Udostępnij za pośrednictwem

Microsoft Entra Połączenie Sync: obsługa błędów largeObject spowodowanych przez atrybut userCertificate

  • Artykuł

Identyfikator entra firmy Microsoft wymusza maksymalny limit 15 wartości certyfikatów w atrybucie userCertificate . Jeśli firma Microsoft Entra Połączenie eksportuje obiekt z ponad 15 wartościami do identyfikatora Entra firmy Microsoft, identyfikator Entra firmy Microsoft zwraca błąd LargeObject z komunikatem:

„Aprowizowany obiekt jest zbyt duży. Przytnij liczbę wartości atrybutów w tym obiekcie. Operacja zostanie ponowiona w następnym cyklu synchronizacji...”

Błąd LargeObject może być spowodowany przez inne atrybuty usługi AD. Aby potwierdzić, że jest to rzeczywiście spowodowane przez atrybut userCertificate, należy zweryfikować względem obiektu w lokalnej usłudze AD lub w wyszukiwaniu metaverse menedżera usług synchronizacji.

Aby uzyskać listę obiektów w dzierżawie z błędami LargeObject, użyj jednej z następujących metod:

  • Jeśli dzierżawa jest włączona dla usługi Microsoft Entra Połączenie Health na potrzeby synchronizacji, możesz zapoznać się z udostępnionym raportem o błędach synchronizacji.

  • Na karcie Operacje programu Synchronization Service Manager zostanie wyświetlona lista obiektów z błędami LargeObject, jeśli klikniesz najnowszą operację Eksportuj do firmy Microsoft Entra.

Opcje ograniczania ryzyka

Dopóki błąd LargeObject nie zostanie rozwiązany, nie można wyeksportować innego atrybutu do tego samego obiektu do identyfikatora Entra firmy Microsoft. Aby rozwiązać ten problem, możesz wziąć pod uwagę następujące opcje:

  • Uaktualnij program Microsoft Entra Połączenie do kompilacji 1.1.524.0 lub nowszej. W kompilacji 1.1.524.0 usługi Microsoft Entra Connect gotowe do użycia reguły synchronizacji zaktualizowano tak, aby nie eksportowały atrybutów userCertificate i userSMIMECertificate, jeśli atrybuty te mają więcej niż 15 wartości. Aby uzyskać szczegółowe informacje na temat uaktualniania Połączenie firmy Microsoft, zapoznaj się z artykułem Microsoft Entra Połączenie: Uaktualnianie z poprzedniej wersji do najnowszej.

  • Zaimplementuj regułę synchronizacji ruchu wychodzącego w usłudze Microsoft Entra Połączenie, która eksportuje wartość null zamiast rzeczywistych wartości dla obiektów z ponad 15 wartościami certyfikatów. Ta opcja jest odpowiednia, jeśli nie wymagasz eksportu żadnych wartości certyfikatu do usługi Microsoft Entra ID w przypadku obiektów zawierających więcej niż 15 wartości. Aby uzyskać szczegółowe informacje na temat implementowania tej reguły synchronizacji, zobacz następną sekcję Implementowanie reguły synchronizacji w celu ograniczenia eksportu atrybutu userCertificate.

  • Zmniejsz liczbę wartości certyfikatów w lokalnym obiekcie usługi AD (co najmniej 15), usuwając wartości, które nie są już używane przez organizację. Jest to odpowiednie, jeśli przeładowanie atrybutów jest spowodowane wygasłymi lub nieużywanymi certyfikatami. Możesz użyć polecenia cmdlet Remove-ADSyncToolsExpiredCertificates , aby ułatwić znajdowanie, tworzenie kopii zapasowych i usuwanie wygasłych certyfikatów w lokalnej usłudze AD. Przed usunięciem certyfikatów zaleca się ich zweryfikowanie z pomocą administratorów infrastruktury kluczy publicznych Twojej organizacji.

