Microsoft Entra Verbinding maken Sync: LargeObject-fouten verwerken die worden veroorzaakt door het kenmerk userCertificate

Microsoft Entra ID dwingt een maximumlimiet van 15 certificaatwaarden af op het kenmerk userCertificate . Als Microsoft Entra Verbinding maken een object met meer dan 15 waarden exporteert naar Microsoft Entra-id, retourneert Microsoft Entra-id een LargeObject-fout met het volgende bericht:

'Het ingerichte object is te groot. Kort het aantal kenmerkwaarden voor dit object in. De bewerking wordt opnieuw uitgevoerd in de volgende synchronisatiecyclus...'

De LargeObject-fout kan worden veroorzaakt door andere AD-kenmerken. Als u wilt bevestigen dat dit inderdaad wordt veroorzaakt door het kenmerk userCertificate, moet u controleren op het object in on-premises AD of in de Metaverse search van Synchronization Service Manager.

Gebruik een van de volgende methoden om de lijst met objecten in uw tenant met LargeObject-fouten op te halen:

• Als uw tenant is ingeschakeld voor Microsoft Entra Verbinding maken Status voor synchronisatie, kunt u verwijzen naar het opgegeven synchronisatiefoutrapport.

• Op het tabblad Synchronization Service Manager Operations wordt de lijst met objecten met LargeObject-fouten weergegeven als u op de meest recente exportbewerking naar Microsoft Entra klikt.

Opties voor risicobeperking

Totdat de LargeObject-fout is opgelost, kunnen andere kenmerkwijzigingen in hetzelfde object niet worden geëxporteerd naar Microsoft Entra-id. U kunt de volgende opties overwegen om de fout op te lossen:

• Voer een upgrade uit van Microsoft Entra Verbinding maken naar build 1.1.524.0 of later. In Microsoft Entra Connect build 1.1.524.0 zijn de out-of-box synchronisatieregels bijgewerkt om de kenmerken userCertificate en userSMIMECertificate niet te exporteren als de kenmerken meer dan 15 waarden hebben. Raadpleeg het artikel Microsoft Entra Verbinding maken: Upgraden van een eerdere versie naar de meest recente versie voor meer informatie over het upgraden van Microsoft Entra Verbinding maken.

• Implementeer een uitgaande synchronisatieregel in Microsoft Entra Verbinding maken waarmee een null-waarde wordt geëxporteerd in plaats van de werkelijke waarden voor objecten met meer dan 15 certificaatwaarden. Deze optie is geschikt als het niet nodig is de certificaatwaarden te exporteren naar Microsoft Entra ID voor objecten met meer dan 15 waarden. Raadpleeg de volgende sectie Synchronisatieregel implementeren om het exporteren van het kenmerk userCertificate te beperken voor meer informatie over het implementeren van deze synchronisatieregel.

• Verminder het aantal certificaatwaarden op het on-premises AD-object (15 of minder) door waarden te verwijderen die niet meer worden gebruikt door uw organisatie. Dit is geschikt als de kenmerk-bloating wordt veroorzaakt door verlopen of ongebruikte certificaten. U kunt de cmdlet Remove-ADSyncToolsExpiredCertificates gebruiken om verlopen certificaten in uw on-premises AD te vinden, er een back-up van te maken en te verwijderen. Voordat u de certificaten verwijdert, wordt u aangeraden de Public Key Infrastructure-beheerders in uw organisatie te raadplegen.

• Configureer Microsoft Entra Verbinding maken om het kenmerk userCertificate uit te sluiten van de export naar Microsoft Entra-id. Over het algemeen raden we deze optie niet aan, aangezien het kenmerk mogelijk wordt gebruikt door Microsoft Online Services om specifieke scenario's in te schakelen. Met name:

  • Het kenmerk userCertificate op het gebruikersobject wordt gebruikt door Exchange Online- en Outlook-clients voor berichtondertekening en -versleuteling. Raadpleeg het artikel S/MIME voor berichtondertekening en -versleuteling voor meer informatie over deze functie.

