Understanding errors during Microsoft Entra synchronization (Informatie over fouten tijdens Microsoft Entra-synchronisatie).

  • Artikel

Er kunnen fouten optreden wanneer identiteitsgegevens vanuit Windows Server Active Directory worden gesynchroniseerd met Microsoft Entra-id. Dit artikel bevat een overzicht van verschillende typen synchronisatiefouten, enkele van de mogelijke scenario's die deze fouten veroorzaken en mogelijke manieren om de fouten op te lossen. Dit artikel bevat veelvoorkomende fouttypen en omvat mogelijk niet alle mogelijke fouten.

In dit artikel wordt ervan uitgegaan dat u bekend bent met de onderliggende ontwerpconcepten van Microsoft Entra ID en Microsoft Entra Verbinding maken.

Belangrijk

In dit artikel worden de meest voorkomende synchronisatiefouten opgelost. Het is helaas niet mogelijk om elk scenario in één document te behandelen. Zie end-to-end probleemoplossing van Microsoft Entra Verbinding maken objecten en kenmerken en de sectie Gebruikersinrichting en synchronisatie onder de documentatie voor probleemoplossing van Microsoft Entra voor meer informatie, waaronder uitgebreide stappen voor probleemoplossing.

Met de nieuwste versie van Microsoft Entra Verbinding maken (augustus 2016 of hoger) is een synchronisatiefoutenrapport beschikbaar in het Microsoft Entra-beheercentrum als onderdeel van Microsoft Entra Verbinding maken Health voor synchronisatie.

Vanaf 1 september 2016 is dubbele kenmerktolerantie voor Microsoft Entra-id standaard ingeschakeld voor alle nieuwe Microsoft Entra-tenants. Deze functie wordt automatisch ingeschakeld voor bestaande tenants.

Microsoft Entra Verbinding maken voert drie typen bewerkingen uit vanuit de mappen die gesynchroniseerd blijven: importeren, synchroniseren en exporteren. Er kunnen fouten optreden in alle drie de bewerkingen. Dit artikel richt zich voornamelijk op fouten tijdens het exporteren naar Microsoft Entra-id.

Fouten tijdens het exporteren naar Microsoft Entra-id

In de volgende sectie worden verschillende typen synchronisatiefouten beschreven die kunnen optreden tijdens de exportbewerking naar Microsoft Entra-id met behulp van de Microsoft Entra-connector. U kunt deze connector identificeren op basis van de naamnotatie contoso.onmicrosoft.com. Fouten tijdens het exporteren naar Microsoft Entra-id geven aan dat een bewerking zoals toevoegen, bijwerken of verwijderen die is uitgevoerd door Microsoft Entra Verbinding maken (synchronisatie-engine) op Microsoft Entra-id is mislukt.

Diagram met het overzicht van exportfouten.

Fouten met niet-overeenkomende gegevens

In deze sectie worden fouten met niet-overeenkomende gegevens besproken.

InvalidHardMatch

Beschrijving

Er treedt een InvalidHardMatch-fout op tijdens de synchronisatie wanneer er een poging is om objecten in Microsoft Entra ID te vergelijken met een nieuw binnenkomend object met dezelfde sourceAnchor-waarde, maar de functie BlockCloudObjectTakeoverThroughHardMatchEnabled is ingeschakeld op de tenant.

Voorbeeldscenario's voor een InvalidHardMatch-fout

  • DirSync wordt opnieuw ingeschakeld op de tenant en objecten met dezelfde sourceAnchor worden opnieuw gesynchroniseerd, maar de functie BlockCloudObjectTakeoverThroughHardMatchEnabled is ingeschakeld en voorkomt dat de harde overeenkomst plaatsvindt.
  • De gebruiker is uitgesloten van het synchronisatiebereik en is hersteld uit de Prullenbak van Microsoft Entra-id. Later wordt de gebruiker opnieuw toegevoegd aan het synchronisatiebereik en wordt geprobeerd het object over te nemen dat al aanwezig is in Microsoft Entra-id op basis van dezelfde sourceAnchor-waarde, maar de functie BlockCloudObjectTakeoverThroughHardMatchEnabled is ingeschakeld en voorkomt dat de harde overeenkomst optreedt.

