Bagikan melalui

Memahami kesalahan selama sinkronisasi Microsoft Entra

  • Artikel

Kesalahan dapat terjadi ketika data identitas disinkronkan dari Windows Server Active Directory ke ID Microsoft Entra. Artikel ini menyediakan gambaran umum tentang berbagai jenis kesalahan sinkronisasi, beberapa skenario yang mungkin menyebabkan kesalahan, dan cara potensial untuk memperbaiki kesalahan. Artikel ini mencakup jenis kesalahan umum dan mungkin tidak mencakup semua kemungkinan kesalahan.

Artikel ini mengasumsikan Anda terbiasa dengan konsep desain yang mendasar dari MICROSOFT Entra ID dan Microsoft Entra Koneksi.

Penting

Artikel ini mencoba mengatasi kesalahan sinkronisasi yang paling umum. Sayangnya, mencakup setiap skenario dalam satu dokumen tidak dimungkinkan. Untuk informasi selengkapnya termasuk langkah-langkah pemecahan masalah mendalam, lihat Pemecahan masalah menyeluruh objek dan atribut Microsoft Entra Koneksi serta bagian Provisi dan Sinkronisasi Pengguna di bawah dokumentasi pemecahan masalah Microsoft Entra.

Dengan versi terbaru Microsoft Entra Koneksi (Agustus 2016 atau lebih tinggi), Laporan Kesalahan Sinkronisasi tersedia di pusat admin Microsoft Entra sebagai bagian dari Microsoft Entra Koneksi Health untuk sinkronisasi.

Mulai 1 September 2016, ketahananatribut duplikat MICROSOFT Entra ID diaktifkan secara default untuk semua penyewa Microsoft Entra baru . Fitur ini secara otomatis diaktifkan untuk penyewa yang ada.

Microsoft Entra Koneksi melakukan tiga jenis operasi dari direktori yang tetap sinkron: Impor, Sinkronisasi, dan Ekspor. Kesalahan dapat terjadi di ketiga operasi tersebut. Artikel ini terutama berfokus pada kesalahan selama ekspor ke ID Microsoft Entra.

Kesalahan selama ekspor ke ID Microsoft Entra

Bagian berikut menjelaskan berbagai jenis kesalahan sinkronisasi yang dapat terjadi selama operasi ekspor ke ID Microsoft Entra dengan menggunakan konektor Microsoft Entra. Anda dapat mengidentifikasi konektor ini dengan format nama contoso.onmicrosoft.com. Kesalahan selama ekspor ke ID Microsoft Entra menunjukkan bahwa operasi seperti menambahkan, memperbarui, atau menghapus yang dicoba oleh Microsoft Entra Koneksi (mesin sinkronisasi) pada ID Microsoft Entra gagal.

Diagram yang memperlihatkan gambaran umum kesalahan ekspor.

Kesalahan data tidak cocok

Bagian ini membahas kesalahan ketidakcocokan data.

InvalidHardMatch

Deskripsi

Kesalahan InvalidHardMatch terjadi selama sinkronisasi ketika ada upaya untuk mencocokkan objek secara permanen yang ada di MICROSOFT Entra ID dengan objek masuk baru yang memiliki nilai sourceAnchor yang sama, tetapi fitur BlockCloudObjectTakeoverThroughHardMatchEnabled diaktifkan pada penyewa.

Contoh skenario untuk kesalahan InvalidHardMatch

  • DirSync diaktifkan kembali pada penyewa dan objek dengan sourceAnchor yang sama disinkronkan lagi, namun fitur BlockCloudObjectTakeoverThroughHardMatchEnabled diaktifkan dan mencegah kecocokan keras terjadi.
  • Pengguna dikecualikan dari cakupan sinkronisasi dan dipulihkan dari Keranjang Sampah ID Microsoft Entra. Nantinya, pengguna ditambahkan kembali untuk menyinkronkan cakupan dan mencoba mengambil alih objek yang sudah ada di MICROSOFT Entra ID berdasarkan nilai sourceAnchor yang sama, namun fitur BlockCloudObjectTakeoverThroughHardMatchEnabled diaktifkan dan mencegah terjadinya hard match.

