Share via

A Microsoft Entra szinkronizálás során fellépő hibák megértése

  • Cikk

Hibák léphetnek fel, ha az identitásadatok szinkronizálódnak a Windows Server Active Directoryból a Microsoft Entra-azonosítóba. Ez a cikk áttekintést nyújt a szinkronizálási hibák különböző típusairól, a hibákat kiváltó lehetséges forgatókönyvekről és a hibák javításának lehetséges módjairól. Ez a cikk gyakori hibatípusokat tartalmaz, és nem feltétlenül fedi le az összes lehetséges hibát.

Ez a cikk feltételezi, hogy ismeri a Microsoft Entra ID és a Microsoft Entra Csatlakozás alapfogalmait.

Fontos

Ez a cikk a leggyakoribb szinkronizálási hibákat próbálja elhárítani. Sajnos egy dokumentum minden forgatókönyvét nem lehet lefedni. További információkért, beleértve a részletes hibaelhárítási lépéseket, tekintse meg a Microsoft Entra Csatlakozás objektumok és attribútumok végpontok közötti hibaelhárítását, valamint a Microsoft Entra hibaelhárítási dokumentációjának Felhasználói kiépítés és szinkronizálás szakaszát.

A Microsoft Entra Csatlakozás legújabb (2016. augusztusi vagy újabb) verziójával szinkronizálási hibákról szóló jelentés érhető el a Microsoft Entra felügyeleti központban a Microsoft Entra Csatlakozás Health for sync részeként.

2016. szeptember 1-től a Microsoft Entra ID duplikált attribútumainak rugalmassága alapértelmezés szerint engedélyezve van az összes új Microsoft Entra-bérlő esetében. Ez a funkció automatikusan engedélyezve van a meglévő bérlők számára.

A Microsoft Entra Csatlakozás háromféle műveletet hajt végre a szinkronizált könyvtárakból: Importálás, Szinkronizálás és Exportálás. Mindhárom műveletben előfordulhatnak hibák. Ez a cikk elsősorban a Microsoft Entra-azonosítóba való exportálás során előforduló hibákra összpontosít.

Hibák a Microsoft Entra-azonosítóba való exportálás során

A következő szakasz a Microsoft Entra-összekötő használatával a Microsoft Entra-azonosítóba való exportálás során előforduló különböző szinkronizálási hibákat ismerteti. Ezt az összekötőt a contoso névformátummal azonosíthatja.onmicrosoft.com. A Microsoft Entra-azonosítóba való exportálás során jelentkező hibák azt jelzik, hogy a Microsoft Entra Csatlakozás (szinkronizálási motor) által a Microsoft Entra ID-n végrehajtott hozzáadási, frissítési vagy törlési kísérlet meghiúsult.

Az exportálási hibák áttekintését bemutató diagram.

Adateltérési hibák

Ez a szakasz az adateltérési hibákat ismerteti.

InvalidHardMatch

Leírás

InvalidHardMatch hiba lép fel a szinkronizálás során, ha a Microsoft Entra ID azonosítójában található objektumok egy új bejövő objektummal való egyeztetésére irányuló kísérlet történik, amely ugyanazzal a sourceAnchor értékkel rendelkezik, de a BlockCloudObjectTakeoverThroughHardMatchEnabled funkció engedélyezve van a bérlőn.

Példaforgatókönyvek InvalidHardMatch-hiba esetén

  • A DirSync újra engedélyezve van a bérlőn, és az azonos forrással rendelkező objektumok újra szinkronizálódnak, de a BlockCloudObjectTakeoverThroughHardMatchEnabled funkció engedélyezve van, és megakadályozza a kemény egyezést.
  • A felhasználót kizárták a szinkronizálási hatókörből, és visszaállították a Microsoft Entra-azonosító lomtárából. Később a rendszer újra hozzáadja a felhasználót a szinkronizálási hatókörhöz, és megpróbálja átvenni a Microsoft Entra-azonosítóban már meglévő objektumot ugyanazon forrásAnchor érték alapján, azonban a BlockCloudObjectTakeoverThroughHardMatchEnabled funkció engedélyezve van, és megakadályozza a kemény egyezést.

