Sinkronisasi Microsoft Entra Connect: Mengatasi kesalahan LargeObject yang disebabkan oleh atribut userCertificate

MICROSOFT Entra ID memberlakukan batas maksimum nilai sertifikat 15 pada atribut userCertificate. Jika Microsoft Entra Connect mengekspor objek dengan lebih dari 15 nilai ke ID Microsoft Entra, ID Microsoft Entra mengembalikan kesalahan LargeObject dengan pesan:

"Objek yang disediakan terlalu besar. Pangkas jumlah nilai atribut pada objek ini. Operasi akan dicoba kembali dalam siklus sinkronisasi berikutnya..."

Kesalahan LargeObject dapat disebabkan oleh atribut AD lainnya. Untuk mengonfirmasi bahwa penyebabnya adalah atribut userCertificate, verifikasi terhadap objek di AD lokal maupun di Synchronization Service Manager Metaverse Search.

Untuk mendapatkan daftar objek di penyewa Anda dengan kesalahan LargeObject, gunakan salah satu metode berikut:

• Jika penyewa Anda telah diaktifkan untuk Microsoft Entra Connect Health dalam hal sinkronisasi, Anda dapat merujuk ke Laporan Kesalahan Sinkronisasi yang disediakan .

• Tab Operasi Synchronization Service Manager menampilkan daftar objek yang mengalami kesalahan LargeObject jika Anda memilih operasi Ekspor terbaru ke Microsoft Entra.

Opsi mitigasi tersebut

Hingga kesalahan LargeObject diatasi, perubahan atribut lain pada objek yang sama tidak dapat diekspor ke Microsoft Entra ID. Untuk mengatasi kesalahan, Anda dapat mempertimbangkan opsi berikut:

• Tingkatkan Microsoft Entra Connect untuk membangun 1.1.524.0 atau setelahnya. Di Microsoft Entra Connect build 1.1.524.0, aturan sinkronisasi di luar kotak telah diperbarui untuk tidak mengekspor atribut userCertificate dan userSMIMECertificate jika atribut memiliki lebih dari 15 nilai. Untuk detail tentang cara meningkatkan Microsoft Entra Connect, lihat artikel Microsoft Entra Connect: Meningkatkan dari versi sebelumnya keterbaru.

• Terapkan aturan sinkronisasi keluar di Microsoft Entra Connect yang mengekspor nilai null alih-alih nilai aktual untuk objek dengan lebih dari 15 nilai sertifikat. Opsi ini cocok jika Anda tidak memerlukan nilai sertifikat apa pun untuk diekspor ke ID Microsoft Entra untuk objek dengan lebih dari 15 nilai. Untuk detail tentang cara menerapkan aturan sinkronisasi ini, lihat bagian berikutnya Menerapkan aturan sinkronisasi untuk membatasi ekspor atribut userCertificate.

• Kurangi jumlah nilai sertifikat pada objek AD lokal (15 atau kurang) dengan menghapus nilai yang tidak lagi digunakan oleh organisasi Anda. Ini cocok jika sertifikat yang kedaluwarsa atau tidak digunakan menyebabkan penumpukan atribut. Anda dapat menggunakan cmdlet Remove-ADSyncToolsExpiredCertificates untuk membantu menemukan, mencadangkan, dan menghapus sertifikat yang kedaluwarsa di AD lokal Anda. Sebelum menghapus sertifikat, disarankan agar Anda memverifikasi dengan administrator Public-Key-Infrastructure di organisasi Anda.

• Konfigurasikan Microsoft Entra Connect untuk mengecualikan atribut userCertificate agar tidak diekspor ke ID Microsoft Entra. Secara umum, kami tidak merekomendasikan opsi ini karena atribut dapat digunakan oleh Microsoft Online Services untuk mengaktifkan skenario tertentu. Khususnya:

  • Atribut userCertificate pada objek Pengguna digunakan oleh klien Exchange Online dan Outlook untuk penandatanganan dan enkripsi pesan. Untuk mempelajari selengkapnya tentang fitur ini, lihat artikel S/MIME untuk penandatanganan pesan dan enkripsi.