Voorbeeld

  1. Bob Smith is een gesynchroniseerde gebruiker in Microsoft Entra ID vanuit de on-premises Active Directory van contoso.com.
  2. De SourceAnchor-waarde van abcdefghijklmnopqrstuv==" wordt standaard berekend door Microsoft Entra Verbinding maken met behulp van het kenmerk MsDs-ConsistencyGUID van Bob Smith (of ObjectGUID, afhankelijk van de configuratie) van on-premises Active Directory. Deze kenmerkwaarde is de onveranderbareId voor Bob Smith in Microsoft Entra-id.
  3. Beheer verwijdert Bob Smith uit het synchronisatiebereik en exporteert Microsoft Entra Verbinding maken een verwijdering van het object.
  4. Het object van Bob Smith wordt voorlopig verwijderd in Microsoft Entra ID en het kenmerk DirSyncEnabled wordt overgeschakeld naar False. Dit proces converteert het object echter niet naar de cloud, maar wordt nog steeds beschouwd als een object dat is gesynchroniseerd vanuit on-premises Active Directory. De waarde DirSyncEnabled is Onwaar om aan te geven dat deze momenteel buiten het synchronisatiebereik valt en weer kan worden vergeleken.
  5. Beheer Bob Smith opnieuw toevoegt aan het synchronisatiebereik en Microsoft Entra Verbinding maken het object opnieuw synchroniseert.
  6. Normaal gesproken neemt een harde overeenkomst het object over dat aanwezig is in Microsoft Entra ID op basis van hetzelfde SourceAnchor en schakelt DirSyncEnabled-kenmerk terug naar 'True', maar wanneer BlockCloudObjectTakeoverThroughHardMatchEnabled is ingeschakeld, is deze bewerking niet toegestaan en wordt er een InvalidHardMatch gegenereerd.

De fout InvalidHardMatch oplossen

We adviseren klanten om BlockCloudObjectTakeoverThroughHardMatchEnabled in te schakelen, tenzij ze het nodig hebben om bestaande accounts in Microsoft Entra-id over te nemen.

Als u een InvalidHardtMatch-fout wilt wissen en het account met succes wilt vergelijken, kunt u harde overeenkomst opnieuw inschakelen zoals beschreven in Hard-match versus Soft-match.

InvalidSoftMatch

Beschrijving

  • De fout InvalidSoftMatch treedt op wanneer er geen overeenkomend object wordt gevonden en de zachte overeenkomst een overeenkomend object vindt, maar dat object een andere onveranderbareId-waarde heeft dan de bronAnchor van het binnenkomende object. Deze overeenkomst suggereert dat het overeenkomende object is gesynchroniseerd vanuit een ander object vanuit on-premises Active Directory.

De zachte overeenkomst werkt alleen als het object zacht moet worden vergeleken met het kenmerk immutableId . De bewerking resulteert in een InvalidSoftMatch-synchronisatiefout wanneer het object met het kenmerk immutableId dat is ingesteld met een waarde, mislukt de harde overeenkomst, maar voldoet aan de criteria voor zachte overeenkomsten.

Microsoft Entra-schema staat niet toe dat twee of meer objecten dezelfde waarde hebben als de volgende kenmerken. Deze lijst is niet volledig:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

Microsoft Entra-kenmerk duplicaattolerantie](how-to-connect-syncservice-duplicate-attribute-resiliency.md) wordt ook geïmplementeerd als het standaardgedrag van Microsoft Entra-id. Deze functie vermindert het aantal synchronisatiefouten dat wordt gezien door Microsoft Entra Verbinding maken en andere synchronisatieclients. Het maakt Microsoft Entra toleranter in de manier waarop het dubbele proxyAddresses en userPrincipalName-kenmerken verwerkt die aanwezig zijn in on-premises Active Directory-omgevingen.

Met deze functie worden de duplicatiefouten niet opgelost, dus de gegevens moeten nog steeds worden opgelost. Maar hiermee kan het inrichten van nieuwe objecten die anders worden geblokkeerd, niet worden ingericht vanwege dubbele waarden in Microsoft Entra-id. Deze mogelijkheid vermindert ook het aantal synchronisatiefouten dat wordt geretourneerd aan de synchronisatieclient.

Notitie

Als dubbele kenmerktolerantie voor Microsoft Entra-kenmerken is ingeschakeld voor uw tenant, ziet u tijdens het inrichten van nieuwe objecten geen fouten in de invalidSoftMatch-synchronisatie.

