Bagikan melalui


Microsoft Entra Koneksi Sync: Menangani kesalahan LargeObject yang disebabkan oleh atribut userCertificate

MICROSOFT Entra ID memberlakukan batas maksimum 15 nilai sertifikat pada atribut userCertificate . Jika Microsoft Entra Koneksi mengekspor objek dengan lebih dari 15 nilai ke ID Microsoft Entra, ID Microsoft Entra mengembalikan kesalahan LargeObject dengan pesan:

"Objek yang diprovisikan terlalu besar. Pangkas jumlah nilai atribut pada objek ini. Operasi akan dicoba lagi di siklus sinkronisasi berikutnya..."

Kesalahan LargeObject mungkin disebabkan oleh atribut AD lainnya. Untuk mengonfirmasinya bahwa memang disebabkan oleh atribut userCertificate, Anda perlu memverifikasi terhadap objek baik di AD lokal maupun di Synchronization Service Manager Metaverse Search.

Untuk mendapatkan daftar objek di penyewa Anda dengan kesalahan LargeObject, gunakan salah satu metode berikut:

  • Jika penyewa Anda diaktifkan untuk Microsoft Entra Koneksi Health untuk sinkronisasi, Anda dapat merujuk ke Laporan Kesalahan Sinkronisasi yang disediakan.

  • Tab Operasi Synchronization Service Manager menampilkan daftar objek dengan kesalahan LargeObject jika Anda mengklik operasi Ekspor ke Microsoft Entra terbaru.

Opsi mitigasi

Hingga kesalahan LargeObject diatasi, atribut lain berubah ke objek yang sama tidak dapat diekspor ke ID Microsoft Entra. Untuk mengatasi kesalahan, Anda bisa mempertimbangkan opsi berikut:

  • Tingkatkan Microsoft Entra Koneksi untuk membangun 1.1.524.0 atau setelahnya. Di Microsoft Entra Connect build 1.1.524.0, aturan sinkronisasi out-of-box telah ditingkatkan ke atribut ekspor userCertificate dan userSMIMECertificate jika atribut memiliki lebih dari 15 nilai. Untuk detail tentang cara meningkatkan Microsoft Entra Koneksi, lihat artikel Microsoft Entra Koneksi: Meningkatkan dari versi sebelumnya ke yang terbaru.

  • Terapkan aturan sinkronisasi keluar di Microsoft Entra Koneksi yang mengekspor nilai null alih-alih nilai aktual untuk objek dengan lebih dari 15 nilai sertifikat. Opsi ini sesuai jika Anda tidak memerlukan nilai sertifikat mana pun untuk diekspor ke Microsoft Entra ID untuk objek dengan lebih dari nilai 15. Untuk detail tentang cara menerapkan aturan sinkronisasi ini, lihat bagian Menerapkan aturan sinkronisasi untuk membatasi ekspor atribut userCertificate berikutnya.

  • Kurangi jumlah nilai sertifikat pada objek AD lokal (15 atau kurang) dengan menghapus nilai yang tidak digunakan lagi oleh organisasi Anda. Ini cocok jika penggelembungan atribut disebabkan oleh sertifikat yang kedaluwarsa atau tidak digunakan. Anda dapat menggunakan cmdlet Remove-ADSyncToolsExpiredCertificates untuk membantu menemukan, mencadangkan, dan menghapus sertifikat yang kedaluwarsa di AD lokal Anda. Sebelum menghapus sertifikat, sebaiknya Anda memverifikasi dengan administrator Infrastruktur Kunci Publik di organisasi Anda.

  • Konfigurasikan Microsoft Entra Koneksi untuk mengecualikan atribut userCertificate agar tidak diekspor ke ID Microsoft Entra. Secara umum, kami tidak menyarankan opsi ini karena atribut dapat digunakan oleh Microsoft Online Services untuk mengaktifkan skenario tertentu. Secara khusus:

Menerapkan aturan sinkronisasi untuk membatasi ekspor atribut userCertificate

Untuk mengatasi kesalahan LargeObject yang disebabkan oleh atribut userCertificate, Anda dapat menerapkan aturan sinkronisasi keluar di Microsoft Entra Koneksi yang mengekspor nilai null alih-alih nilai aktual untuk objek dengan lebih dari 15 nilai sertifikat. Bagian ini menjelaskan langkah-langkah yang diperlukan untuk menerapkan aturan sinkronisasi untuk objek Pengguna. Langkah-langkah dapat diadaptasi untuk objek Kontak dan Komputer.

Penting

Mengekspor nilai null menghapus nilai sertifikat yang sebelumnya berhasil diekspor ke ID Microsoft Entra.

