Share via

Informacje o błędach podczas synchronizacji Microsoft Entra

  • Artykuł

Błędy mogą wystąpić, gdy dane tożsamości są synchronizowane z usługi Active Directory systemu Windows Server do identyfikatora Entra firmy Microsoft. Ten artykuł zawiera omówienie różnych typów błędów synchronizacji, niektóre z możliwych scenariuszy, które powodują te błędy i potencjalne sposoby naprawiania błędów. Ten artykuł zawiera typowe typy błędów i może nie obejmować wszystkich możliwych błędów.

W tym artykule założono, że znasz podstawowe pojęcia dotyczące projektowania microsoft Entra ID i Microsoft Entra Połączenie.

Ważne

W tym artykule podjęto próbę rozwiązania najczęstszych błędów synchronizacji. Niestety, pokrycie każdego scenariusza w jednym dokumencie nie jest możliwe. Aby uzyskać więcej informacji, w tym szczegółowe kroki rozwiązywania problemów, zobacz Kompleksowe rozwiązywanie problemów z obiektami i atrybutami firmy Microsoft Entra Połączenie oraz sekcją Aprowizacja i synchronizacja użytkowników w dokumentacji rozwiązywania problemów firmy Microsoft.

W najnowszej wersji programu Microsoft Entra Połączenie (sierpień 2016 lub nowsza) raport o błędach synchronizacji jest dostępny w centrum administracyjnym firmy Microsoft Entra w ramach programu Microsoft Entra Połączenie Health na potrzeby synchronizacji.

Od 1 września 2016 r. odporność zduplikowanych atrybutów identyfikatora Entra firmy Microsoft jest domyślnie włączona dla wszystkich nowych dzierżaw firmy Microsoft Entra. Ta funkcja jest automatycznie włączona dla istniejących dzierżaw.

Firma Microsoft Entra Połączenie wykonuje trzy typy operacji z katalogów, które są synchronizowane: Importowanie, synchronizacja i eksportowanie. Błędy mogą wystąpić we wszystkich trzech operacjach. Ten artykuł koncentruje się głównie na błędach podczas eksportowania do identyfikatora Entra firmy Microsoft.

Błędy podczas eksportowania do identyfikatora Entra firmy Microsoft

W poniższej sekcji opisano różne typy błędów synchronizacji, które mogą wystąpić podczas operacji eksportowania do identyfikatora Entra firmy Microsoft przy użyciu łącznika Microsoft Entra. Ten łącznik można zidentyfikować przy użyciu formatu nazwy contoso.onmicrosoft.com. Błędy podczas eksportowania do identyfikatora Entra firmy Microsoft wskazują, że operacja, taka jak dodawanie, aktualizowanie lub usuwanie, podjęta przez firmę Microsoft Entra Połączenie (aparat synchronizacji) w identyfikatorze Entra firmy Microsoft nie powiodła się.

Diagram przedstawiający przegląd błędów eksportu.

Błędy niezgodności danych

W tej sekcji omówiono błędy niezgodności danych.

InvalidHardMatch

opis

Błąd InvalidHardMatch występuje podczas synchronizacji, gdy istnieje próba twardego dopasowania obiektów znajdujących się w identyfikatorze Entra firmy Microsoft z nowym obiektem przychodzącym, który ma tę samą wartość sourceAnchor, ale funkcja BlockCloudObjectTakeoverThroughHardMatchEnabled jest włączona w dzierżawie.

Przykładowe scenariusze błędu InvalidHardMatch

  • Narzędzie DirSync jest ponownie włączone w dzierżawie, a obiekty z tym samym elementem sourceAnchor są ponownie synchronizowane, jednak funkcja BlockCloudObjectTakeoverThroughHardMatchEnabled jest włączona i uniemożliwia wystąpienie twardego dopasowania.
  • Użytkownik został wykluczony z zakresu synchronizacji i przywrócony z Kosza identyfikatora entra firmy Microsoft. Później użytkownik zostanie ponownie dodany do zakresu synchronizacji i spróbuje przejąć obiekt już obecny w identyfikatorze Entra firmy Microsoft na podstawie tej samej wartości sourceAnchor, jednak funkcja BlockCloudObjectTakeoverThroughHardMatchEnabled jest włączona i uniemożliwia występowanie twardego dopasowania.