Voorbeeldscenario's voor een InvalidSoftMatch-fout

  • Er bestaan twee of meer objecten met dezelfde waarde voor het kenmerk proxyAddresses in on-premises Active Directory. Er wordt slechts één ingericht in Microsoft Entra-id.
  • Er bestaan twee of meer objecten met dezelfde waarde voor het kenmerk userPrincipalName in on-premises Active Directory. Er wordt slechts één ingericht in Microsoft Entra-id.
  • Er is een object toegevoegd in on-premises Active Directory met dezelfde waarde voor het kenmerk proxyAddresses als dat van een bestaand object in Microsoft Entra ID. Het object dat on-premises is toegevoegd, wordt niet ingericht in Microsoft Entra-id.
  • Er is een object toegevoegd in on-premises Active Directory met dezelfde waarde voor het kenmerk userPrincipalName als die van een account in Microsoft Entra-id. Het object wordt niet ingericht in Microsoft Entra-id.
  • Een gesynchroniseerd account is verplaatst van Forest A naar Forest B. Microsoft Entra Verbinding maken (synchronisatie-engine) gebruikte het kenmerk objectGUID om het kenmerk sourceAnchor te berekenen. Nadat het forest is verplaatst, is de waarde van het kenmerk sourceAnchor anders. Het nieuwe object uit Forest B kan niet worden gesynchroniseerd met het bestaande object in Microsoft Entra ID.
  • Een gesynchroniseerd object is per ongeluk verwijderd uit on-premises Active Directory en er is een nieuw object gemaakt in Active Directory voor dezelfde entiteit (zoals gebruiker) zonder het account in Microsoft Entra-id te verwijderen. Het nieuwe account kan niet worden gesynchroniseerd met het bestaande Microsoft Entra-object.
  • Microsoft Entra Verbinding maken is verwijderd en opnieuw geïnstalleerd. Tijdens de herinstallatie is een ander kenmerk gekozen als het kenmerk sourceAnchor . Alle eerder gesynchroniseerde objecten worden niet meer gesynchroniseerd met de fout InvalidSoftMatch.

Voorbeeld

  1. Bob Smith is een gesynchroniseerde gebruiker in Microsoft Entra ID vanuit de on-premises Active Directory van contoso.com.
  2. De user principal name van Bob Smith is ingesteld als bobs@contoso.com.
  3. Het kenmerk sourceAnchor van abcdefghijklmnopqrstuv==" wordt berekend door Microsoft Entra Verbinding maken met behulp van het objectGUID-kenmerk van Bob Smith uit on-premises Active Directory. Dit kenmerk is het kenmerk immutableId voor Bob Smith in Microsoft Entra ID.
  4. Bob heeft ook de volgende waarden voor het kenmerk proxyAddresses :
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  5. Er wordt een nieuwe gebruiker, Bob Taylor, toegevoegd aan de on-premises Active Directory.
  6. De user principal name van Bob Taylor is ingesteld als bobt@contoso.com.
  7. Het kenmerk sourceAnchor van abcdefghijkl0123456789==" wordt berekend door Microsoft Entra Verbinding maken met behulp van het objectGUID-kenmerk van Bob Taylor uit on-premises Active Directory.
  8. Bob Taylor heeft de volgende waarden voor het kenmerk proxyAddresses :
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
    • Smtp: bob@contoso.com
  9. Tijdens de synchronisatie herkent Microsoft Entra Verbinding maken de toevoeging van Bob Taylor in on-premises Active Directory en vraagt Microsoft Entra ID om dezelfde wijziging aan te brengen.
  10. Microsoft Entra voert eerst een harde overeenkomst uit. Dat wil gezegd, het zoekt naar een object met het kenmerk immutableId gelijk aan "abcdefghijkl0123456789==". De harde overeenkomst mislukt omdat er geen ander object in Microsoft Entra ID dat kenmerk onveranderbaarId heeft.
  11. Microsoft Entra ID voert vervolgens een zachte overeenkomst uit om Bob Taylor te vinden. Dat wil gezegd, het zoekt om te zien of er een object is met proxyAddresses-kenmerken die gelijk zijn aan de drie waarden, waaronder smtp: bob@contoso.com.
  12. Microsoft Entra ID vindt het object van Bob Smith om te voldoen aan de criteria voor zachte overeenkomsten. Maar dit object heeft de waarde immutableId = "abcdefghijklmnopqrstuv==", wat aangeeft dat dit object is gesynchroniseerd vanuit een ander object uit on-premises Active Directory. Microsoft Entra ID kan deze objecten niet zacht vinden, zodat er een InvalidSoftMatch-synchronisatiefout optreedt.