Példa eset

  1. Bob Smith egy szinkronizált felhasználó a Microsoft Entra ID-ben a contoso.com helyi Active Directoryból.
  2. Alapértelmezés szerint az "abcdefghijklmnopqrstuv==" SourceAnchor értékét a Microsoft Entra Csatlakozás számítja ki Bob Smith MsDs-ConsistencyGUID attribútumával (vagy a konfigurációtól függően objectGUID-vel) helyi Active Directory. Ez az attribútumérték Bob Smith nem módosítható azonosítója a Microsoft Entra ID-ban.
  3. Rendszergazda eltávolítja Bob Smitht a szinkronizálási hatókörből, és a Microsoft Entra Csatlakozás exportálja az objektum törlését.
  4. Bob Smith objektuma helyreállíthatóan törlődik a Microsoft Entra-azonosítóban, és a DirSyncEnabled attribútuma False (Hamis) értékre vált. Ez a folyamat azonban nem konvertálja az objektumot felügyelt felhőbe, továbbra is a helyi Active Directory szinkronizált objektumnak számít. A DirSyncEnabled értéke Hamis, amely azt jelzi, hogy jelenleg nincs szinkronizálási hatókörben, és ismét elérhető az egyeztetéshez.
  5. Rendszergazda újra hozzáadja Bob Smitht a szinkronizálási hatókörhöz, és a Microsoft Entra Csatlakozás újra szinkronizálja az objektumot.
  6. Általában egy kemény egyezés veszi át a Microsoft Entra-azonosítóban található objektumot ugyanazon SourceAnchor alapján, és a DirSyncEnabled attribútumot visszakapcsol a "True" értékre, azonban ha a BlockCloudObjectTakeoverThroughHardMatchEnabled engedélyezve van, ez a művelet nem engedélyezett, és érvénytelenHardMatch lesz dobva.

Az InvalidHardMatch hiba javítása

Azt javasoljuk az ügyfeleknek, hogy engedélyezhessék a BlockCloudObjectTakeoverThroughHardMatchEnabled szolgáltatást, kivéve, ha szükségük van rá, hogy átvehessék a meglévő fiókokat a Microsoft Entra-azonosítóban.

Ha törölnie kell egy InvalidHardtMatch hibát, és sikeresen meg kell egyeznie a fiókkal, újra engedélyezheti a kemény egyezést a Hard-match és a Soft-match leírásának megfelelően.

InvalidSoftMatch

Leírás

  • Az InvalidSoftMatch hiba akkor fordul elő, ha a kemény egyezés nem talál egyező objektumot, és a helyreállítható egyezés megkeres egy egyező objektumot, de az objektum eltérő immutableId értékkel rendelkezik, mint a bejövő objektum sourceAnchor értéke. Ez az eltérés arra utal, hogy az egyező objektum szinkronizálva lett egy másik objektumból helyi Active Directory.

Ahhoz, hogy a helyreállítható egyezés működjön, a helyreállíthatóan egyeztetendő objektumnak nem szabad értéket adni az immutableId attribútumhoz. A művelet InvalidSoftMatch szinkronizálási hibát eredményez, ha az immutableId attribútummal rendelkező objektum értéke nem felel meg a kemény egyezésnek, de megfelel a helyreállítható egyezés feltételeinek.

A Microsoft Entra-séma nem engedi, hogy két vagy több objektum esetében megegyezzen a következő attribútumok értéke. Ez a lista nem teljes:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

A Microsoft Entra attribútumok duplikált attribútumainak rugalmassága](how-to-connect-syncservice-duplicate-attribute-resiliency.md) a Microsoft Entra ID alapértelmezett viselkedéseként is megjelenik. Ez a funkció csökkenti a Microsoft Entra Csatlakozás és más szinkronizálási ügyfelek által tapasztalt szinkronizálási hibák számát. Rugalmasabbá teszi a Microsoft Entra-t a duplikált proxyAddresses és userPrincipalName attribútumok helyi Active Directory környezetekben való kezelése során.

Ez a funkció nem oldja meg a duplikálási hibákat, ezért az adatokat továbbra is ki kell javítani. Lehetővé teszi azonban az olyan új objektumok kiépítését, amelyek egyébként blokkolva vannak a Microsoft Entra ID duplikált értékei miatt. Ez a funkció csökkenti a szinkronizálási ügyfélnek visszaadott szinkronizálási hibák számát is.

Feljegyzés

Ha a Microsoft Entra attribútumok duplikált attribútumainak rugalmassága engedélyezve van a bérlő számára, akkor nem jelenik meg az InvalidSoftMatch szinkronizálási hibái az új objektumok kiépítése során.