Contoh kasus

  1. Bob Smith adalah seorang pengguna tersinkronkan di Microsoft Entra ID dari Active Directory lokal contoso.com.
  2. Secara default, nilai SourceAnchor dari "abcdefghijklmnopqrstuv==" dihitung oleh Microsoft Entra Koneksi dengan menggunakan atribut MsDs-ConsistencyGUID Bob Smith (atau ObjectGUID tergantung pada konfigurasi) dari Active Directory lokal. Nilai atribut ini adalah immutableId untuk Bob Smith dalam ID Microsoft Entra.
  3. Admin menghapus Bob Smith dari cakupan sinkronisasi dan Microsoft Entra Koneksi mengekspor penghapusan objek.
  4. Objek Bob Smith menjadi dihapus sementara dalam ID Microsoft Entra dan atribut DirSyncEnabled-nya dialihkan ke False. Namun, proses ini tidak mengonversi objek ke dikelola cloud, objek masih dianggap sebagai objek yang disinkronkan dari Active Directory lokal. Nilai DirSyncEnabled adalah False untuk menunjukkan bahwa nilai tersebut saat ini berada di luar cakupan sinkronisasi dan tersedia untuk dicocokkan lagi.
  5. Admin menambahkan kembali Bob Smith ke dalam cakupan sinkronisasi dan Microsoft Entra Koneksi menyinkronkan ulang objek.
  6. Biasanya, hard match mengambil alih objek yang ada di MICROSOFT Entra ID berdasarkan SourceAnchor yang sama dan mengalihkan atribut DirSyncEnabled kembali ke 'True', namun, ketika BlockCloudObjectTakeoverThroughHardMatchEnabled diaktifkan, operasi ini tidak diizinkan dan InvalidHardMatch dilemparkan.

Memperbaiki kesalahan InvalidHardMatch

Kami menyarankan pelanggan untuk mengaktifkan BlockCloudObjectTakeoverThroughHardMatchEnabled kecuali mereka memerlukannya untuk mengambil alih akun yang ada di ID Microsoft Entra.

Jika Anda perlu menghapus kesalahan InvalidHardtMatch dan berhasil mencocokkan akun, Anda dapat mengaktifkan hard match lagi seperti yang dideskripsi dalam Hard-match vs Soft-match.

InvalidSoftMatch

Deskripsi

  • Kesalahan InvalidSoftMatch terjadi ketika hard match tidak menemukan objek yang cocok dan kecocokan lunak menemukan objek yang cocok, tetapi objek tersebut memiliki nilai immutableId yang berbeda dari sourceAnchor objek masuk. Ketidakcocokan ini menunjukkan bahwa objek yang cocok disinkronkan dari objek lain dari Active Directory lokal.

Agar kecocokan lunak berfungsi, objek yang akan dicocokkan dengan soft-match tidak boleh memiliki nilai apa pun untuk atribut immutableId . Operasi menghasilkan kesalahan sinkronisasi InvalidSoftMatch ketika objek dengan atribut immutableId yang ditetapkan dengan nilai, gagal hard match tetapi memenuhi kriteria kecocokan lunak.

Skema Microsoft Entra tidak memungkinkan dua objek atau lebih memiliki nilai yang sama untuk atribut-atribut berikut. Daftar ini tidak lengkap:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

Ketahanan atribut duplikat atribut Microsoft Entra](how-to-connect-syncservice-duplicate-attribute-resiliency.md) juga sedang diluncurkan sebagai perilaku default ID Microsoft Entra. Fitur ini mengurangi jumlah kesalahan sinkronisasi yang dilihat oleh Microsoft Entra Koneksi dan klien sinkronisasi lainnya. Ini membuat Microsoft Entra lebih tangguh dalam cara menangani atribut proxyAddresses dan userPrincipalName duplikat yang ada di lingkungan Active Directory lokal.

Fitur ini tidak memperbaiki kesalahan duplikasi, sehingga data masih perlu diperbaiki. Tetapi memungkinkan provisi objek baru yang diblokir agar tidak disediakan karena nilai duplikat dalam ID Microsoft Entra. Kemampuan ini juga mengurangi jumlah kesalahan sinkronisasi yang dikembalikan ke klien sinkronisasi.

Catatan

Jika ketahanan atribut duplikat atribut Microsoft Entra diaktifkan untuk penyewa, Anda tidak akan melihat kesalahan sinkronisasi InvalidSoftMatch yang terlihat selama provisi objek baru.