Langkah-langkah dapat diringkas sebagai:

  1. Nonaktifkan penjadwal sinkronisasi dan pastikan tidak ada sinkronisasi yang sedang berlangsung.
  2. Temukan aturan sinkronisasi keluar yang ada untuk atribut userCertificate.
  3. Buat aturan sinkron keluar yang diperlukan.
  4. Verifikasi aturan sinkronisasi baru pada objek yang sudah ada dengan kesalahan LargeObject.
  5. Terapkan aturan sinkronisasi baru ke objek yang tersisa dengan kesalahan LargeObject.
  6. Pastikan tidak ada perubahan tak terduga yang menunggu untuk diekspor ke ID Microsoft Entra.
  7. Ekspor perubahan ke ID Microsoft Entra.
  8. Mengaktifkan kembali penjadwal sinkronisasi.

Langkah 1: Menonaktifkan penjadwal sinkronisasi dan memverifikasi tidak ada sinkronisasi yang sedang berlangsung

Pastikan tidak ada sinkronisasi yang terjadi saat Anda berada di tengah-tengah penerapan aturan sinkronisasi baru untuk menghindari perubahan yang tidak diinginkan diekspor ke ID Microsoft Entra. Untuk menonaktifkan penjadwal sinkronisasi bawaan:

  1. Mulai sesi PowerShell di server Microsoft Entra Koneksi.

  2. Nonaktifkan sinkronisasi terjadwal dengan menjalankan cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Catatan

Langkah-langkah sebelumnya hanya berlaku untuk versi yang lebih baru (1.1.xxx.x) microsoft Entra Koneksi dengan penjadwal bawaan. Jika Anda menggunakan versi lama (1.0.xxx.x) Microsoft Entra Koneksi yang menggunakan Windows Task Scheduler, atau Anda menggunakan penjadwal kustom Anda sendiri (tidak umum) untuk memicu sinkronisasi berkala, Anda perlu menonaktifkannya.

  1. Mulai Synchronization Service Manager dengan masuk ke MULAI → Synchronization Service.

  2. Buka tab Operasi dan pastikan tidak ada operasi yang statusnya “sedang berlangsung”.

Langkah 2: Temukan aturan sinkronisasi keluar yang ada untuk atribut userCertificate

Harus ada aturan sinkronisasi yang diaktifkan dan dikonfigurasi untuk mengekspor atribut userCertificate untuk objek Pengguna ke ID Microsoft Entra. Temukan aturan sinkronisasi ini untuk mengetahui konfigurasi prioritas dan filter cakupannya:

  1. Mulai Editor Aturan Sinkronisasi dengan masuk ke Mulai → Editor Aturan Sinkronisasi.

  2. Konfigurasikan filter pencarian dengan nilai berikut:

    Atribut Value
    Arah Keluar
    Jenis Objek MV Orang
    Konektor nama konektor Microsoft Entra Anda
    Tipe Objek Konektor pengguna
    Atribut MV userCertificate
  3. Jika Anda menggunakan aturan sinkronisasi OOB (out-of-box) ke konektor Microsoft Entra untuk mengekspor atribut userCertificate untuk objek Pengguna, Anda harus mendapatkan kembali aturan "Out to Microsoft Entra ID – User ExchangeOnline" .

  4. Catat nilai prioritas aturan sinkronisasi ini.

  5. Pilih aturan sinkronisasi dan klik Edit.

  6. Dalam dialog pop-up "Edit Konfirmasi Aturan yang Dicadangkan", klik Tidak. (Jangan khawatir, kami tidak akan membuat perubahan pada aturan sinkronisasi ini).

  7. Di layar edit, pilih tab Filter cakupan.

  8. Catat konfigurasi filter cakupan. Jika Anda menggunakan aturan sinkronisasi OOB, harus ada satu grup filter cakupan yang berisi dua klausa, termasuk:

    Atribut Operator Nilai
    sourceObjectType SETARA User
    cloudMastered TIDAKSETARA Benar

Langkah 3: Buat aturan sinkronisasi keluar yang diperlukan

Aturan sinkronisasi baru harus memiliki filter cakupan yang sama dan prioritas yang lebih tinggi daripada aturan sinkronisasi yang ada. Ini memastikan bahwa aturan sinkronisasi baru berlaku untuk kumpulan objek yang sama dengan aturan sinkronisasi yang ada dan menimpa aturan sinkronisasi yang ada untuk atribut userCertificate. Untuk membuat aturan sinkronisasi:

  1. Di Editor Aturan Sinkronisasi, klik tombol Tambahkan aturan baru.

  2. Di bawah tab Deskripsi, berikan konfigurasi berikut ini:

    Atribut Value Detail
    Nama Berikan nama Misalnya, "Out to Microsoft Entra ID – Penggantian kustom untuk userCertificate"
    Deskripsi Berikan deskripsi Misalnya, “Jika atribut userCertificate memiliki lebih dari 15 nilai, ekspor NULL.”
    Sistem Tersambung Pilih Microsoft Entra Koneksi or
    Jenis Objek Sistem Tersambung pengguna
    Jenis Objek Metaverse orang
    Tipe Tautan Gabungkan
    Prioritas Memilih angka antara 1 - 99 Angka yang dipilih tidak boleh digunakan oleh aturan sinkronisasi yang ada dan memiliki nilai yang lebih rendah (dan karenanya, prioritas yang lebih tinggi) daripada aturan sinkronisasi yang ada.
  3. Buka tab Filter cakupan dan terapkan filter cakupan yang sama dengan aturan sinkronisasi yang ada.