  • Atribut userCertificate pada objek Komputer digunakan oleh ID Microsoft Entra untuk memungkinkan perangkat yang bergabung dengan domain lokal Windows 10 tersambung ke ID Microsoft Entra. Untuk mempelajari lebih lanjut tentang fitur ini, lihat artikel Menghubungkan perangkat yang terhubung ke domain ke Microsoft Entra ID untuk memaksimalkan pengalaman Windows 10.

Menerapkan aturan sinkronisasi untuk membatasi ekspor atribut userCertificate

Untuk mengatasi kesalahan LargeObject yang disebabkan oleh atribut userCertificate, Anda dapat menerapkan aturan sinkronisasi keluar di Microsoft Entra Connect yang mengekspor nilai null alih-alih nilai aktual untuk objek dengan lebih dari 15 nilai sertifikat. Bagian ini menjelaskan langkah-langkah yang diperlukan untuk menerapkan aturan sinkronisasi untuk objek Pengguna . Langkah-langkah dapat diadaptasi untuk objek Kontak dan Komputer.

Penting

Mengekspor nilai null menghapus nilai sertifikat yang sebelumnya berhasil diekspor ke ID Microsoft Entra.

Langkah-langkah dapat diringkas sebagai:

1. Nonaktifkan penjadwal sinkronisasi dan verifikasi bahwa tidak ada sinkronisasi yang sedang berlangsung.
2. Temukan aturan sinkronisasi keluar yang ada untuk atribut userCertificate.
3. Buat aturan sinkronisasi keluar yang diperlukan.
4. Verifikasi aturan sinkronisasi baru pada objek yang sudah ada yang memiliki kesalahan LargeObject.
5. Terapkan aturan sinkronisasi baru pada objek yang masih mengalami kesalahan LargeObject.
6. Pastikan tidak ada perubahan tak terduga yang menunggu untuk diekspor ke ID Microsoft Entra.
7. Ekspor perubahan ke ID Microsoft Entra.
8. Aktifkan kembali penjadwal sinkronisasi.

Langkah 1: Nonaktifkan penjadwal sinkronisasi dan verifikasi tidak ada sinkronisasi yang sedang berlangsung

Pastikan tidak ada sinkronisasi yang terjadi saat Anda berada di tengah-tengah penerapan aturan sinkronisasi baru untuk menghindari perubahan yang tidak diinginkan diekspor ke ID Microsoft Entra. Untuk menonaktifkan penjadwal sinkronisasi bawaan:

1. Mulai sesi PowerShell di server Microsoft Entra Connect.

2. Nonaktifkan sinkronisasi terjadwal dengan menjalankan cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Nota

Langkah-langkah sebelumnya hanya berlaku untuk versi yang lebih baru (1.1.xxx.x) Microsoft Entra Connect dengan penjadwal bawaan. Jika Anda menggunakan versi lama (1.0.xxx.x) Microsoft Entra Connect yang menggunakan Windows Task Scheduler, atau Anda menggunakan penjadwal kustom Anda sendiri (tidak umum) untuk memicu sinkronisasi berkala, Anda perlu menonaktifkannya.

1. Mulai Synchronization Service Manager dengan masuk ke START → Synchronization Service.

2. Pergi ke tab Operasi dan konfirmasikan tidak ada operasi yang statusnya "sedang berlangsung."

Langkah 2: Temukan aturan sinkronisasi keluar yang ada untuk atribut userCertificate

Harus ada aturan sinkronisasi yang diaktifkan dan dikonfigurasi untuk mengekspor atribut userCertificate untuk objek Pengguna ke ID Microsoft Entra. Temukan aturan sinkronisasi ini untuk mengetahui konfigurasi prioritas dan filter cakupannya.