Contoh skenario untuk kesalahan InvalidSoftMatch

  • Dua objek atau lebih dengan nilai yang sama untuk atribut proxyAddresses ada di Active Directory lokal. Hanya satu yang diprovisikan dalam ID Microsoft Entra.
  • Dua objek atau lebih dengan nilai yang sama untuk atribut userPrincipalName ada di Active Directory lokal. Hanya satu yang diprovisikan dalam ID Microsoft Entra.
  • Objek ditambahkan dalam Active Directory lokal dengan nilai yang sama untuk atribut proxyAddresses seperti objek yang ada di ID Microsoft Entra. Objek yang ditambahkan secara lokal tidak diprovisikan di ID Microsoft Entra.
  • Objek ditambahkan dalam Active Directory lokal dengan nilai yang sama untuk atribut userPrincipalName seperti akun di ID Microsoft Entra. Objek tidak diprovisikan dalam ID Microsoft Entra.
  • Akun yang disinkronkan dipindahkan dari Forest A ke Forest B. Microsoft Entra Koneksi (mesin sinkronisasi) menggunakan atribut objectGUID untuk menghitung atribut sourceAnchor. Setelah forest bergerak, nilai atribut sourceAnchor berbeda. Objek baru dari Forest B gagal disinkronkan dengan objek yang ada di ID Microsoft Entra.
  • Objek yang disinkronkan secara tidak sengaja dihapus dari Active Directory lokal dan objek baru dibuat di Direktori Aktif untuk entitas yang sama (seperti pengguna) tanpa menghapus akun di ID Microsoft Entra. Akun baru gagal disinkronkan dengan objek Microsoft Entra yang ada.
  • Microsoft Entra Koneksi dihapus instalasinya dan diinstal ulang. Selama penginstalan ulang, atribut yang berbeda dipilih sebagai atribut sourceAnchor. Semua objek yang disinkronkan sebelumnya berhenti disinkronkan dengan kesalahan InvalidSoftMatch.

Contoh kasus

  1. Bob Smith adalah pengguna yang disinkronkan di MICROSOFT Entra ID dari Active Directory lokal contoso.com.
  2. Nama prinsipal pengguna Bob Smith ditetapkan sebagai bobs@contoso.com.
  3. Atribut sourceAnchor dari "abcdefghijklmnopqrstuv==" dihitung oleh Microsoft Entra Koneksi dengan menggunakan atribut objectGUID Bob Smith dari Active Directory lokal. Atribut ini adalah atribut immutableId untuk Bob Smith di ID Microsoft Entra.
  4. Bob juga memiliki nilai berikut untuk atribut proxyAddresses :
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com
  5. Pengguna baru, Bob Taylor, ditambahkan ke Active Directory lokal.
  6. Nama prinsipal pengguna Bob Taylor ditetapkan sebagai bobt@contoso.com.
  7. Atribut sourceAnchor dari "abcdefghijkl0123456789==" dihitung oleh Microsoft Entra Koneksi dengan menggunakan atribut objectGUID Bob Taylor dari Active Directory lokal.
  8. Bob Taylor memiliki nilai berikut untuk atribut proxyAddresses :
    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
    • smtp: bob@contoso.com
  9. Selama sinkronisasi, Microsoft Entra Koneksi mengenali penambahan Bob Taylor di Active Directory lokal dan meminta MICROSOFT Entra ID untuk membuat perubahan yang sama.
  10. Microsoft Entra pertama kali melakukan hard match. Artinya, ini mencari objek apa pun dengan atribut immutableId yang sama dengan "abcdefghijkl0123456789==". Hard match gagal karena tidak ada objek lain di MICROSOFT Entra ID yang memiliki atribut immutableId tersebut.
  11. Microsoft Entra ID kemudian melakukan soft match untuk menemukan Bob Taylor. Artinya, ini mencari untuk melihat apakah ada objek dengan atribut proxyAddresses yang sama dengan tiga nilai, termasuk smtp: bob@contoso.com.
  12. MICROSOFT Entra ID menemukan objek Bob Smith agar sesuai dengan kriteria soft-match. Namun, objek ini memiliki nilai immutableId = "abcdefghijklmnopqrstuv ==", yang menunjukkan bahwa objek ini disinkronkan dari objek lain dari Active Directory lokal. ID Microsoft Entra tidak dapat mencocokkan objek ini dengan lembut sehingga kesalahan sinkronisasi InvalidSoftMatch dilemparkan.