Przykładowy przypadek

  1. Bob Smith jest zsynchronizowanym użytkownikiem w identyfikatorze Microsoft Entra z wyłączeniem usług Active Directory w witrynie contoso.com.
  2. Domyślnie wartość SourceAnchor "abcdefghijklmnopqrstuv==" jest obliczana przez firmę Microsoft Entra Połączenie przy użyciu atrybutu MsDs-ConsistencyGUID Boba Smitha (lub ObjectGUID w zależności od konfiguracji) z lokalna usługa Active Directory. Ta wartość atrybutu jest niezmiennym Identyfikatorem Boba Smitha w identyfikatorze Entra firmy Microsoft.
  3. Administracja usuwa Boba Smitha z zakresu synchronizacji, a firma Microsoft Entra Połączenie eksportuje usunięcie obiektu.
  4. Obiekt Boba Smitha staje się usuwany nietrwale w identyfikatorze Entra firmy Microsoft, a jego atrybut DirSyncEnabled jest przełączany na wartość False. Jednak ten proces nie konwertuje obiektu na zarządzany przez chmurę, nadal jest uważany za obiekt zsynchronizowany z lokalna usługa Active Directory. Wartość DirSyncEnabled ma wartość False, aby wskazać, że obecnie jest poza zakresem synchronizacji i jest dostępna do ponownego dopasowania.
  5. Administracja ponownie dodaje Boba Smitha do zakresu synchronizacji, a firma Microsoft Entra Połączenie ponownie synchronizuje obiekt.
  6. Zwykle twarde dopasowanie przejmuje obiekt znajdujący się w identyfikatorze Entra firmy Microsoft na podstawie tego samego atrybutu SourceAnchor i przełącza atrybut DirSyncEnabled z powrotem na wartość "True", jednak gdy właściwość BlockCloudObjectTakeoverThroughHardMatchEnabled jest włączona, ta operacja nie jest dozwolona i zgłaszany jest nieprawidłowy elementHardMatch.

Naprawianie błędu InvalidHardMatch

Zalecamy klientom włączenie opcji BlockCloudObjectTakeoverThroughHardMatchEnabled , chyba że potrzebują oni przejęcia istniejących kont w identyfikatorze Microsoft Entra.

Jeśli musisz wyczyścić błąd InvalidHardtMatch i dopasować je pomyślnie, możesz ponownie włączyć twarde dopasowanie zgodnie z opisem w hard-match vs Soft-match.

InvalidSoftMatch

opis

  • Błąd InvalidSoftMatch występuje, gdy twarde dopasowanie nie znajduje żadnego zgodnego obiektu, a dopasowanie miękkie znajduje pasujący obiekt, ale ten obiekt ma inną niezmienną wartość niż sourceAnchor obiektu przychodzącego. Ta niezgodność sugeruje, że pasujący obiekt został zsynchronizowany z innego obiektu z lokalna usługa Active Directory.

Aby dopasowanie miękkie działało, obiekt, z którego ma być dopasowywany programowo, nie powinien mieć żadnej wartości atrybutu immutableId . Operacja powoduje błąd synchronizacji InvalidSoftMatch, gdy obiekt z niezmiennymid atrybutem ustawionym z wartością kończy się niepowodzeniem, ale spełnia kryteria dopasowania nietrwałego.

Schemat usługi Microsoft Entra nie pozwala, aby dwa lub więcej obiektów miało tę samą wartość następujących atrybutów. Ta lista nie jest wyczerpująca:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • niezmiennyid

Odporność atrybutów zduplikowanych atrybutów firmy Microsoft](how-to-connect-syncservice-duplicate-attribute-resiliency.md) jest również wdrażana jako domyślne zachowanie identyfikatora Entra firmy Microsoft. Ta funkcja zmniejsza liczbę błędów synchronizacji obserwowanych przez firmę Microsoft Entra Połączenie i innych klientów synchronizacji. Dzięki temu firma Microsoft Entra jest bardziej odporna w sposób, w jaki obsługuje zduplikowane atrybuty proxyAddresses i userPrincipalName obecne w środowiskach lokalna usługa Active Directory.

Ta funkcja nie naprawia błędów duplikowania, więc dane nadal muszą zostać naprawione. Jednak umożliwia aprowizowanie nowych obiektów, które w przeciwnym razie nie mogą być aprowizowane z powodu zduplikowanych wartości w identyfikatorze Entra firmy Microsoft. Ta funkcja zmniejsza również liczbę błędów synchronizacji zwracanych do klienta synchronizacji.

Uwaga

Jeśli odporność atrybutu Entra firmy Microsoft jest włączona dla dzierżawy, podczas aprowizacji nowych obiektów nie będą widoczne błędy synchronizacji InvalidSoftMatch.