De fout InvalidSoftMatch oplossen

De meest voorkomende reden voor de InvalidSoftMatch-fout is twee objecten met verschillende sourceAnchor-kenmerken (immutableId) die dezelfde waarde hebben voor de kenmerken proxyAddresses of userPrincipalName, die worden gebruikt tijdens het soft-matchproces op Microsoft Entra ID. De InvalidSoftMatch-fout oplossen:

  1. Identificeer de gedupliceerde proxyAddresses, userPrincipalName of een andere kenmerkwaarde die de fout veroorzaakt. Identificeer ook de welke twee of meer objecten betrokken zijn bij het conflict. Het rapport dat door Microsoft Entra Verbinding maken Health for Sync wordt gegenereerd, kan u helpen bij het identificeren van de twee objecten.
  2. Bepaal welk object de gedupliceerde waarde moet blijven hebben en welk object dat niet mag.
  3. Verwijder de gedupliceerde waarde uit het object dat die waarde niet mag hebben. Maak de wijziging in de map waaruit het object afkomstig is. In sommige gevallen moet u mogelijk een van de conflicterende objecten verwijderen.
  4. Als u de wijziging in on-premises Active Directory hebt aangebracht, laat u Microsoft Entra Verbinding maken de wijziging synchroniseren.

Synchronisatiefoutrapporten binnen Microsoft Entra Verbinding maken Status voor synchronisatie worden elke 30 minuten bijgewerkt en bevatten de fouten uit de meest recente synchronisatiepoging.

Notitie

Het kenmerk ImmutableId mag per definitie niet veranderen in de levensduur van het object. Maar misschien is Microsoft Entra Verbinding maken niet geconfigureerd met een aantal scenario's in gedachten uit de voorgaande lijst. In dat geval kan Microsoft Entra Verbinding maken een andere waarde berekenen van het kenmerk sourceAnchor voor het Active Directory-object dat dezelfde entiteit (dezelfde gebruiker, groep of contactpersoon) vertegenwoordigt die een bestaand Microsoft Entra-object heeft dat u wilt blijven gebruiken.

Gerelateerd artikel

Dubbele of ongeldige kenmerken voorkomen adreslijstsynchronisatie in Microsoft 365

ObjectTypeMismatch

Beschrijving

Wanneer Microsoft Entra ID probeert twee objecten te laten overeenkomen, is het mogelijk dat twee objecten van verschillende objecttypen, zoals gebruiker, groep of contactpersoon, dezelfde waarden hebben voor de kenmerken die worden gebruikt om de zachte overeenkomst uit te voeren. Omdat duplicatie van deze kenmerken niet is toegestaan in Microsoft Entra-id, kan de bewerking resulteren in een ObjectTypeMismatch-synchronisatiefout.

Voorbeeldscenario voor een ObjectTypeMismatch-fout

Er wordt een beveiligingsgroep met e-mail gemaakt in Microsoft 365. De beheerder voegt een nieuwe gebruiker of contactpersoon toe in on-premises Active Directory die nog niet is gesynchroniseerd met Microsoft Entra-id met dezelfde waarde voor het kenmerk proxyAddresses als die van de Microsoft 365-groep.

Voorbeeld

  1. Een beheerder maakt een nieuwe beveiligingsgroep met e-mail in Microsoft 365 voor de belastingafdeling en verstrekt een e-mailadres als tax@contoso.com. Aan deze groep wordt de waarde van het kenmerk proxyAddresses van smtp toegewezen: tax@contoso.com.
  2. Er wordt een nieuwe gebruiker toegevoegd Contoso.com en er wordt een account gemaakt voor de gebruiker on-premises met het kenmerk proxyAddresses als smtp: tax@contoso.com.
  3. Wanneer Microsoft Entra Verbinding maken het nieuwe gebruikersaccount synchroniseert, wordt de ObjectTypeMismatch-fout weergegeven.