  • Skonfiguruj Połączenie firmy Microsoft, aby wykluczyć atrybut userCertificate z eksportowania do identyfikatora Entra firmy Microsoft. Ogólnie rzecz biorąc, nie zalecamy stosowania tej opcji, ponieważ atrybut może być używany przez usługi Microsoft Online Services w celu umożliwienia określonych scenariuszy. W szczególności:

Implementowanie reguły synchronizacji w celu ograniczenia eksportu atrybutu userCertificate

Aby rozwiązać błąd LargeObject spowodowany przez atrybut userCertificate, możesz zaimplementować regułę synchronizacji ruchu wychodzącego w usłudze Microsoft Entra Połączenie, która eksportuje wartość null zamiast rzeczywistych wartości dla obiektów z ponad 15 wartościami certyfikatu. W tej sekcji opisano kroki wymagane do zaimplementowania reguły synchronizacji dla obiektów użytkownika . Kroki można dostosować do obiektów Kontakt i Komputer .

Ważne

Eksportowanie wartości null spowoduje usunięcie wcześniej wyeksportowanych wartości certyfikatu do identyfikatora Entra firmy Microsoft.

Kroki można podsumować jako:

  1. Wyłącz harmonogram synchronizacji i sprawdź, czy synchronizacja nie jest w toku.
  2. Znajdź istniejącą regułę synchronizacji ruchu wychodzącego dla atrybutu userCertificate.
  3. Utwórz wymaganą regułę synchronizacji ruchu wychodzącego.
  4. Sprawdź nową regułę synchronizacji dla istniejącego obiektu z błędem LargeObject.
  5. Zastosuj nową regułę synchronizacji do pozostałych obiektów z błędem LargeObject.
  6. Sprawdź, czy nie ma nieoczekiwanych zmian oczekujących na wyeksportowanie do identyfikatora Entra firmy Microsoft.
  7. Wyeksportuj zmiany do identyfikatora Entra firmy Microsoft.
  8. Włącz ponownie harmonogram synchronizacji.

Krok 1. Wyłączanie harmonogramu synchronizacji i sprawdzenie, czy synchronizacja nie jest w toku

Upewnij się, że synchronizacja nie jest wykonywana podczas wdrażania nowej reguły synchronizacji, aby uniknąć niezamierzonych zmian eksportowanych do identyfikatora Entra firmy Microsoft. Aby wyłączyć wbudowany harmonogram synchronizacji:

  1. Uruchom sesję programu PowerShell na serwerze Microsoft Entra Połączenie.

  2. Wyłącz zaplanowaną synchronizację, uruchamiając polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false

Uwaga

Powyższe kroki mają zastosowanie tylko do nowszych wersji (1.1.xxx.x) firmy Microsoft Entra Połączenie z wbudowanym harmonogramem. Jeśli używasz starszych wersji (1.0.xxx.x) firmy Microsoft Entra Połączenie korzystających z harmonogramu zadań systemu Windows lub używasz własnego niestandardowego harmonogramu (nie jest to wspólne) do wyzwalania okresowej synchronizacji, należy je odpowiednio wyłączyć.

  1. Uruchom program Synchronization Service Manager, przechodząc do sekcji Start → Synchronization Service (Uruchom usługę synchronizacji →).

  2. Przejdź do karty Operacje i upewnij się, że nie ma operacji, której stan jest "w toku".

Krok 2. Znajdowanie istniejącej reguły synchronizacji ruchu wychodzącego dla atrybutu userCertificate

Powinna istnieć istniejąca reguła synchronizacji, która jest włączona i skonfigurowana do eksportowania atrybutu userCertificate dla obiektów użytkownika do identyfikatora Entra firmy Microsoft. Znajdź tę regułę synchronizacji, aby sprawdzić jej pierwszeństwo i konfigurację filtru określania zakresu:

  1. Uruchom Edytor reguł synchronizacji, przechodząc do menu Start → Edytor reguł synchronizacji.

  2. Skonfiguruj filtry wyszukiwania przy użyciu następujących wartości:

    Atrybut Wartość
    Kierunek Wychodzące
    Typ obiektu MV Osoba
    Łącznik nazwa łącznika Microsoft Entra
    typ obiektu Połączenie or użytkownik
    Atrybut MV userCertificate

  3. Jeśli używasz reguł synchronizacji OOB (out-of-box) do łącznika Microsoft Entra w celu wyeksportowania atrybutu userCertificate dla obiektów użytkownika, należy wrócić do reguły "Out to Microsoft Entra ID — User ExchangeOnline".