Példaforgatókönyvek InvalidSoftMatch-hiba esetén

  • A proxyAddresses attribútummal azonos értékkel rendelkező két vagy több objektum létezik a helyi Active Directory. Csak egy lesz kiépítve a Microsoft Entra-azonosítóban.
  • A userPrincipalName attribútummal azonos értékkel rendelkező két vagy több objektum létezik a helyi Active Directory. Csak egy lesz kiépítve a Microsoft Entra-azonosítóban.
  • Egy objektum lett hozzáadva helyi Active Directory a proxyAddresses attribútum értékével, mint a Microsoft Entra ID egy meglévő objektumával. A helyszínen hozzáadott objektum nem lesz kiépítve a Microsoft Entra-azonosítóban.
  • Egy objektum lett hozzáadva helyi Active Directory a userPrincipalName attribútum értékével, mint egy Microsoft Entra ID-fiókhoz. Az objektum nem lesz kiépítve a Microsoft Entra-azonosítóban.
  • Egy szinkronizált fiók át lett helyezve az A erdőből a B erdőbe. A Microsoft Entra Csatlakozás (szinkronizálási motor) az objectGUID attribútumot használta a sourceAnchor attribútum kiszámításához. Az erdő áthelyezése után a sourceAnchor attribútum értéke eltérő. A B erdőből származó új objektum nem szinkronizálódik a Microsoft Entra-azonosítóban lévő meglévő objektummal.
  • Véletlenül töröltek egy szinkronizált objektumot a helyi Active Directory, és egy új objektum jött létre az Active Directoryban ugyanahhoz az entitáshoz (például felhasználóhoz) anélkül, hogy törölték a fiókot a Microsoft Entra-azonosítóban. Az új fiók nem szinkronizálódik a meglévő Microsoft Entra objektummal.
  • A Microsoft Entra Csatlakozás eltávolítása és újratelepítése megtörtént. Az újratelepítés során egy másik attribútum lett kiválasztva a sourceAnchor attribútumként. Az összes korábban szinkronizált objektum leállítja a szinkronizálást az InvalidSoftMatch hibával.

Példa eset

  1. Bob Smith szinkronizált felhasználó a Microsoft Entra-azonosítóban a contoso.com helyi Active Directory.
  2. Bob Smith felhasználóneve a következőképpen van beállítva bobs@contoso.com: .
  3. Az "abcdefghijklmnopqrstuv==" sourceAnchor attribútumát a Microsoft Entra Csatlakozás számítja ki Bob Smith objectGUID attribútumával helyi Active Directory. Ez az attribútum Bob Smith immutableId attribútuma a Microsoft Entra ID-ban.
  4. Bob a proxyAddresses attribútumhoz a következő értékeket is tartalmazza:
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  5. A helyi Active Directory egy új felhasználó, Bob Taylor is hozzáadódik.
  6. Bob Taylor felhasználói főneve a bobt@contoso.com.
  7. Az "abcdefghijk0123456789==" sourceAnchor attribútumát a Microsoft Entra Csatlakozás számítja ki Bob Taylor objectGUID attribútumával helyi Active Directory.
  8. Bob Taylor a proxyAddresses attribútum alábbi értékeit tartalmazza:
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
    • Smtp: bob@contoso.com
  9. A szinkronizálás során a Microsoft Entra Csatlakozás felismeri Bob Taylor hozzáadását a helyi Active Directory, és felkéri a Microsoft Entra-azonosítót, hogy végezze el ugyanezt a módosítást.
  10. A Microsoft Entra először egy kemény mérkőzést hajt végre. Vagyis az "abcdefghijkl0123456789==" értékkel egyenlő immutableId attribútummal rendelkező objektumokat keres. A kemény egyezés meghiúsul, mert a Microsoft Entra ID-ban egyetlen más objektum sem rendelkezik az immutableId attribútummal.
  11. A Microsoft Entra ID ezután egy puha egyezést hajt végre Bob Taylor megkereséséhez. Ez azt jelzi, hogy van-e olyan objektum, amelynek proxyAddresses attribútumai megegyeznek a három értékkel, beleértve az smtp-t is: bob@contoso.com.
  12. A Microsoft Entra ID megkeresi Bob Smith objektumát, hogy megfeleljen a helyreállítható egyezés feltételeinek. Az objektum értéke azonban immutableId = "abcdefghijklmnopqrstuv==", ami azt jelzi, hogy ezt az objektumot egy másik objektumból szinkronizálták helyi Active Directory. A Microsoft Entra-azonosító nem tudja finoman egyeztetni ezeket az objektumokat, ezért ÉrvénytelenSoftMatch szinkronizálási hiba lép fel.