De ObjectTypeMismatch-fout oplossen

De meest voorkomende reden voor de ObjectTypeMismatch-fout is dat twee objecten van verschillende typen, zoals gebruiker, groep of contactpersoon, dezelfde waarde hebben voor het kenmerk proxyAddresses . Ga als volgt te werk om de objecttypemismatch-fout op te lossen:

  1. Identificeer de gedupliceerde proxyAddresses -waarde (of een ander kenmerk) die de fout veroorzaakt. Identificeer ook de welke twee of meer objecten betrokken zijn bij het conflict. Het rapport dat door Microsoft Entra Verbinding maken Health for Sync wordt gegenereerd, kan u helpen bij het identificeren van de twee objecten.
  2. Bepaal welk object de gedupliceerde waarde moet blijven hebben en welk object dat niet mag.
  3. Verwijder de gedupliceerde waarde uit het object dat die waarde niet mag hebben. Breng de wijziging aan in de map waaruit het object is afkomstig. In sommige gevallen moet u mogelijk een van de conflicterende objecten verwijderen.
  4. Als u de wijziging in de on-premises AD hebt aangebracht, laat u Microsoft Entra Verbinding maken de wijziging synchroniseren. Het synchronisatiefoutrapport in Microsoft Entra Verbinding maken Status voor synchronisatie wordt elke 30 minuten bijgewerkt. Het rapport bevat de fouten van de meest recente synchronisatiepoging.

Dubbele kenmerken

In deze sectie worden dubbele kenmerkfouten besproken.

AttributeValueMustBeUnique

Beschrijving

Microsoft Entra-schema staat niet toe dat twee of meer objecten dezelfde waarde hebben als de volgende kenmerken. Elk object in Microsoft Entra ID moet een unieke waarde van deze kenmerken hebben op een bepaald exemplaar:

  • e-mail
  • proxyAddresses
  • signInName
  • userPrincipalName

Als Microsoft Entra Connect probeert een nieuw object toe te voegen of een bestaand object bij te werken met een waarde voor de voorgaande kenmerken die al zijn toegewezen aan een ander object in Microsoft Entra ID, resulteert de bewerking in de synchronisatiefout AttributeValueMustBeUnique.

Mogelijk scenario

Er wordt een dubbele waarde toegewezen aan een al gesynchroniseerd object, wat zorgt voor een conflict met een ander gesynchroniseerd object.

Voorbeeld

  1. Bob Smith is een gesynchroniseerde gebruiker in Microsoft Entra ID vanuit de on-premises Active Directory van contoso.com.
  2. De on-premises user principal name van Bob Smith is ingesteld als bobs@contoso.com.
  3. Bob heeft ook de volgende waarden voor het kenmerk proxyAddresses :
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  4. Er wordt een nieuwe gebruiker, Bob Taylor, toegevoegd aan on-premises Active Directory.
  5. De user principal name van Bob Taylor is ingesteld als bobt@contoso.com.
  6. Bob Taylor heeft de volgende waarden voor het kenmerk proxyAddresses :
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
  7. Het object van Bob Taylor is met succes gesynchroniseerd met Microsoft Entra ID.
  8. De beheerder heeft besloten het proxyAddresses-kenmerk van Bob Taylor bij te werken met de volgende waarde:
    • Smtp: bob@contoso.com
  9. Microsoft Entra ID probeert het object van Bob Taylor bij te werken in Microsoft Entra ID met de voorgaande waarde, maar deze bewerking mislukt omdat die waarde proxyAddresses al is toegewezen aan Bob Smith. Het resultaat is een AttributeValueMustBeUnique-fout.