Memperbaiki kesalahan InvalidSoftMatch

Alasan paling umum untuk kesalahan InvalidSoftMatch adalah dua objek dengan atribut sourceAnchor (immutableId) yang berbeda yang memiliki nilai yang sama untuk atribut proxyAddresses atau userPrincipalName, yang digunakan selama proses soft-match pada ID Microsoft Entra. Untuk memperbaiki kesalahan InvalidSoftMatch:

  1. Identifikasi duplikat proxyAddresses, userPrincipalName, atau nilai atribut lain yang menyebabkan kesalahan. Identifikasi pula dua objek atau lebih yang terlibat dalam konflik. Laporan yang dihasilkan oleh Microsoft Entra Koneksi Health untuk sinkronisasi dapat membantu Anda mengidentifikasi dua objek.
  2. Identifikasi objek mana yang harus terus memiliki nilai duplikat dan objek mana yang seharusnya tidak.
  3. Hapus nilai duplikat dari objek yang seharusnya tidak memiliki nilai tersebut. Buat perubahan di direktori dari tempat objek bersumber. Dalam beberapa kasus, Anda mungkin perlu menghapus salah satu objek yang berkonflik.
  4. Jika Anda membuat perubahan dalam Active Directory lokal, biarkan Microsoft Entra Koneksi Menyinkronkan perubahan.

Laporan kesalahan sinkronisasi dalam Microsoft Entra Koneksi Health untuk sinkronisasi diperbarui setiap 30 menit dan menyertakan kesalahan dari upaya sinkronisasi terbaru.

Catatan

Atribut ImmutableId, menurut definisi, seharusnya tidak berubah dalam masa pakai objek. Tetapi mungkin Microsoft Entra Koneksi tidak dikonfigurasi dengan beberapa skenario dalam pikiran dari daftar sebelumnya. Dalam hal ini, Microsoft Entra Koneksi mungkin menghitung nilai yang berbeda dari atribut sourceAnchor untuk objek Direktori Aktif yang mewakili entitas yang sama (pengguna, grup, atau kontak yang sama) yang memiliki objek Microsoft Entra yang sudah ada yang ingin Anda terus gunakan.

Artikel terkait

Atribut duplikat atau tidak valid mencegah sinkronisasi direktori di Microsoft 365

ObjectTypeMismatch

Deskripsi

Ketika MICROSOFT Entra ID mencoba untuk mencocokkan dua objek, ada kemungkinan bahwa dua objek dari "jenis objek" yang berbeda, seperti pengguna, grup, atau kontak, memiliki nilai yang sama untuk atribut yang digunakan untuk melakukan kecocokan lunak. Karena duplikasi atribut ini tidak diizinkan di MICROSOFT Entra ID, operasi dapat mengakibatkan kesalahan sinkronisasi ObjectTypeMismatch.

Contoh skenario untuk kesalahan ObjectTypeMismatch

Grup keamanan dengan dukungan email dibuat di Microsoft 365. Admin menambahkan pengguna atau kontak baru di Active Directory lokal yang belum disinkronkan ke ID Microsoft Entra dengan nilai yang sama untuk atribut proxyAddresses seperti dari grup Microsoft 365.

Contoh kasus

  1. Admin membuat grup keamanan baru dengan dukungan email di Microsoft 365 untuk departemen Pajak dan menyediakan alamat email sebagai tax@contoso.com. Grup ini diberi nilai atribut proxyAddressessmtp: tax@contoso.com.
  2. Pengguna baru bergabung dengan Contoso.com dan akun dibuat untuk pengguna secara lokal dengan atribut proxyAddresses sebagai smtp: tax@contoso.com.
  3. Saat Microsoft Entra Koneksi menyinkronkan akun pengguna baru, Microsoft Entra akan mendapatkan kesalahan ObjectTypeMismatch.