Az InvalidSoftMatch hiba javítása

Az InvalidSoftMatch hiba leggyakoribb oka két különböző sourceAnchor (immutableId) attribútummal rendelkező objektum, amelyek azonos értékkel rendelkeznek a proxyAddresses vagy a userPrincipalName attribútumok esetében, amelyeket a Microsoft Entra ID helyreállító egyeztetési folyamata során használnak. Az InvalidSoftMatch hiba kijavítása:

  1. Azonosítsa a hibát okozó duplikált proxyAddresses, userPrincipalName vagy egyéb attribútumértéket. Határozza meg azt is, hogy melyik két vagy több objektum érintett a konfliktusban. A Microsoft Entra Csatlakozás Health által a szinkronizáláshoz létrehozott jelentés segíthet azonosítani a két objektumot.
  2. Határozza meg, hogy melyik objektumnak kell továbbra is duplikált értékkel rendelkeznie, és melyik objektumnak nem.
  3. Távolítsa el a duplikált értéket az objektumból, amely nem rendelkezik ezzel az értékkel. Végezze el a módosítást abban a könyvtárban, ahonnan az objektum származik. Bizonyos esetekben előfordulhat, hogy törölnie kell az egyik konfliktusban lévő objektumot.
  4. Ha módosította a helyi Active Directory, hagyja, hogy a Microsoft Entra szinkronizálja a módosítást Csatlakozás.

A Microsoft Entra Csatlakozás Health szinkronizálási hibajelentései 30 percenként frissülnek, és tartalmazzák a legutóbbi szinkronizálási kísérlet hibáit.

Feljegyzés

Az ImmutableId attribútum definíció szerint nem változhat az objektum élettartamában. De lehet, hogy a Microsoft Entra Csatlakozás nem konfigurálta az előző lista néhány forgatókönyvét szem előtt tartva. Ebben az esetben a Microsoft Entra Csatlakozás az Active Directory-objektum sourceAnchor attribútumának egy másik értékét számíthatja ki, amely ugyanazt az entitást (felhasználót, csoportot vagy kapcsolattartót) jelöli, amely rendelkezik egy meglévő Microsoft Entra-objektummal, amelyet továbbra is használni szeretne.

Kapcsolódó cikk

Kettős vagy érvénytelen attribútumok akadályozzák a könyvtárszinkronizálást a Microsoft 365-ben

ObjectTypeMismatch

Leírás

Amikor a Microsoft Entra ID két objektumot próbál helyreállítani, lehetséges, hogy két különböző típusú objektum, például felhasználó, csoport vagy partner azonos értékekkel rendelkezik a helyreállítható egyezés végrehajtásához használt attribútumokhoz. Mivel ezeknek az attribútumoknak a duplikálása nem engedélyezett a Microsoft Entra-azonosítóban, a művelet ObjectTypeMismatch szinkronizálási hibát eredményezhet.

Példaforgatókönyv ObjectTypeMismatch hiba esetén

A Microsoft 365-ben létrejön egy levelezésre képes biztonsági csoport. A rendszergazda hozzáad egy új felhasználót vagy kapcsolattartót helyi Active Directory, amely még nincs szinkronizálva a Microsoft Entra-azonosítóval, és a proxyAddresses attribútum értéke megegyezik a Microsoft 365-csoport értékével.

Példa eset

  1. A rendszergazda létrehoz egy új, levelezésre alkalmas biztonsági csoportot a Microsoft 365-ben az adóosztály számára, és e-mail-címet ad meg.tax@contoso.com Ez a csoport az smtp proxyAddresses attribútumértékéhez van hozzárendelve: tax@contoso.com.
  2. Egy új felhasználó csatlakozik Contoso.com, és létrehoz egy fiókot a helyszíni felhasználó számára a proxyAddresses attribútummal smtpként : tax@contoso.com.
  3. Amikor a Microsoft Entra Csatlakozás szinkronizálja az új felhasználói fiókot, az ObjectTypeMismatch hibát kapja.