De fout AttributeValueMustBeUnique herstellen

De meest voorkomende reden voor de fout AttributeValueMustBeUnique is dat twee objecten met verschillende kenmerken van sourceAnchor (immutableId) dezelfde waarde hebben voor de proxyAddresses - of userPrincipalName-kenmerken . De fout AttributeValueMustBeUnique herstellen:

  1. Identificeer de gedupliceerde proxyAddresses, userPrincipalName of een andere kenmerkwaarde die de fout veroorzaakt. Identificeer ook de welke twee of meer objecten betrokken zijn bij het conflict. Het rapport dat door Microsoft Entra Verbinding maken Health for Sync wordt gegenereerd, kan u helpen bij het identificeren van de twee objecten.
  2. Bepaal welk object de gedupliceerde waarde moet blijven hebben en welk object dat niet mag.
  3. Verwijder de gedupliceerde waarde uit het object dat die waarde niet mag hebben. Maak de wijziging in de map waaruit het object afkomstig is. In sommige gevallen moet u mogelijk een van de conflicterende objecten verwijderen.
  4. Als u de wijziging hebt aangebracht in on-premises Active Directory, laat u Microsoft Entra Connect de wijziging synchroniseren zodat de fout wordt verholpen.

Gerelateerd artikel

Dubbele of ongeldige kenmerken voorkomen adreslijstsynchronisatie in Microsoft 365

Fouten bij gegevensvalidatie

In deze sectie worden fouten met gegevensvalidatie besproken.

IdentityDataValidationFailed

Beschrijving

Microsoft Entra ID dwingt verschillende beperkingen op de gegevens zelf af voordat deze gegevens naar de map kunnen worden geschreven. Deze beperkingen zijn om ervoor te zorgen dat eindgebruikers de best mogelijke ervaring krijgen bij het gebruik van de toepassingen die afhankelijk zijn van deze gegevens.

Scenario's

  • De kenmerkwaarde userPrincipalName heeft ongeldige of niet-ondersteunde tekens.
  • Het kenmerk userPrincipalName volgt niet de vereiste indeling.

Het resultaat van de voorgaande scenario's is een IdentityDataValidationFailed-fout.

De fout IdentityDataValidationFailed oplossen

Zorg ervoor dat het kenmerk userPrincipalName tekens en de vereiste indeling heeft.

Gerelateerd artikel

Voorbereiden op het inrichten van gebruikers via adreslijstsynchronisatie met Microsoft 365

Fouten door schending van verwijderingstoegang en schending van wachtwoordtoegang

Microsoft Entra ID beschermt alleen cloudobjecten tegen het bijwerken via Microsoft Entra Verbinding maken. Hoewel het niet mogelijk is om deze objecten bij te werken via Microsoft Entra Verbinding maken, kunnen aanroepen rechtstreeks worden gedaan naar de Back-end van Microsoft Entra om te proberen alleen cloudobjecten te wijzigen. Als u dit doet, kunnen de volgende fouten worden geretourneerd:

  • Deze synchronisatiebewerking, Verwijderen, is niet geldig. Neem contact op met de technische ondersteuning (fouttype 114).
  • Kan deze update niet verwerken omdat de referentie-update van een of meer cloudgebruikers is opgenomen in de huidige aanvraag.
  • Het verwijderen van een alleen-cloudobject wordt niet ondersteund. Neem contact op met de klantondersteuning van Microsoft.
  • De aanvraag voor wachtwoordwijziging kan niet worden uitgevoerd omdat deze wijzigingen bevat in een of meer cloudgebruikersobjecten, die niet worden ondersteund. Neem contact op met de klantondersteuning van Microsoft.

Het verwijderen vanCloudOnlyObjectNotAllowed oplossen (fouttype 114)

In deze sectie worden mogelijke oorzaken en oplossingen besproken voor het oplossen van de fout Bij het verwijderen vanCloudOnlyObjectNotAllowed (fouttype 114).

Waarschuwing

Microsoft raadt klanten aan om een break glass-account in te stellen voordat ze zich aanmelden bij Microsoft Entra Verbinding maken. Zie Toegangsaccounts voor noodgevallen beheren in Microsoft Entra ID voor meer informatie.

Beschrijving

Dit is een scenario waarin een klant wil migreren van hybride naar alleen cloud. De beheerder start een aanroep naar Microsoft Entra Verbinding maken om gebruikers buiten het bereik te verplaatsen, maar Microsoft Entra Verbinding maken retourneert de fout DeletingCloudOnlyObjectNotAllowed (of fouttype 114): "Deze synchronisatiebewerking, Verwijderen, is niet geldig. Neem contact op met de technische ondersteuning.