Memperbaiki kesalahan ObjectTypeMismatch

Alasan paling umum untuk kesalahan ObjectTypeMismatch adalah dua objek dengan jenis yang berbeda, seperti pengguna, grup, kontak, memiliki nilai yang sama untuk atribut proxyAddresses. Untuk memperbaiki kesalahan ObjectTypeMismatch:

  1. Identifikasi duplikat nilai proxyAddresses (atau atribut lainnya) yang menyebabkan kesalahan. Identifikasi pula dua objek atau lebih yang terlibat dalam konflik. Laporan yang dihasilkan oleh Microsoft Entra Koneksi Health untuk sinkronisasi dapat membantu Anda mengidentifikasi dua objek.
  2. Identifikasi objek mana yang harus terus memiliki nilai duplikat dan objek mana yang seharusnya tidak.
  3. Hapus nilai duplikat dari objek yang seharusnya tidak memiliki nilai tersebut. Buat perubahan di direktori tempat objek tersebut bersumber. Dalam beberapa kasus, Anda mungkin perlu menghapus salah satu objek yang berkonflik.
  4. Jika Anda membuat perubahan di AD lokal, biarkan Microsoft Entra Koneksi Menyinkronkan perubahan. Laporan kesalahan sinkronisasi di Microsoft Entra Koneksi Health untuk sinkronisasi diperbarui setiap 30 menit. Laporan ini mencakup kesalahan dari upaya sinkronisasi terbaru.

Menduplikasikan atribut

Bagian ini membahas kesalahan atribut duplikat.

AttributeValueMustBeUnique

Deskripsi

Skema Microsoft Entra tidak memungkinkan dua objek atau lebih memiliki nilai yang sama untuk atribut-atribut berikut. Setiap objek di Microsoft Entra ID dipaksa untuk memiliki nilai unik bagi atribut-atribut ini pada instans tertentu:

  • mail
  • proxyAddresses
  • signInName
  • userPrincipalName

Jika Microsoft Entra Connect mencoba menambahkan objek baru atau memperbarui objek yang ada dengan nilai untuk atribut sebelumnya yang sudah ditetapkan ke objek lain di Microsoft Entra ID, operasi akan menghasilkan kesalahan sinkronisasi AttributeValueMustBeUnique.

Kemungkinan skenario

Nilai duplikat ditetapkan ke objek yang sudah disinkronkan, yang berkonflik dengan objek lain yang disinkronkan.

Contoh kasus

  1. Bob Smith adalah seorang pengguna tersinkronkan di Microsoft Entra ID dari Active Directory lokal contoso.com.
  2. Nama prinsipal pengguna Bob Smith ditetapkan sebagai bobs@contoso.com.
  3. Bob juga memiliki nilai berikut untuk atribut proxyAddresses :
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com
  4. Pengguna baru, Bob Taylor, ditambahkan ke Active Directory lokal.
  5. Nama prinsipal pengguna Bob Taylor ditetapkan sebagai bobt@contoso.com.
  6. Bob Taylor memiliki nilai berikut untuk atribut proxyAddresses :
    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
  7. Objek Bob Taylor berhasil disinkronkan dengan Microsoft Entra ID.
  8. Admin memutuskan untuk memperbarui atribut proxyAddresses Bob Taylor dengan nilai berikut:
    • smtp: bob@contoso.com
  9. Microsoft Entra ID mencoba memperbarui objek Bob Taylor di Microsoft Entra ID dengan nilai sebelumnya, tetapi operasi ini gagal karena nilai proxyAddresses itu sudah ditetapkan ke Bob Smith. Hasilnya adalah kesalahan AttributeValueMustBeUnique.

Memperbaiki kesalahan AttributeValueMustBeUnique

Alasan paling umum untuk kesalahan AttributeValueMustBeUnique adalah dua objek dengan atribut sourceAnchor (immutableId) yang berbeda memiliki nilai yang sama untuk atribut proxyAddresses atau userPrincipalName. Untuk memperbaiki kesalahan AttributeValueMustBeUnique:

  1. Identifikasi duplikat proxyAddresses, userPrincipalName, atau nilai atribut lain yang menyebabkan kesalahan. Identifikasi pula dua objek atau lebih yang terlibat dalam konflik. Laporan yang dihasilkan oleh Microsoft Entra Koneksi Health untuk sinkronisasi dapat membantu Anda mengidentifikasi dua objek.
  2. Identifikasi objek mana yang harus terus memiliki nilai duplikat dan objek mana yang seharusnya tidak.
  3. Hapus nilai duplikat dari objek yang seharusnya tidak memiliki nilai tersebut. Buat perubahan di direktori dari tempat objek bersumber. Dalam beberapa kasus, Anda mungkin perlu menghapus salah satu objek yang berkonflik.
  4. Jika Anda membuat perubahan di Active Directory lokal, biarkan Microsoft Entra Connect menyinkronkan perubahan agar kesalahan diperbaiki.