Az ObjectTypeMismatch hiba javítása

Az ObjectTypeMismatch hiba leggyakoribb oka, hogy két különböző típusú objektum, például felhasználó, csoport vagy partner azonos értékkel rendelkezik a proxyAddresses attribútumhoz. Az ObjectTypeMismatch hiba kijavítása:

  1. Azonosítsa a hibát okozó duplikált proxyAddresses (vagy más attribútum) értéket. Határozza meg azt is, hogy melyik két vagy több objektum érintett a konfliktusban. A Microsoft Entra Csatlakozás Health által a szinkronizáláshoz létrehozott jelentés segíthet azonosítani a két objektumot.
  2. Határozza meg, hogy melyik objektumnak kell továbbra is duplikált értékkel rendelkeznie, és melyik objektumnak nem.
  3. Távolítsa el a duplikált értéket az objektumból, amely nem rendelkezik ezzel az értékkel. Végezze el a módosítást abban a könyvtárban, amelyből az objektum származik. Bizonyos esetekben előfordulhat, hogy törölnie kell az egyik konfliktusban lévő objektumot.
  4. Ha módosította a helyszíni AD-t, hagyja, hogy a Microsoft Entra Csatlakozás Szinkronizálja a módosítást. A Microsoft Entra Csatlakozás Health szinkronizálási hibajelentése 30 percenként frissül. A jelentés tartalmazza a legutóbbi szinkronizálási kísérlet hibáit.

Duplikált attribútumok

Ez a szakasz az ismétlődő attribútumhibákat ismerteti.

AttributeValueMustBeUnique

Leírás

A Microsoft Entra-séma nem engedi, hogy két vagy több objektum esetében megegyezzen a következő attribútumok értéke. A Microsoft Entra ID-ben az adott példányban minden objektumnak egyedi értékkel kell rendelkeznie a következő attribútumoknál:

  • levélküldés
  • proxyAddresses
  • signInName
  • userPrincipalName

Ha a Microsoft Entra Connect új objektumot próbál hozzáadni vagy meglévő objektumot frissíteni az előző attribútumok olyan értékével, amely már egy másik objektumhoz van rendelve a Microsoft Entra ID-ben, a művelet AttributeValueMustBeUnique szinkronizálási hibát eredményez.

Lehetséges forgatókönyv

Egy már szinkronizált objektumhoz duplikált érték van hozzárendelve, amely ütközik egy másik szinkronizált objektummal.

Példa eset

  1. Bob Smith egy szinkronizált felhasználó a Microsoft Entra ID-ben a contoso.com helyi Active Directoryból.
  2. Bob Smith helybeni felhasználói főneve a következő: bobs@contoso.com.
  3. Bob a proxyAddresses attribútumhoz a következő értékeket is tartalmazza:
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  4. A rendszer hozzáad egy új felhasználót, Bob Taylort helyi Active Directory.
  5. Bob Taylor felhasználói főneve a bobt@contoso.com.
  6. Bob Taylor a proxyAddresses attribútum alábbi értékeit tartalmazza:
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
  7. Bob Taylor objektumát sikeresen szinkronizálták a Microsoft Entra ID-vel.
  8. A rendszergazda úgy döntött, hogy frissíti Bob Taylor proxyAddresses attribútumát a következő értékkel:
    • Smtp: bob@contoso.com
  9. A Microsoft Entra ID megpróbálja frissíteni Bob Taylor objektumát a Microsoft Entra ID-ben az előző értékkel, de ez a művelet sikertelen, mivel a proxyAddresses értéket már hozzárendelték Bob Smith-hez. Az eredmény egy AttributeValueMustBeUnique hiba.

Az AttributeValueMustBeUnique hiba javítása

Az AttribútumValueMustBeUnique hiba leggyakoribb oka, hogy két, eltérő sourceAnchor (immutableId) attribútummal rendelkező objektum értéke megegyezik a proxyAddresses vagy a userPrincipalName attribútumok értékével. Az AttributeValueMustBeUnique hiba javítása:

  1. Azonosítsa a hibát okozó duplikált proxyAddresses, userPrincipalName vagy egyéb attribútumértéket. Határozza meg azt is, hogy melyik két vagy több objektum érintett a konfliktusban. A Microsoft Entra Csatlakozás Health által a szinkronizáláshoz létrehozott jelentés segíthet azonosítani a két objektumot.
  2. Határozza meg, hogy melyik objektumnak kell továbbra is duplikált értékkel rendelkeznie, és melyik objektumnak nem.
  3. Távolítsa el a duplikált értéket az objektumból, amely nem rendelkezik ezzel az értékkel. Végezze el a módosítást abban a könyvtárban, ahonnan az objektum származik. Bizonyos esetekben előfordulhat, hogy törölnie kell az egyik konfliktusban lévő objektumot.
  4. Ha a módosítást a helyi Active Directoryban végezte, hagyja, hogy a Microsoft Entra ID Connect szinkronizálja a módosítást, és ezzel kijavítsa a hibát.