  4. Zanotuj wartość pierwszeństwa tej reguły synchronizacji.

  5. Wybierz regułę synchronizacji i kliknij przycisk Edytuj.

  6. W oknie podręcznym "Edytuj potwierdzenie reguły zarezerwowanej" kliknij przycisk Nie. (Nie martw się, nie wprowadzimy żadnych zmian w tej regule synchronizacji).

  7. Na ekranie edycji wybierz kartę Filtr określania zakresu.

  8. Zanotuj konfigurację filtru określania zakresu. Jeśli używasz reguły synchronizacji OOB, powinna istnieć dokładnie jedna grupa filtrów określania zakresu zawierająca dwie klauzule, w tym:

    Atrybut Operator Wartość
    sourceObjectType RÓWNE User
    cloudMastered UWAGAQUAL Prawda

Krok 3. Tworzenie wymaganej reguły synchronizacji ruchu wychodzącego

Nowa reguła synchronizacji musi mieć ten sam filtr określania zakresu i wyższy priorytet niż istniejąca reguła synchronizacji. Dzięki temu nowa reguła synchronizacji ma zastosowanie do tego samego zestawu obiektów co istniejąca reguła synchronizacji i zastępuje istniejącą regułę synchronizacji atrybutu userCertificate. Aby utworzyć regułę synchronizacji:

  1. W Edytorze reguł synchronizacji kliknij przycisk Dodaj nową regułę.

  2. Na karcie Opis podaj następującą konfigurację:

    Atrybut Wartość Szczegóły
    Nazwisko Podaj nazwę Np. "Out to Microsoft Entra ID — custom override for userCertificate" (Wyjście do identyfikatora Entra firmy Microsoft — zastąpienie niestandardowe dla elementu userCertificate)
    opis Podaj opis Np. "Jeśli atrybut userCertificate ma więcej niż 15 wartości, wyeksportuj wartość NULL".
    system Połączenie Wybierz Połączenie or firmy Microsoft
    Połączenie typ obiektu systemowego użytkownik
    Typ obiektu Metaverse Osoba
    Typ łącza Dołącz
    Pierwszeństwo Wybierz liczbę z zakresu od 1 do 99 Wybrana liczba nie może być używana przez żadną istniejącą regułę synchronizacji i ma niższą wartość (a zatem wyższy priorytet) niż istniejąca reguła synchronizacji.

  3. Przejdź do karty Filtr określania zakresu i zaimplementuj ten sam filtr określania zakresu używany przez istniejącą regułę synchronizacji.

  4. Pomiń kartę Reguły dołączania.

  5. Przejdź do karty Przekształcenia, aby dodać nową transformację przy użyciu następującej konfiguracji:

    Atrybut Wartość
    Typ przepływu Expression
    Atrybut docelowy userCertificate
    Atrybut źródłowy Użyj następującego wyrażenia: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

  6. Kliknij przycisk Dodaj, aby utworzyć regułę synchronizacji.

Krok 4. Weryfikowanie nowej reguły synchronizacji dla istniejącego obiektu z błędem LargeObject

Jest to sprawdzenie, czy utworzona reguła synchronizacji działa prawidłowo w istniejącym obiekcie usługi AD z błędem LargeObject przed zastosowaniem go do innych obiektów:

  1. Przejdź do karty Operacje w programie Synchronization Service Manager.
  2. Wybierz najnowszą operację Eksportuj do firmy Microsoft Entra i kliknij jeden z obiektów z błędami LargeObject.
  3. Na ekranie podręcznym Właściwości obiektu przestrzeni Połączenie or kliknij przycisk Podgląd.
  4. Na wyskakującym ekranie podglądu wybierz pozycję Pełna synchronizacja i kliknij pozycję Zatwierdź podgląd.
  5. Zamknij ekran Podgląd i właściwości obiektu obszaru Połączenie or.
  6. Przejdź do karty Połączenie ors w programie Synchronization Service Manager.
  7. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra ID Połączenie or i wybierz polecenie Uruchom...
  8. W oknie podręcznym Uruchom Połączenie or wybierz pozycję Eksportuj krok i kliknij przycisk OK.
  9. Poczekaj na zakończenie eksportowania do identyfikatora Entra firmy Microsoft i upewnij się, że nie ma więcej błędu LargeObject dla tego konkretnego obiektu.

Krok 5. Stosowanie nowej reguły synchronizacji do pozostałych obiektów z błędem LargeObject

Po dodaniu reguły synchronizacji należy uruchomić pełny krok synchronizacji w Połączenie or usługi AD:

  1. Przejdź do karty Połączenie ors w programie Synchronization Service Manager.
  2. Kliknij prawym przyciskiem myszy Połączenie usługi AD i wybierz polecenie Uruchom...
  3. W oknie podręcznym Uruchom Połączenie or wybierz krok Pełna synchronizacja i kliknij przycisk OK.
  4. Poczekaj na ukończenie kroku Pełnej synchronizacji.
  5. Powtórz powyższe kroki dla pozostałych Połączenie or usługi AD, jeśli masz więcej niż jeden Połączenie or usługi AD. Zazwyczaj wiele łączników jest wymaganych, jeśli masz wiele katalogów lokalnych.

Krok 6. Sprawdź, czy nie ma nieoczekiwanych zmian oczekujących na wyeksportowanie do identyfikatora Entra firmy Microsoft

  1. Przejdź do karty Połączenie ors w programie Synchronization Service Manager.
  2. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra ID Połączenie or i wybierz pozycję Wyszukaj Połączenie or Spacja.
  3. W oknie podręcznym Wyszukaj Połączenie or Spacja:
    1. Ustaw wartość Zakres na Oczekujący eksport.
    2. Zaznacz wszystkie 3 pola wyboru, w tym Dodaj, Modyfikuj i Usuń.
    3. Kliknij przycisk Wyszukaj , aby zwrócić wszystkie obiekty ze zmianami oczekującymi na wyeksportowanie do identyfikatora Entra firmy Microsoft.
    4. Sprawdź, czy nie ma nieoczekiwanych zmian. Aby zbadać zmiany dla danego obiektu, kliknij dwukrotnie obiekt.

Krok 7. Eksportowanie zmian do identyfikatora entra firmy Microsoft

Aby wyeksportować zmiany do identyfikatora Entra firmy Microsoft:

  1. Przejdź do karty Połączenie ors w programie Synchronization Service Manager.
  2. Kliknij prawym przyciskiem myszy pozycję Microsoft Entra ID Połączenie or i wybierz polecenie Uruchom...
  3. W oknie podręcznym Uruchom Połączenie or wybierz pozycję Eksportuj krok i kliknij przycisk OK.
  4. Poczekaj na ukończenie eksportowania do identyfikatora entra firmy Microsoft i upewnij się, że nie ma więcej błędów obiektu LargeObject.

Krok 8. Ponowne włączanie harmonogramu synchronizacji

Teraz, gdy problem został rozwiązany, włącz ponownie wbudowany harmonogram synchronizacji:

  1. Uruchom sesję programu PowerShell.
  2. Włącz ponownie zaplanowaną synchronizację, uruchamiając polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Uwaga

Powyższe kroki mają zastosowanie tylko do nowszych wersji (1.1.xxx.x) firmy Microsoft Entra Połączenie z wbudowanym harmonogramem. Jeśli używasz starszych wersji (1.0.xxx.x) firmy Microsoft Entra Połączenie korzystających z harmonogramu zadań systemu Windows lub używasz własnego niestandardowego harmonogramu (nie jest to wspólne) do wyzwalania okresowej synchronizacji, należy je odpowiednio wyłączyć.

Następne kroki

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.