Artikel terkait

Atribut duplikat atau tidak valid mencegah sinkronisasi direktori di Microsoft 365

Kegagalan validasi data

Bagian ini membahas kegagalan validasi data.

IdentityDataValidationFailed

Deskripsi

Microsoft Entra ID memberlakukan berbagai pembatasan pada data itu sendiri sebelum memungkinkan data tersebut ditulis ke dalam direktori. Pembatasan ini untuk memastikan bahwa pengguna akhir mendapatkan pengalaman terbaik saat menggunakan aplikasi yang bergantung pada data ini.

Skenario

  • Nilai atribut userPrincipalName memiliki karakter yang tidak valid/tidak didukung.
  • Atribut userPrincipalName tidak mengikuti format yang diperlukan.

Hasil dari skenario sebelumnya adalah kesalahan IdentityDataValidationFailed.

Memperbaiki kesalahan IdentityDataValidationFailed

Pastikan bahwa atribut userPrincipalName telah mendukung karakter dan format yang diperlukan.

Artikel terkait

Bersiap untuk memprovisikan pengguna melalui sinkronisasi direktori ke Microsoft 365

Menghapus kesalahan pelanggaran akses dan pelanggaran akses kata sandi

ID Microsoft Entra melindungi objek khusus cloud agar tidak diperbarui melalui Microsoft Entra Koneksi. Meskipun tidak dimungkinkan untuk memperbarui objek ini melalui Microsoft Entra Koneksi, panggilan dapat dilakukan langsung ke back-end Microsoft Entra untuk mencoba mengubah objek khusus cloud. Saat melakukannya, kesalahan berikut dapat ditampilkan:

  • Operasi sinkronisasi ini, Hapus, tidak valid. Hubungi Dukungan Teknis (Kesalahan Jenis 114).
  • Tidak dapat memproses pembaruan ini karena satu atau beberapa pembaruan kredensial pengguna khusus cloud disertakan dalam permintaan saat ini.
  • Menghapus objek khusus cloud tidak didukung. Hubungi Dukungan Pelanggan Microsoft.
  • Permintaan perubahan kata sandi tidak dapat dijalankan karena berisi perubahan pada satu atau beberapa objek pengguna khusus cloud, yang tidak didukung. Hubungi Dukungan Pelanggan Microsoft.

Mengatasi PenghapusanCloudOnlyObjectNotAllowed (Tipe Kesalahan 114)

Bagian ini membahas potensi penyebab dan solusi untuk menyelesaikan kesalahan MenghapusCloudOnlyObjectNotAllowed (Kesalahan Jenis 114).

Microsoft menyarankan agar organisasi memiliki dua akun akses darurat khusus cloud yang secara permanen menetapkan peran Administrator Global. Akun ini sangat istimewa dan tidak ditugaskan untuk individu tertentu. Akun terbatas pada skenario darurat atau "pecahkan kaca" di mana akun normal tidak dapat digunakan atau semua administrator lain secara tidak sengaja dikunci. Akun-akun ini harus dibuat mengikuti rekomendasi akun akses darurat.

Deskripsi

Ini adalah skenario ketika pelanggan ingin bermigrasi dari hibrid ke hanya cloud. Admin memulai panggilan ke Microsoft Entra Koneksi dalam upaya untuk memindahkan pengguna dari cakupan, tetapi Microsoft Entra Koneksi mengembalikan kesalahan MenghapusCloudOnlyObjectNotAllowed (atau Tipe Kesalahan 114): "Operasi sinkronisasi ini, Hapus, tidak valid. Hubungi Dukungan Teknis."