Kapcsolódó cikk

Kettős vagy érvénytelen attribútumok akadályozzák a könyvtárszinkronizálást a Microsoft 365-ben

Adatérvényesítési hibák

Ez a szakasz az adatérvényesítési hibákat ismerteti.

IdentityDataValidationFailed

Leírás

A Microsoft Entra ID különböző korlátozásokat kényszerít az adatokon, mielőtt engedélyezné, hogy azokat kiírják a könyvtárba. Ezek a korlátozások biztosítják, hogy a végfelhasználók a lehető legjobb élményt nyújthassák az adatoktól függő alkalmazások használata során.

Forgatókönyvek

  • A userPrincipalName attribútum értéke érvénytelen vagy nem támogatott karakterekkel rendelkezik.
  • A userPrincipalName attribútum nem követi a szükséges formátumot.

Az előző forgatókönyvek eredménye egy IdentityDataValidationFailed hiba.

Az IdentityDataValidationFailed hiba kijavítása

Győződjön meg arról, hogy a userPrincipalName attribútum támogatja a karaktereket és a szükséges formátumot.

Kapcsolódó cikk

Felkészülés a felhasználók kiépítésére címtár-szinkronizálással a Microsoft 365-ben

Törlésihozzáférés-megértési és jelszóhozzáférés-megsértési hibák

A Microsoft Entra ID védi a csak felhőalapú objektumokat a Microsoft Entra Csatlakozás keresztül történő frissítéstől. Bár ezeket az objektumokat nem lehet frissíteni a Microsoft Entra Csatlakozás keresztül, a csak felhőalapú objektumok módosításának megkísérlése érdekében közvetlenül a Microsoft Entra háttérrendszerében is kezdeményezhetők hívások. Ha így tesz, a következő hibák adhatók vissza:

  • Ez a törlési szinkronizálási művelet érvénytelen. Forduljon a műszaki támogatási szolgálathoz (114-es hiba).
  • Nem lehet feldolgozni ezt a frissítést, mert egy vagy több csak felhőalapú felhasználó hitelesítő adatainak frissítése szerepel az aktuális kérésben.
  • A csak felhőalapú objektumok törlése nem támogatott. Lépjen kapcsolatba a Microsoft ügyfélszolgálatával.
  • A jelszómódosítási kérés nem hajtható végre, mert egy vagy több csak felhőalapú felhasználói objektum módosításait tartalmazza, amelyek nem támogatottak. Lépjen kapcsolatba a Microsoft ügyfélszolgálatával.

ACloudOnlyObjectNotAllowed törlésének feloldása (114-es hiba)

Ez a szakasz a DeletingCloudOnlyObjectNotAllowed (114-es hibatípus) hiba lehetséges okait és megoldásait ismerteti.

A Microsoft azt javasolja, hogy a szervezetek két kizárólag felhőalapú vészhozzáférési fiókkal rendelkezzenek, amelyek véglegesen hozzárendelték a globális Rendszergazda istrator szerepkört. Ezek a fiókok kiemelt jogosultságokkal rendelkeznek, és nincsenek meghatározott személyekhez rendelve. A fiókok vészhelyzeti vagy "töréstörési" forgatókönyvekre korlátozódnak, ahol a normál fiókok nem használhatók, vagy az összes többi rendszergazda véletlenül ki van zárva. Ezeket a fiókokat a segélyhívási fiók javaslatait követve kell létrehozni.

Leírás

Ez az a helyzet, amikor egy ügyfél hibridről csak felhőalapúra szeretne migrálni. A rendszergazda hívást kezdeményez a Microsoft Entra Csatlakozás felé, hogy megpróbálja áthelyezni a felhasználókat a hatókörből, de a Microsoft Entra Csatlakozás a következő hibát adja vissza: DeletingCloudOnlyObjectNotAllowed (vagy 114-es hibatípus): "Ez a szinkronizálási művelet, Törlés, érvénytelen. Lépjen kapcsolatba a műszaki támogatási szolgálattal."