  • Het kenmerk userCertificate op het computerobject wordt door Microsoft Entra-id gebruikt om windows 10 on-premises apparaten die lid zijn van een domein verbinding te laten maken met Microsoft Entra-id. Raadpleeg het artikel Verbinding maken apparaten die lid zijn van een domein voor Microsoft Entra ID voor Windows 10-ervaringen voor meer informatie over deze functie.

Synchronisatieregel implementeren om het exporteren van het kenmerk userCertificate te beperken

Als u de LargeObject-fout wilt oplossen die wordt veroorzaakt door het kenmerk userCertificate, kunt u een uitgaande synchronisatieregel implementeren in Microsoft Entra Verbinding maken waarmee een null-waarde wordt geëxporteerd in plaats van de werkelijke waarden voor objecten met meer dan 15 certificaatwaarden. In deze sectie worden de stappen beschreven die nodig zijn om de synchronisatieregel voor gebruikersobjecten te implementeren. De stappen kunnen worden aangepast voor contact - en computerobjecten .

Belangrijk

Als u null-waarde exporteert, worden certificaatwaarden verwijderd die eerder zijn geëxporteerd naar Microsoft Entra-id.

De stappen kunnen worden samengevat als:

1. Schakel de synchronisatieplanner uit en controleer of er geen synchronisatie wordt uitgevoerd.
2. Zoek de bestaande uitgaande synchronisatieregel voor het kenmerk userCertificate.
3. Maak de vereiste regel voor uitgaande synchronisatie.
4. Controleer de nieuwe synchronisatieregel voor een bestaand object met de fout LargeObject.
5. Pas de nieuwe synchronisatieregel toe op resterende objecten met een LargeObject-fout.
6. Controleer of er geen onverwachte wijzigingen zijn die wachten om te worden geëxporteerd naar Microsoft Entra-id.
7. Exporteer de wijzigingen naar de Microsoft Entra-id.
8. Schakel de synchronisatieplanner opnieuw in.

Stap 1: Synchronisatieplanner uitschakelen en controleren of er geen synchronisatie wordt uitgevoerd

Zorg ervoor dat er geen synchronisatie plaatsvindt terwijl u zich midden in het implementeren van een nieuwe synchronisatieregel bevindt om te voorkomen dat onbedoelde wijzigingen worden geëxporteerd naar Microsoft Entra-id. De ingebouwde synchronisatieplanner uitschakelen:

1. Start de PowerShell-sessie op de Microsoft Entra Verbinding maken-server.

2. Geplande synchronisatie uitschakelen door cmdlet uit te voeren: Set-ADSyncScheduler -SyncCycleEnabled $false

Notitie

De voorgaande stappen zijn alleen van toepassing op nieuwere versies (1.1.xxx.x) van Microsoft Entra Verbinding maken met de ingebouwde scheduler. Als u oudere versies (1.0.xxx.x) van Microsoft Entra gebruikt Verbinding maken die gebruikmaakt van Windows Task Scheduler, of als u uw eigen aangepaste planner (niet gebruikelijk) gebruikt om periodieke synchronisatie te activeren, moet u ze dienovereenkomstig uitschakelen.

1. Start Synchronization Service Manager door naar START → Synchronization Service te gaan.

2. Ga naar het tabblad Bewerkingen en controleer of er geen bewerking is waarvan de status wordt uitgevoerd.

Stap 2: zoek de bestaande uitgaande synchronisatieregel voor het kenmerk userCertificate

Er moet een bestaande synchronisatieregel zijn die is ingeschakeld en geconfigureerd voor het exporteren van het kenmerk userCertificate voor gebruikersobjecten naar Microsoft Entra-id. Zoek deze synchronisatieregel om de prioriteit en bereikfilterconfiguratie te achterhalen :

1. Start de Editor voor synchronisatieregels door naar start → Editor voor synchronisatieregels te gaan.

2. Configureer de zoekfilters met de volgende waarden:

   Kenmerk	Weergegeven als
   Richting	Uitgaand
   MV-objecttype	Persoon
   Connector	naam van uw Microsoft Entra-connector
   objecttype Verbinding maken or	gebruiker
   MV-kenmerk	userCertificate

3. Als u OOB-synchronisatieregels (out-of-box) gebruikt voor Microsoft Entra-connector om het kenmerk userCertificate voor gebruikersobjecten te exporteren, moet u de regel Out to Microsoft Entra ID – User ExchangeOnline terugkrijgen.