Kemungkinan penyebab kesalahan ini meliputi:

  • Panggilan dari Microsoft Entra Koneksi tidak memiliki UPN, GUID baru atau unik, atau informasi lain yang diperlukan.
  • Microsoft Entra Koneksi mencoba mengekspor data, tetapi telah DirSyncEnabled diatur ke False.
  • Microsoft Entra Koneksi mencoba menghapus pengguna yang dipulihkan atau objek lainnya. Ini biasanya karena pengguna atau referensi objek lainnya telah dipindahkan dari cakupan sinkronisasi atau ke kontainer Hilang & Ditemukan.

Kemungkinan skenario

Klien Microsoft Entra Koneksi gagal menghapus pengguna selama migrasi dari hibrid ke cloud saja, yang mengakibatkan Kesalahan Jenis 114.

Alasan potensial bagi pengguna untuk tidak dihapus meliputi:

  • Aturan yang dibuat oleh pelanggan untuk memindahkan pengguna dari cakupan didasarkan pada Admin atribut .
  • Kesalahan Tipe 114 sedang dikembalikan selama operasi sinkronisasi (Sinkronisasi Azure AD), yang mengakibatkan kegagalan untuk menghapus pengguna.
  • Sinkronisasi gagal untuk fitur tertentu, yang mengakibatkan pengguna tidak dihapus dengan sesuai.

Contoh kesalahan

Contoh kesalahan ekspor:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Memperbaiki kesalahan

Untuk mengatasi masalah ini:

  1. Identifikasi referensi objek masalah.
  2. Gunakan PowerShell untuk menghapus sementara akun cloud:
  3. Jalankan Start-ADSyncSyncCycle -PolicyType Delta yang seharusnya berhasil mengimpor penghapusan akun.
  4. Konfirmasikan bahwa penghapusan berhasil.
  5. Pulihkan pengguna dari Keranjang Sampah.
  6. Jalankan Start-ADSyncSyncCycle -PolicyType Delta di server untuk mengonfirmasi bahwa kesalahan tidak terjadi lagi.

Peringatan

Ketika pengguna dikecualikan dari cakupan sinkronisasi, objek akan dihapus sementara di MICROSOFT Entra ID dan atribut DirSyncEnabled-nya dialihkan ke False. Namun, proses ini tidak mengonversi objek ke dikelola cloud, karena masih berisi atribut dan nilai yang disinkronkan dari Active Directory lokal yang tidak dapat dikelola di cloud. Nilai DirSyncEnabled adalah False untuk menunjukkan bahwa nilai tersebut saat ini berada di luar cakupan sinkronisasi dan tersedia untuk dicocokkan lagi.

LargeObject atau ExceededAllowedLength

Bagian ini membahas kesalahan LargeObject atau ExceededAllowedLength.

Deskripsi

Ketika atribut melebihi batas ukuran, batas panjang, atau batas hitungan yang diizinkan yang ditetapkan oleh skema Microsoft Entra, operasi sinkronisasi menghasilkan kesalahan sinkronisasi LargeObject atau ExceededAllowedLength. Biasanya kesalahan ini terjadi untuk atribut berikut:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

ID Microsoft Entra tidak memberlakukan batas per atribut, kecuali untuk batas yang dikodekan secara permanen 15 sertifikat dalam atribut userCertificate dan hingga 100 atribut untuk ekstensi Direktori dengan maksimal 250 karakter untuk setiap ekstensi direktori. Ada batas ukuran untuk seluruh objek. Ketika Microsoft Entra Connect mencoba menyinkronkan objek yang melebihi batas ukuran objek ini, kesalahan ekspor terjadi.

Semua atribut berkontribusi pada ukuran akhir objek. Beberapa atribut memiliki pengali bobot yang berbeda karena overhead pemrosesan tambahan. Contohnya adalah nilai terindeks. Selain itu, layanan cloud, paket layanan, dan lisensi yang berbeda dapat ditetapkan ke akun, yang menggunakan lebih banyak atribut dan berkontribusi pada ukuran keseluruhan objek.

Tidak dimungkinkan untuk menentukan dengan tepat berapa banyak entri yang dapat disimpan atribut di ID Microsoft Entra, misalnya, berapa banyak alamat SMTP yang dapat dimuat dalam atribut proxyAddresses . Jumlahnya tergantung pada ukuran dan faktor pengali dari semua atribut yang diisi dalam objek.