  4. Lewati tab Aturan gabungan.

  5. Buka tab Transformasi untuk menambahkan transformasi baru menggunakan konfigurasi berikut:

    Atribut Value
    Tipe Alur Expression
    Atribut Target userCertificate
    Atribut Sumber Gunakan ekspresi berikut: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))
  6. Klik tombol Tambahkan untuk membuat aturan sinkronisasi.

Langkah 4: Verifikasi aturan sinkronisasi baru pada objek yang ada dengan kesalahan LargeObject

Ini untuk memverifikasi bahwa aturan sinkronisasi yang dibuat bekerja dengan benar pada objek AD yang ada dengan kesalahan LargeObject sebelum Anda menerapkannya ke objek lain:

  1. Masuk ke tab Operasi di Synchronization Service Manager.
  2. Pilih operasi Ekspor ke Microsoft Entra terbaru dan klik salah satu objek dengan kesalahan LargeObject.
  3. Di layar pop-up Properti Objek Spasi Konektor, klik tombol Pratinjau.
  4. Di layar pop-up Pratinjau, pilih Sinkronisasi penuh dan klik Pratinjau Penerapan.
  5. Tutup layar Pratinjau dan layar Properti Objek Spasi Konektor.
  6. Masuk ke tab Konektor di Synchronization Service Manager.
  7. Klik kanan pada Koneksi ID Microsoft Entra dan pilih Jalankan...
  8. Di pop-up Jalankan Konektor, pilih langkah Ekspor dan klik OK.
  9. Tunggu hingga Ekspor ke ID Microsoft Entra selesai dan konfirmasikan tidak ada lagi kesalahan LargeObject pada objek tertentu ini.

Langkah 5: Terapkan aturan sinkronisasi baru ke objek yang tersisa dengan kesalahan LargeObject

Setelah aturan sinkronisasi ditambahkan, Anda perlu menjalankan langkah sinkronisasi penuh pada Konektor AD:

  1. Masuk ke tab Konektor di Synchronization Service Manager.
  2. Klik kanan Konektor AD dan pilih Jalankan...
  3. Di pop-up Jalankan Konektor, pilih langkah Sinkronisasi Penuh dan klik OK.
  4. Tunggu langkah Sinkronisasi Penuh selesai.
  5. Ulangi langkah-langkah di atas untuk Konektor AD yang tersisa jika Anda memiliki lebih dari satu Konektor AD. Biasanya, beberapa konektor diperlukan jika Anda memiliki beberapa direktori lokal.

Langkah 6: Pastikan tidak ada perubahan tak terduga yang menunggu untuk diekspor ke ID Microsoft Entra

  1. Masuk ke tab Konektor di Synchronization Service Manager.
  2. Klik kanan pada Koneksi or ID Microsoft Entra dan pilih Cari ruang Koneksi or.
  3. Di pop-up Cari ruang Koneksi or:
    1. Atur Cakupan ke Ekspor Tertunda.
    2. Centang semua 3 kotak centang, termasuk Tambahkan, Ubah, dan Hapus.
    3. Klik tombol Cari untuk mengembalikan semua objek dengan perubahan yang menunggu untuk diekspor ke ID Microsoft Entra.
    4. Pastikan tidak ada perubahan tak terduga. Untuk memeriksa perubahan untuk objek tertentu, klik dua kali pada objek.

Langkah 7: Mengekspor perubahan ke ID Microsoft Entra

Untuk mengekspor perubahan ke ID Microsoft Entra:

  1. Masuk ke tab Konektor di Synchronization Service Manager.
  2. Klik kanan pada Koneksi ID Microsoft Entra dan pilih Jalankan...
  3. Di pop-up Jalankan Konektor, pilih langkah Ekspor dan klik OK.
  4. Tunggu hingga Ekspor ke ID Microsoft Entra selesai dan konfirmasikan tidak ada lagi kesalahan LargeObject.

Langkah 8: Mengaktifkan kembali penjadwal sinkronisasi

Sekarang setelah masalah teratasi, aktifkan kembali penjadwal sinkronisasi bawaan:

  1. Mulai sesi PowerShell.
  2. Aktifkan kembali sinkronisasi terjadwal dengan menjalankan cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Catatan

Langkah-langkah sebelumnya hanya berlaku untuk versi yang lebih baru (1.1.xxx.x) microsoft Entra Koneksi dengan penjadwal bawaan. Jika Anda menggunakan versi lama (1.0.xxx.x) Microsoft Entra Koneksi yang menggunakan Windows Task Scheduler, atau Anda menggunakan penjadwal kustom Anda sendiri (tidak umum) untuk memicu sinkronisasi berkala, Anda perlu menonaktifkannya.

Langkah berikutnya

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.