A hiba lehetséges okai a következők:

  • A Microsoft Entra Csatlakozás hívásának nincs UPN-je, új vagy egyedi GUID-azonosítója, vagy egyéb szükséges információja.
  • A Microsoft Entra Csatlakozás próbál adatokat exportálni, de hamis értékre van DirSyncEnabled állítva.
  • A Microsoft Entra Csatlakozás egy visszaállított felhasználót vagy más objektumot próbál törölni. Ennek oka általában az, hogy egy felhasználó vagy más objektumhivatkozás ki lett helyezve a szinkronizálási hatókörből vagy a Lost &Found tárolóba.

Lehetséges forgatókönyvek

A Microsoft Entra Csatlakozás-ügyfél nem törli a felhasználókat a hibridről a felhőbe való migrálás során, ami a 114-es hibatípust eredményezi.

A felhasználók törlésének lehetséges okai a következők:

  • Az ügyfél által a felhasználók hatókörből való áthelyezésére létrehozott szabály az Admin attribútumon alapul.
  • A szinkronizálási (Azure AD-szinkronizáló) művelet során a rendszer a 114-es típusú hibát adja vissza, ami a felhasználók törlésének sikertelenségét eredményezi.
  • Bizonyos funkciók szinkronizálása meghiúsul, ezért a felhasználók nem törlődnek ennek megfelelően.

Példa hiba

Példa az exportálási hibára:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {2819A5C8-BE27-EC11-A970-000D3A1B4EEE}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

A hiba javítása

A probléma megoldása:

  1. Azonosítsa a problémaobjektum-hivatkozást.
  2. A PowerShell használatával helyreállíthatóan törölheti a felhőfiókot:
  3. Futtassa Start-ADSyncSyncCycle -PolicyType Delta , amelynek sikeresen importálnia kell a fiók törlését.
  4. Ellenőrizze, hogy a törlés sikeres volt-e.
  5. Állítsa vissza a felhasználót a Lomtárból.
  6. Futtassa Start-ADSyncSyncCycle -PolicyType Delta a kiszolgálón annak megerősítéséhez, hogy a hiba nem fordul elő újra.

Figyelmeztetés

Ha egy felhasználó ki van zárva a szinkronizálási hatókörből, az objektum helyreállíthatóan törlődik a Microsoft Entra-azonosítóban, és a DirSyncEnabled attribútuma False (Hamis) értékre vált. Ez a folyamat azonban nem konvertálja az objektumot felügyelt felhővé, mivel továbbra is olyan attribútumokat és értékeket tartalmaz, amelyeket a felhőben nem felügyelhető helyi Active Directory szinkronizált. A DirSyncEnabled értéke Hamis, amely azt jelzi, hogy jelenleg nincs szinkronizálási hatókörben, és ismét elérhető az egyeztetéshez.

LargeObject vagy ExceededAllowedLength

Ez a szakasz a LargeObject vagy a ExceededAllowedLength hibákat ismerteti.

Leírás

Ha egy attribútum túllépi a Microsoft Entra séma által beállított megengedett méretkorlátot, hosszkorlátot vagy darabszámot, a szinkronizálási művelet LargeObject vagy ExceededAllowedLength szinkronizálási hibát eredményez. Ez a hiba általában a következő attribútumok esetében fordul elő:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

A Microsoft Entra ID nem ír elő attribútumonkénti korlátozásokat, kivéve a userCertificate attribútum 15, a címtárkiterjesztésekhez legfeljebb 100 attribútumot tartalmazó, legfeljebb 250 karakter hosszúságú, szigorúan kódolt korlátot a userCertificate attribútumban. A teljes objektum méretkorlátja van. Ha a Microsoft Entra Connect olyan objektumot próbál szinkronizálni, amely meghaladja ezt az objektumméret-korlátot, exportálási hibaüzenet jelenik meg.

Minden attribútum hozzájárul az objektum végleges méretéhez. Egyes attribútumok eltérő súlyszorzókkal rendelkeznek a további feldolgozási többletterhelés miatt. Ilyenek például az indexelt értékek. Emellett különböző felhőszolgáltatások, szolgáltatáscsomagok és licencek rendelhetők hozzá a fiókhoz, amelyek még több attribútumot használnak fel, és hozzájárulnak az objektum általános méretéhez.

Nem lehet pontosan meghatározni, hogy egy attribútum hány bejegyzést tartalmazhat a Microsoft Entra ID-ban, például hány SMTP-cím fér el a proxyAddresses attribútumban. Az összeg az objektumban kitöltött összes attribútum méretétől és szorzási tényezőitől függ.

