次の方法で共有

Microsoft Entra Connect での差分インポート中の "サイズ制限の超過 - エラー コード 0x4" エラー メッセージ

この記事では、Microsoft Entra Connect のオンプレミスの Active Directoryからの差分インポート手順中に発生する "Size Limit Exceeded - Error Code 0x4" エラー メッセージのトラブルシューティング方法について説明します。

現象

Synchronization Service Manager アプリでは、オンプレミスの Active Directory connector からの Delta Import ステップが失敗します。 [ 接続ログ ] ダイアログ ボックスには、 dropped-connection 状態、 Size Limit Exceeded エラー、および 0x4のエラー コードが表示されます。

Synchronization Service Manager アプリの [操作] タブのスクリーンショット。[接続ログ] ダイアログ ボックスには、切断された接続インシデントが表示されます。

アプリケーション ログには、次の例に示すように、エラー イベント ID 6050 が記録されます。

Log Name:      Application
Source:        ADSync
Date:          5/12/2023 7:34:38 AM
Event ID:      6050
Task Category: Management Agent Run Profile
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      AADConnect.Contoso.com
Description:
The management agent "Contoso.com" failed on run profile "Delta Import" because of connectivity issues.
 
 Additional Information
 Discovery Errors       : "0"
 Synchronization Errors : "0"
 Metaverse Retry Errors : "0"
 Export Errors          : "0"
 Warnings               : "0"
 
 User Action
 View the management agent run history for details.

原因

既定では、Microsoft Entra ID でライトウェイト ディレクトリ アクセス プロトコル (LDAP) の検索またはクエリを実行すると、ディレクトリは 1,000 件以下のレコードを返すことができます。 セキュリティ設計では、これは Active Directory の既定の動作です。 1,000 レコードの制限は、LDAP クエリに対する分散型サービス拒否 (DDoS) 攻撃を防ぐことを目的としています。 この問題は、最近 Active Directory のごみ箱から多数のオブジェクトを同時に復元した場合に発生する可能性があります。 復元プロセスにより、差分インポート クエリがレコードの制限を超える可能性があります。

解決策 1: AD DS コネクタでフル インポートを実行する

この問題の最も簡単な解決策は、Active Directory ドメイン Services (AD DS) コネクタで (差分インポートではなく) 完全インポートを手動で実行することです。 次のステップを実行します。

  1. Start を選択し、Synchronization Service Manager を検索して選択します。

  2. Synchronization Service Manager ウィンドウで、接続していないオンプレミス AD コネクタの Delta Import ステップを選択します。 stopped-connectivity状態を示す差分インポートステップを探します。

  3. Ctrl+F5 を選択するか、選択内容を右クリックして Run を選択します。

  4. Run Connector ダイアログ ボックスで、Full Import run プロファイルを選択し、OKを選択します。

完全なインポートが完了したら、PowerShell コンソールを開き、 Start-ADSyncSyncCycle コマンドレットを実行して、通常の差分同期サイクルを開始します。 このプロセスについては、 Microsoft Entra Connect Sync: Scheduler で説明されています。

解決策 2: レコード制限を一時的に増やす

AD DS コネクタで完全なインポートを実行しない場合は、一時的に構成を変更して、差分同期中に LDAP 検索からより多くのレコードが返されるようにすることができます。

1,000 レコードの制限を増やすには、差分インポート ステップで返されるオブジェクトの数に合わせて最大ページ サイズ (MaxPageSize) 設定を増やします。 たとえば、ユーザー数が 5,000 人の組織単位 (OU) を復元した場合は、 MaxPageSize を一時的に 5,000 に増やすことをお勧めします。 次に、Microsoft Entra Connect の問題が解決されたら、 MaxPageSize を既定値の 1,000 に復元します。

MaxPageSize設定を変更するには、次の手順に示すように、Ntdsutil コマンドを実行します。 MaxPageSizeの詳細については、「LDAP 管理制限」を参照してください。

重要

慎重にこのセクションの手順に従います。 既定の AD 構成を正しく変更しないと、重大な問題が発生する可能性があります。 問題が解決したら、既定値を復元できます。

  1. Startを選択し、「コマンド プロンプト入力して、管理者として実行選択します

  2. コマンド プロンプトで、「 ntdsutil 」と入力して Ntdsutil コンソール セッションを開始します。

  3. View で、Ntdsutil.exe記事を使用して Active Directory で LDAP ポリシーを設定する方法については、「現在のポリシー設定の表示」セクションの手順に従って、現在のポリシー設定を確認します。

  4. 最大ページ サイズを変更するには、「 set MaxPageSize to <new-maximum-page-size-value>」と入力します。

  5. commit changesを入力して新しい値を適用します。

  6. Ntdsutil セッションを終了するには、 quit 2 回入力します。

構成を変更したら、PowerShell コンソールを開き、 Start-ADSyncSyncCycle コマンドレットを実行して通常の差分同期サイクルを開始します。 このプロセスについては、 Microsoft Entra Connect Sync: Scheduler で説明されています。 Active Directory から返されるレコードの数が多くなり、Microsoft Entra Connect に完全な差分応答を提供できるようになります。

差分同期が正常に完了したら、手順を繰り返して、 MaxPageSize 設定を元の値 (1,000) に復元します。

関連情報

LDAP ポリシー

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。