4. Noteer de prioriteitswaarde van deze synchronisatieregel.

5. Selecteer de synchronisatieregel en klik op Bewerken.

6. Klik in het pop-upvenster 'Bevestiging van gereserveerde regel bewerken' op Nee. (Geen zorgen, we gaan geen wijzigingen aanbrengen in deze synchronisatieregel).

7. Selecteer in het bewerkingsscherm het tabblad Bereikfilter .

8. Noteer de bereikfilterconfiguratie. Als u de OOB-synchronisatieregel gebruikt, moet er precies één bereikfiltergroep zijn die twee componenten bevat, waaronder:

   Kenmerk	Operator	Weergegeven als
   sourceObjectType	GELIJKE	Gebruiker
   cloudMastered	NOTEQUAL	Waar

Stap 3: Maak de vereiste regel voor uitgaande synchronisatie

De nieuwe synchronisatieregel moet hetzelfde bereikfilter en dezelfde hogere prioriteit hebben dan de bestaande synchronisatieregel. Dit zorgt ervoor dat de nieuwe synchronisatieregel van toepassing is op dezelfde set objecten als de bestaande synchronisatieregel en de bestaande synchronisatieregel voor het kenmerk userCertificate overschrijft. De synchronisatieregel maken:

1. Klik in de editor voor synchronisatieregels op de knop Nieuwe regel toevoegen.

2. Geef op het tabblad Beschrijving de volgende configuratie op:

   Kenmerk	Weergegeven als	Details
   Naam	Geef een naam op	Bijvoorbeeld 'Out to Microsoft Entra ID – Custom override for userCertificate'
   Beschrijving	Geef een beschrijving op	Bijvoorbeeld: 'Als het kenmerk userCertificate meer dan 15 waarden heeft, exporteert u NULL'.
   Verbinding maken ed System	Selecteer de Microsoft Entra-Verbinding maken or
   Verbinding maken ed systeemobjecttype	gebruiker
   Metaverse-objecttype	Persoon
   Koppelingstype	Join
   Prioriteit	Kies een getal tussen 1 en 99	Het gekozen getal mag niet worden gebruikt door een bestaande synchronisatieregel en heeft een lagere waarde (en dus een hogere prioriteit) dan de bestaande synchronisatieregel.

3. Ga naar het tabblad Bereikfilter en implementeer hetzelfde bereikfilter dat de bestaande synchronisatieregel gebruikt.

4. Sla het tabblad Join-regels over.

5. Ga naar het tabblad Transformaties om een nieuwe transformatie toe te voegen met behulp van de volgende configuratie:

   Kenmerk	Weergegeven als
   Stroomtype	Expression
   Doelkenmerk	userCertificate
   Bronkenmerk	Gebruik de volgende expressie: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Klik op de knop Toevoegen om de synchronisatieregel te maken.

Stap 4: Controleer de nieuwe synchronisatieregel op een bestaand object met de fout LargeObject

Dit is om te controleren of de gemaakte synchronisatieregel correct werkt op een bestaand AD-object met largeObject-fout voordat u deze toepast op andere objecten:

1. Ga naar het tabblad Bewerkingen in Synchronisatieservicebeheer.
2. Selecteer de meest recente exportbewerking naar Microsoft Entra en klik op een van de objecten met LargeObject-fouten.
3. Klik in het pop-upscherm Verbinding maken of Spatieobjecteigenschappen op de knop Voorbeeld.
4. Selecteer in het pop-upvenster Voorbeeld de optie Volledige synchronisatie en klik op Voorbeeld doorvoeren.
5. Sluit het voorbeeldscherm en het scherm Verbinding maken of Ruimteobjecteigenschappen.
6. Ga naar het tabblad Verbinding maken ors in Synchronization Service Manager.
7. Klik met de rechtermuisknop op de Microsoft Entra ID Verbinding maken or en selecteer Uitvoeren...
8. Selecteer in het pop-upvenster Verbinding maken or Uitvoeren de optie Exporteren en klik op OK.
9. Wacht tot exporteren naar Microsoft Entra-id is voltooid en controleer of er geen LargeObject-fout meer is op dit specifieke object.

Stap 5: De nieuwe synchronisatieregel toepassen op resterende objecten met de fout LargeObject

Zodra de synchronisatieregel is toegevoegd, moet u een volledige synchronisatiestap uitvoeren op de AD-Verbinding maken or:

1. Ga naar het tabblad Verbinding maken ors in Synchronization Service Manager.
2. Klik met de rechtermuisknop op de AD-Verbinding maken or en selecteer Uitvoeren...
3. Selecteer in het pop-upvenster Uitvoeren Verbinding maken of Volledige synchronisatiestap en klik op OK.
4. Wacht totdat de volledige synchronisatiestap is voltooid.
5. Herhaal de bovenstaande stappen voor de resterende AD-Verbinding maken ors als u meer dan één AD-Verbinding maken ors hebt. Meestal zijn meerdere connectors vereist als u meerdere on-premises mappen hebt.

Stap 6: Controleer of er geen onverwachte wijzigingen zijn die wachten om te worden geëxporteerd naar Microsoft Entra-id

1. Ga naar het tabblad Verbinding maken ors in Synchronization Service Manager.
2. Klik met de rechtermuisknop op de Microsoft Entra ID Verbinding maken or en selecteer Search Verbinding maken or Space.
3. In het pop-upvenster Zoeken Verbinding maken or Ruimte:
   1. Stel het bereik in op Exporteren in behandeling.
   2. Schakel alle drie selectievakjes in, waaronder Toevoegen, Wijzigen en Verwijderen.
   3. Klik op de knop Zoeken om alle objecten met wijzigingen te retourneren die moeten worden geëxporteerd naar Microsoft Entra-id.
   4. Controleer of er geen onverwachte wijzigingen zijn. Als u de wijzigingen voor een bepaald object wilt bekijken, dubbelklikt u op het object.

Stap 7: de wijzigingen exporteren naar Microsoft Entra-id

De wijzigingen naar Microsoft Entra-id exporteren:

1. Ga naar het tabblad Verbinding maken ors in Synchronization Service Manager.
2. Klik met de rechtermuisknop op de Microsoft Entra ID Verbinding maken or en selecteer Uitvoeren...
3. Selecteer in het pop-upvenster Verbinding maken or Uitvoeren de optie Exporteren en klik op OK.
4. Wacht tot export naar Microsoft Entra-id is voltooid en controleer of er geen LargeObject-fouten meer zijn.

Stap 8: Synchronisatieplanner opnieuw inschakelen

Nu het probleem is opgelost, schakelt u de ingebouwde synchronisatieplanner opnieuw in:

1. Start de PowerShell-sessie.
2. Geplande synchronisatie opnieuw inschakelen door cmdlet uit te voeren: Set-ADSyncScheduler -SyncCycleEnabled $true

Notitie

De voorgaande stappen zijn alleen van toepassing op nieuwere versies (1.1.xxx.x) van Microsoft Entra Verbinding maken met de ingebouwde scheduler. Als u oudere versies (1.0.xxx.x) van Microsoft Entra gebruikt Verbinding maken die gebruikmaakt van Windows Task Scheduler, of als u uw eigen aangepaste planner (niet gebruikelijk) gebruikt om periodieke synchronisatie te activeren, moet u ze dienovereenkomstig uitschakelen.

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.