Lehetséges forgatókönyvek

  • Bob userCertificate attribútuma túl sok, Bobhoz rendelt tanúsítványt tárol. Ezek a tanúsítványok régebbi, lejárt tanúsítványok is lehetnek. A korlát 15 tanúsítvány. A LargeObject-hibák userCertificate attribútummal való kezeléséről további információt a userCertificate attribútum által okozott LargeObject hibák kezelése című témakörben talál.
  • Bob userSMIMECertificate attribútuma túl sok, Bobhoz rendelt tanúsítványt tárol. Ezek a tanúsítványok régebbi, lejárt tanúsítványok is lehetnek. A korlát 15 tanúsítvány.
  • Bob ThumbnailPhoto attribútuma az Active Directoryban túl nagy ahhoz, hogy szinkronizálni lehessen a Microsoft Entra-azonosítóban.
  • Az Active Directory proxyAddresses attribútumának automatikus sokasága során egy objektumhoz túl sok proxyAddresses attribútum van hozzárendelve.

Az alábbi példák az olyan attribútumok különböző súlyait mutatják be, mint a userCertificate és a proxyAddresses:

  • Egy olyan szinkronizált felhasználó, aki a kötelező Active Directory-attribútumokon kívül nem tölt fel attribútumokat, és a Posta legfeljebb 332 proxycímet szinkronizálhat.
  • A mailNickName attribútummal és 10 felhasználói tanúsítvánnyal rendelkező hasonló szinkronizált felhasználó esetében a proxycímek maximális száma 329-re csökken.
  • Ha egy hasonló szinkronizált felhasználó 10 felhasználói tanúsítvánnyal és például 4 hozzárendelt előfizetéssel rendelkezik (az összes szolgáltatáscsomag engedélyezve van), a proxycímek maximális száma 311-re csökken.
  • Most vegyük az előző felhasználót, amely már tartalmazza a proxycímek maximális számát, és tegyük fel, hogy még egy SMTP-címet kell hozzáadnia. 312 proxycím eléréséhez el kell távolítania legalább három felhasználói tanúsítványt (a tanúsítvány méretétől függően).

Feljegyzés

Ezek a számok kissé eltérhetnek. Ökölszabályként biztonságosabb azt feltételezni, hogy a proxyAddresses attribútum SMTP-címeinek korlátja körülbelül 300 cím, hogy helyet hagyjon az objektum és a feltöltött attribútumok jövőbeli növekedésének.

A LargeObject vagy a ExceededAllowedLength hiba javítása

Tekintse át a felhasználói tulajdonságokat, és távolítsa el azokat az attribútumértékeket, amelyekre már nincs szükség. Ilyenek például a visszavont vagy lejárt tanúsítványok, valamint az elavult vagy szükségtelen címek, például az SMTP, az X.400, az X.500, az MSMail és a CcMail.

Ütközés meglévő rendszergazdai szerepkörrel

Leírás

Egy meglévő Rendszergazda szerepkörütközési szinkronizálási hiba lép fel egy felhasználói objektumon a szinkronizálás során, ha a felhasználói objektum a következőkkel rendelkezik:

  • Rendszergazda engedélyek.
  • Ugyanaz a userPrincipalName attribútum, mint egy meglévő Microsoft Entra-objektum.

A Microsoft Entra Csatlakozás nem felelnek meg a helyszíni AD-ből származó felhasználói objektumnak a Microsoft Entra ID-ban található olyan felhasználói objektummal, amelyhez rendszergazdai szerepkör van hozzárendelve. További információ: Microsoft Entra userPrincipalName population.

Képernyőkép a meglévő Rendszergazda szerepkörütközés szinkronizálási hibáinak számáról.

A meglévő Rendszergazda szerepkörütközési hiba kijavítása

A probléma megoldása:

  1. Távolítsa el a Microsoft Entra-fiókot (tulajdonost) az összes rendszergazdai szerepkörből.
  2. Törölje a karanténba helyezett objektumot a felhőben.
  3. A következő szinkronizálási ciklus gondoskodik a helyszíni felhasználó és a felhőfiók közötti helyreállítható egyeztetésről, mivel a felhőfelhasználó már nem hibrid identitás Rendszergazda istrator.
  4. Állítsa vissza a tulajdonos szerepkör-tagságait.

Feljegyzés

A felügyeleti szerepkört ismét hozzárendelheti a meglévő felhasználói objektumhoz, miután a helyszíni felhasználói objektum és a Microsoft Entra felhasználói objektum közötti helyreállítható egyezés befejeződött.