1. Mulai Editor Aturan Sinkronisasi dengan pergi ke MULAI → Editor Aturan Sinkronisasi.

2. Konfigurasikan filter pencarian dengan nilai berikut:

   Atribut	Nilai
   Arah	Keluar
   Tipe Objek MV	Orang
   Konektor	Nama konektor Microsoft Entra Anda
   Tipe Konektor Objek	pengguna
   Atribut MV	userCertificate

3. Jika Anda menggunakan aturan sinkronisasi OOB (siap pakai) ke konektor Microsoft Entra untuk mengekspor atribut userCertificate untuk objek Pengguna, Anda harus mendapatkan kembali aturan “Out to Microsoft Entra ID – User ExchangeOnline”.

4. Catat nilai urutan dari aturan sinkronisasi ini.

5. Pilih aturan sinkronisasi dan pilih Edit.

6. Dalam dialog pop-up "Edit Konfirmasi Aturan Terpesan", pilihTidak . (Jangan khawatir, kami tidak akan membuat perubahan apa pun pada aturan sinkronisasi ini).

7. Di layar edit, pilih tab filter cakupan.

8. Catat konfigurasi pemfilteran cakupan. Jika Anda menggunakan aturan sinkronisasi OOB, seharusnya ada satu grup filter cakupan yang berisi dua klausa, termasuk:

   Atribut	Pengoperasi	Nilai
   sourceObjectType	SAMA	Pengguna
   cloudMastered	NOTEQUAL	Benar

Langkah 3: Buat aturan sinkronisasi keluar yang diperlukan

Aturan sinkronisasi baru harus memiliki filter cakupan yang sama dan prioritas yang lebih tinggi daripada aturan sinkronisasi yang ada. Ini memastikan bahwa aturan sinkronisasi baru berlaku untuk sekumpulan objek yang sama dengan aturan sinkronisasi yang ada dan mengambil alih aturan sinkronisasi yang ada untuk atribut userCertificate. Untuk membuat aturan sinkronisasi:

1. Di Editor Aturan Sinkronisasi, pilih tombol Tambahkan aturan baru.

2. Di bawah tab Deskripsi , berikan konfigurasi berikut:

   Atribut	Nilai	Rincian
   Nama	Berikan nama	Misalnya, "Keluar ke Microsoft Entra ID – Penggantian khusus untuk userCertificate"
   Deskripsi	Berikan deskripsi	Misalnya, "Jika atribut userCertificate memiliki lebih dari 15 nilai, ekspor NULL."
   Sistem Tersambung	Pilih Konektor Microsoft Entra
   Tipe Objek Sistem Tersambung	pengguna
   Tipe Objek Metaverse	orang
   Tipe Tautan	Bergabung
   Didahulukan	Memilih angka antara 1 - 99	Angka yang dipilih tidak boleh digunakan oleh aturan sinkronisasi yang ada dan memiliki nilai yang lebih rendah (dan karenanya, lebih diutamakan) daripada aturan sinkronisasi yang ada.

3. Pergi ke tab filter cakupan dan terapkan filter cakupan yang sama yang digunakan oleh aturan sinkronisasi yang ada.

4. Lewati tab Aturan bergabung .

5. Buka tab Transformasi untuk menambahkan transformasi baru menggunakan konfigurasi berikut:

   Atribut	Nilai
   Jenis Alur	Ekspresi
   Atribut Sasaran	userCertificate
   Atribut Sumber	Gunakanekspresi berikut: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Pilih tombol Tambahkan untuk membuat aturan sinkronisasi.