Kemungkinan skenario

  • Atribut userCertificate Bob menyimpan terlalu banyak sertifikat yang ditetapkan untuk Bob. Sertifikat ini mungkin mencakup sertifikat yang lebih lama dan kedaluwarsa. Batas hardnya adalah 15 sertifikat. Untuk informasi selengkapnya tentang cara menangani kesalahan LargeObject dengan userCertificate, lihat Menangani kesalahan LargeObject yang disebabkan oleh atribut userCertificate.
  • Atribut userSMIMECertificate Bob menyimpan terlalu banyak sertifikat yang ditetapkan untuk Bob. Sertifikat ini mungkin mencakup sertifikat yang lebih lama dan kedaluwarsa. Batas hardnya adalah 15 sertifikat.
  • Atribut thumbnailPhoto Bob yang diatur di Direktori Aktif terlalu besar untuk disinkronkan dalam ID Microsoft Entra.
  • Selama populasi otomatis atribut proxyAddresses di Active Directory, objek memiliki terlalu banyak atribut proxyAddresses yang ditetapkan.

Contoh-contoh berikut menunjukkan bobot atribut yang berbeda seperti userCertificate dan proxyAddresses:

  • Pengguna yang disinkronkan yang tidak memiliki atribut apa pun yang diisi selain atribut Active Directory wajib dan Mail mungkin dapat menyinkronkan hingga 332 alamat proksi.
  • Untuk pengguna serupa yang disinkronkan yang memiliki atribut mailNickName, ditambah 10 sertifikat pengguna, jumlah maksimum alamat proksi berkurang menjadi 329.
  • Jika pengguna serupa yang disinkronkan ditambah 10 sertifikat pengguna, misalnya 4 langganan yang ditetapkan (dengan semua paket layanan diaktifkan), jumlah maksimum alamat proksi berkurang menjadi 311.
  • Sekarang mari kita ambil pengguna sebelumnya, yang sudah memiliki jumlah alamat proksi maksimum, dan katakanlah Anda perlu menambahkan satu alamat SMTP lagi. Untuk mencapai 312 alamat proksi, Anda harus menghapus setidaknya tiga sertifikat pengguna (tergantung pada ukuran sertifikat).

Catatan

Angka-angka ini dapat sedikit berbeda. Sebagai aturan praktis, lebih aman untuk mengasumsikan bahwa batas alamat SMTP di atribut proxyAddresses adalah sekitar 300 alamat guna memberi ruang untuk pertumbuhan objek dan atribut yang terisi di masa mendatang.

Memperbaiki kesalahan LargeObject atau ExceededAllowedLength

Tinjau properti pengguna dan hapus nilai atribut yang mungkin tidak lagi diperlukan. Contohnya termasuk sertifikat yang dicabut atau kedaluwarsa dan alamat usang atau tidak perlu, seperti SMTP, X.400, X.500, MSMail, dan CcMail.

Konflik Peran Admin yang Ada

Deskripsi

Kesalahan sinkronisasi Konflik Peran Admin yang Ada akan terjadi pada objek pengguna selama sinkronisasi saat objek pengguna tersebut memiliki:

  • Izin administratif.
  • Atribut userPrincipalName yang sama dengan objek Microsoft Entra yang ada.

Microsoft Entra Koneksi tidak diizinkan untuk mencocokkan objek pengguna dari AD lokal dengan objek pengguna di ID Microsoft Entra yang memiliki peran administratif yang ditetapkan untuknya. Untuk informasi selengkapnya, lihat Populasi UserPrincipalName Microsoft Entra.

Cuplikan layar yang memperlihatkan jumlah kesalahan sinkronisasi Konflik Peran Admin yang Ada.

Memperbaiki kesalahan Konflik Peran Admin yang Ada

Untuk mengatasi masalah ini:

  1. Hapus akun Microsoft Entra (pemilik) dari semua peran admin.
  2. Hapus permanen objek yang dikarantina di cloud.
  3. Siklus sinkronisasi berikutnya akan mengurus pencocokan sementara pengguna lokal ke akun cloud karena pengguna cloud sekarang bukan lagi Administrator Identitas Hibrid.
  4. Pulihkan keanggotaan peran untuk pemilik.

Catatan

Anda dapat menetapkan peran administratif ke objek pengguna yang ada lagi setelah kecocokan sementara antara objek pengguna lokal dan objek pengguna Microsoft Entra telah selesai.