existente.

Corrección del error de conflicto de rol de administrador existente

Para solucionar este problema:

  1. Quite la cuenta de Microsoft Entra (propietario) de todos los roles de administrador.
  2. Elimine de forma rígida el objeto en cuarentena en la nube.
  3. El siguiente ciclo de sincronización se encargará de realizar una coincidencia parcial entre el usuario en el entorno local y la cuenta en la nube porque el usuario en la nube ya no es administrador de identidad híbrida.
  4. Restaure las pertenencias a roles para el propietario.

Nota:

Puede volver a asignar el rol administrativo al objeto de usuario existente después de que la coincidencia parcial entre el objeto de usuario local y el objeto de usuario de Microsoft Entra haya terminado.