Langkah 4: Verifikasi aturan sinkronisasi baru pada objek yang ada dengan kesalahan LargeObject

Ini untuk memverifikasi bahwa aturan sinkronisasi yang dibuat berfungsi dengan benar pada objek AD yang ada dengan kesalahan LargeObject sebelum Anda menerapkannya ke objek lain:

1. Buka tab Operasi di Synchronization Service Manager.
2. Pilih operasi Ekspor terbaru ke Microsoft Entra dan pilih salah satu objek yang mengalami kesalahan LargeObject.
3. Di layar pop-up Properti Objek Ruang Konektor, pilih tombol Pratinjau.
4. Di layar pop-up Pratinjau, pilih Sinkronisasi penuh dan pilih Commit Preview.
5. Tutup jendela Pratinjau dan jendela Properti Objek Ruang Konektor.
6. Pergi ke tab Konektor di Synchronization Service Manager.
7. Klik kanan Microsoft Entra ID Connector dan pilih Jalankan...
8. Di pop-up Jalankan Konektor, pilih langkah Ekspor dan pilih OK.
9. Tunggu hingga Ekspor ke ID Microsoft Entra selesai dan konfirmasikan tidak ada lagi kesalahan LargeObject pada objek tertentu ini.

Langkah 5: Terapkan aturan sinkronisasi baru ke objek yang tersisa dengan kesalahan LargeObject

Setelah aturan sinkronisasi ditambahkan, Anda perlu menjalankan langkah sinkronisasi penuh pada Konektor AD:

1. Pergi ke tab Konektor di Synchronization Service Manager.
2. Klik kanan pada AD Connector dan pilih Jalankan...
3. Di pop-up Jalankan Konektor, pilih langkah Sinkronisasi Penuh dan pilih OK.
4. Tunggu hingga langkah Sinkronisasi Penuh selesai.
5. Ulangi langkah-langkah di atas untuk Konektor AD yang tersisa jika Anda memiliki lebih dari satu Konektor AD. Biasanya, beberapa konektor diperlukan jika Anda memiliki beberapa direktori lokal.

Langkah 6: Pastikan tidak ada perubahan tak terduga yang menunggu untuk diekspor ke ID Microsoft Entra

1. Pergi ke tab Konektor di Synchronization Service Manager.
2. Klik kanan di Microsoft Entra ID Connector dan pilih Search Connector Space.
3. Dalam kotak dialog Ruang Konektor Pencarian:
   1. Atur Cakupan ke Ekspor Tertunda.
   2. Centang semua 3 kotak centang, termasuk Tambahkan, Ubah, dan Hapus.
   3. Pilih tombol 'Cari' untuk menampilkan semua objek dengan perubahan yang menunggu untuk diekspor ke Microsoft Entra ID.
   4. Pastikan tidak ada perubahan tak terduga. Untuk memeriksa perubahan untuk objek tertentu, pilih dua kali pada objek.

Langkah 7: Mengekspor perubahan ke ID Microsoft Entra

Untuk mengekspor perubahan ke ID Microsoft Entra:

1. Pergi ke tab Konektor di Synchronization Service Manager.
2. Klik kanan Microsoft Entra ID Connector dan pilih Jalankan...
3. Di pop-up Jalankan Konektor, pilih langkah Ekspor dan pilih OK.
4. Tunggu hingga Ekspor ke ID Microsoft Entra selesai dan konfirmasikan tidak ada lagi kesalahan LargeObject.

Langkah 8: Aktifkan kembali penjadwal sinkronisasi

Sekarang setelah masalah diselesaikan, aktifkan kembali penjadwal sinkronisasi bawaan:

1. Mulai sesi PowerShell.
2. Aktifkan kembali sinkronisasi terjadwal dengan menjalankan cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Nota

Langkah-langkah sebelumnya hanya berlaku untuk versi yang lebih baru (1.1.xxx.x) Microsoft Entra Connect dengan penjadwal bawaan. Jika Anda menggunakan versi lama (1.0.xxx.x) Microsoft Entra Connect yang menggunakan Windows Task Scheduler, atau Anda menggunakan penjadwal kustom Anda sendiri (tidak umum) untuk memicu sinkronisasi berkala, Anda perlu menonaktifkannya.

Langkah berikutnya

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.