Mogelijke oorzaken van deze fout zijn:

  • De aanroep van Microsoft Entra Verbinding maken heeft geen UPN, een nieuwe of unieke GUID of andere vereiste informatie.
  • Microsoft Entra Verbinding maken probeert gegevens te exporteren, maar deze is DirSyncEnabled ingesteld op False.
  • Microsoft Entra Verbinding maken probeert een herstelde gebruiker of ander object te verwijderen. Dit komt meestal doordat een gebruiker of andere objectverwijzing buiten het synchronisatiebereik of naar de container Verloren en Gevonden is verplaatst.

Mogelijke scenario's

De Microsoft Entra Verbinding maken-client kan gebruikers niet verwijderen tijdens de migratie van alleen hybride naar de cloud, wat resulteert in fouttype 114.

Mogelijke redenen waarom gebruikers niet worden verwijderd, zijn onder andere:

  • De regel die door de klant is gemaakt om gebruikers buiten het bereik te verplaatsen, is gebaseerd op het Admin kenmerk.
  • Fouttype 114 wordt geretourneerd tijdens de synchronisatiebewerking (Azure AD Sync), wat resulteert in een fout bij het verwijderen van gebruikers.
  • Synchronisatie mislukt voor specifieke functies, waardoor gebruikers niet dienovereenkomstig worden verwijderd.

Voorbeeld van een fout

Voorbeeld van de exportfout:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {2819A5C8-BE27-EC11-A970-000D3A1B4EEE}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

De fout oplossen

Ga als volgt te werk om het probleem op te lossen:

  1. Identificeer de verwijzing naar het probleemobject.
  2. Gebruik PowerShell om het cloudaccount voorlopig te verwijderen:
  3. Voer Start-ADSyncSyncCycle -PolicyType Delta uit om het account te verwijderen.
  4. Controleer of de verwijdering is geslaagd.
  5. Herstel de gebruiker vanuit de Prullenbak.
  6. Voer Start-ADSyncSyncCycle -PolicyType Delta deze uit op de server om te bevestigen dat de fout niet opnieuw optreedt.

Waarschuwing

Wanneer een gebruiker wordt uitgesloten van het synchronisatiebereik, wordt het object voorlopig verwijderd in Microsoft Entra-id en wordt het kenmerk DirSyncEnabled overgeschakeld naar False. Dit proces converteert het object echter niet naar de cloud, omdat het nog steeds kenmerken en waarden bevat die zijn gesynchroniseerd vanuit on-premises Active Directory die niet in de cloud kunnen worden beheerd. De waarde DirSyncEnabled is Onwaar om aan te geven dat deze momenteel buiten het synchronisatiebereik valt en weer kan worden vergeleken.

LargeObject of ExceededAllowedLength

In deze sectie worden de fouten LargeObject of ExceededAllowedLength besproken.

Beschrijving

Wanneer een kenmerk de toegestane groottelimiet, lengtelimiet of aantallimiet overschrijdt die is ingesteld door het Microsoft Entra-schema, resulteert de synchronisatiebewerking in een LargeObject- of ExceededAllowedLength-synchronisatiefout. Deze fout treedt doorgaans op voor de volgende kenmerken:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Microsoft Entra ID legt geen limieten per kenmerk op, met uitzondering van een in code vastgelegde limiet van 15 certificaten in het kenmerk userCertificate en maximaal 100 kenmerken voor Directory-extensies met een maximum van 250 tekens voor elke mapextensie. Er is een groottelimiet voor het hele object. Wanneer Microsoft Entra Connect een object probeert te synchroniseren dat deze objectgroottelimiet overschrijdt, treedt er een exportfout op.

Alle kenmerken dragen bij aan de definitieve grootte van het object. Sommige kenmerken hebben verschillende gewichtsvermenigvuldigers vanwege extra verwerkingsoverhead. Een voorbeeld is geïndexeerde waarden. Daarnaast kunnen verschillende cloudservices, serviceplannen en licenties worden toegewezen aan het account, die nog meer kenmerken verbruiken en bijdragen aan de totale grootte van het object.

Het is niet mogelijk om precies te bepalen hoeveel vermeldingen een kenmerk in Microsoft Entra-id kan bevatten, bijvoorbeeld hoeveel SMTP-adressen er in het kenmerk proxyAddresses passen. De hoeveelheid is afhankelijk van de grootte en vermenigvuldigingsfactoren van alle kenmerken die in het object zijn ingevuld.

Mogelijke scenario's

  • Het kenmerk userCertificate van Bob slaat te veel certificaten op die zijn toegewezen aan Bob. Deze certificaten kunnen oudere, verlopen certificaten omvatten. De harde limiet is 15 certificaten. Zie LargeObject-fouten verwerken die worden veroorzaakt door het kenmerk userCertificatevoor meer informatie over het afhandelen van LargeObject-fouten die worden veroorzaakt door het kenmerk userCertificate.
  • Het kenmerk userSMIMECertificate van Bob slaat te veel certificaten op die zijn toegewezen aan Bob. Deze certificaten kunnen oudere, verlopen certificaten omvatten. De harde limiet is 15 certificaten.
  • Het kenmerk thumbnailPhoto van Bob in Active Directory is te groot om te worden gesynchroniseerd in Microsoft Entra-id.
  • Tijdens de automatische populatie van het kenmerk proxyAddresses in Active Directory heeft een object te veel proxyAddresses-kenmerken toegewezen.

In de volgende voorbeelden ziet u de verschillende gewichten van kenmerken, zoals userCertificate en proxyAddresses:

  • Een gesynchroniseerde gebruiker die geen andere kenmerken heeft dan de verplichte Active Directory-kenmerken en Mail kan maximaal 332 proxyadressen synchroniseren.
  • Voor een vergelijkbare gesynchroniseerde gebruiker met een mailNickName-kenmerk , plus 10 gebruikerscertificaten, neemt het maximum aantal proxyadressen af tot 329.
  • Als een vergelijkbare gesynchroniseerde gebruiker met 10 gebruikerscertificaten plus bijvoorbeeld 4 abonnementen is toegewezen (waarbij alle serviceplannen zijn ingeschakeld), neemt het maximum aantal proxyadressen af tot 311.
  • We nemen nu de voorgaande gebruiker, die al het maximum aantal proxyadressen bevat, en stel dat u nog een SMTP-adres moet toevoegen. Als u 312 proxyadressen wilt bereiken, moet u ten minste drie gebruikerscertificaten verwijderen (afhankelijk van de grootte van het certificaat).

Notitie

Deze getallen kunnen enigszins variëren. Als vuistregel is het veiliger om aan te nemen dat de limiet van SMTP-adressen in het kenmerk proxyAddresses ongeveer 300 adressen is om ruimte te laten voor toekomstige groei van het object en de gevulde kenmerken.

De fout LargeObject of ExceededAllowedLength oplossen

Controleer de gebruikerseigenschappen en verwijder kenmerkwaarden die mogelijk niet meer nodig zijn. Voorbeelden hiervan zijn ingetrokken of verlopen certificaten en verouderde of overbodige adressen, zoals SMTP, X.400, X.500, MSMail en CCMail.

Conflict met bestaande beheerdersrol

Beschrijving

Er treedt een bestaande Beheer rolconflictsynchronisatiefout op in een gebruikersobject tijdens de synchronisatie wanneer dat gebruikersobject het volgende heeft:

  • Beheer machtigingen.
  • Hetzelfde kenmerk userPrincipalName als een bestaand Microsoft Entra-object.

Microsoft Entra Verbinding maken is niet toegestaan om een gebruikersobject van on-premises AD te laten overeenkomen met een gebruikersobject in Microsoft Entra-id waaraan een beheerdersrol is toegewezen. Zie de populatie van Microsoft Entra userPrincipalName voor meer informatie.

Schermopname van het aantal bestaande Beheer synchronisatiefouten voor rolconflicten.

Fout met bestaande Beheer-rolconflicten oplossen

Ga als volgt te werk om het probleem op te lossen:

  1. Verwijder het Microsoft Entra-account (eigenaar) uit alle beheerdersrollen.
  2. Verwijder het in quarantaine geplaatste object in de cloud hard.
  3. De volgende synchronisatiecyclus zorgt ervoor dat de on-premises gebruiker zacht wordt afgestemd op het cloudaccount, omdat de cloudgebruiker nu geen Hybrid Identity Beheer istrator meer is.
  4. Herstel de rollidmaatschappen voor de eigenaar.

Notitie

U kunt de beheerdersrol opnieuw toewijzen aan het bestaande gebruikersobject nadat de zachte overeenkomst tussen het on-premises gebruikersobject en het Microsoft Entra-gebruikersobject is voltooid.