Przykładowe scenariusze dotyczące błędu InvalidSoftMatch

  • W lokalna usługa Active Directory istnieją co najmniej dwa obiekty o tej samej wartości atrybutu proxyAddresses. Tylko jedna z nich jest aprowizowana w identyfikatorze Entra firmy Microsoft.
  • W lokalna usługa Active Directory istnieją co najmniej dwa obiekty o tej samej wartości atrybutu userPrincipalName. Tylko jedna z nich jest aprowizowana w identyfikatorze Entra firmy Microsoft.
  • Obiekt został dodany w lokalna usługa Active Directory o tej samej wartości atrybutu proxyAddresses co istniejący obiekt w identyfikatorze Entra firmy Microsoft. Obiekt dodany lokalnie nie jest aprowizowany w identyfikatorze Entra firmy Microsoft.
  • Obiekt został dodany w lokalna usługa Active Directory o tej samej wartości atrybutu userPrincipalName co konto w identyfikatorze Entra firmy Microsoft. Obiekt nie jest aprowizowany w identyfikatorze Entra firmy Microsoft.
  • Zsynchronizowane konto zostało przeniesione z lasu A do lasu B. Microsoft Entra Połączenie (aparat synchronizacji) używał atrybutu objectGUID do obliczenia atrybutu sourceAnchor. Po przeniesieniu lasu wartość atrybutu sourceAnchor jest inna. Nowy obiekt z lasu B nie może zsynchronizować z istniejącym obiektem w identyfikatorze Entra firmy Microsoft.
  • Zsynchronizowany obiekt został przypadkowo usunięty z lokalna usługa Active Directory, a nowy obiekt został utworzony w usłudze Active Directory dla tej samej jednostki (takiej jak użytkownik) bez usuwania konta w identyfikatorze Entra firmy Microsoft. Nie można zsynchronizować nowego konta z istniejącym obiektem Microsoft Entra.
  • Firma Microsoft Entra Połączenie została odinstalowana i ponownie zainstalowana. Podczas ponownej instalacji inny atrybut został wybrany jako atrybut sourceAnchor . Wszystkie wcześniej zsynchronizowane obiekty przestają synchronizować się z błędem InvalidSoftMatch.

Przykładowy przypadek

  1. Bob Smith jest zsynchronizowanym użytkownikiem w usłudze Microsoft Entra ID z lokalna usługa Active Directory contoso.com.
  2. Główna nazwa użytkownika Boba Smitha jest ustawiona na bobs@contoso.com.
  3. Atrybut sourceAnchor "abcdefghijklmnopqrstuv==" jest obliczany przez firmę Microsoft Entra Połączenie przy użyciu atrybutu objectGUID Boba Smitha z lokalna usługa Active Directory. Ten atrybut jest atrybutem immutableId dla Boba Smitha w identyfikatorze Entra firmy Microsoft.
  4. Bob ma również następujące wartości dla atrybutu proxyAddresses :
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  5. Nowy użytkownik, Bob Taylor, jest dodawany do lokalna usługa Active Directory.
  6. Główna nazwa użytkownika Boba Taylora jest ustawiona jako bobt@contoso.com.
  7. Atrybut sourceAnchor "abcdefghijkl0123456789==" jest obliczany przez firmę Microsoft Entra Połączenie przy użyciu atrybutu objectGUID Boba Taylora z lokalna usługa Active Directory.
  8. Bob Taylor ma następujące wartości dla atrybutu proxyAddresses :
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
    • Smtp: bob@contoso.com
  9. Podczas synchronizacji firma Microsoft Entra Połączenie rozpoznaje dodanie Boba Taylora w lokalna usługa Active Directory i prosi microsoft Entra ID o wprowadzenie tej samej zmiany.
  10. Firma Microsoft Entra najpierw wykonuje twardy mecz. Oznacza to, że wyszukuje dowolny obiekt z atrybutem immutableId równy "abcdefghijkl0123456789==". Twarde dopasowanie kończy się niepowodzeniem, ponieważ żaden inny obiekt w identyfikatorze Entra firmy Microsoft nie ma atrybutu immutableId .
  11. Microsoft Entra ID następnie wykonuje miękkie dopasowanie, aby znaleźć Bob Taylor. Oznacza to, że wyszukuje, czy istnieje jakikolwiek obiekt z atrybutami proxyAddresses równymi trzem wartościom, w tym smtp: bob@contoso.com.
  12. Identyfikator Entra firmy Microsoft znajduje obiekt Boba Smitha w celu dopasowania do kryteriów dopasowania miękkiego. Jednak ten obiekt ma wartość immutableId = "abcdefghijklmnopqrstuv==", co wskazuje, że ten obiekt został zsynchronizowany z innego obiektu z lokalna usługa Active Directory. Identyfikator Entra firmy Microsoft nie może nietrwało dopasować tych obiektów, dlatego zostanie zgłoszony błąd synchronizacji InvalidSoftMatch.

Naprawianie błędu InvalidSoftMatch

Najczęstszą przyczyną błędu InvalidSoftMatch są dwa obiekty z różnymi atrybutami sourceAnchor (immutableId), które mają tę samą wartość atrybutów proxyAddresses lub userPrincipalName , które są używane podczas procesu dopasowania miękkiego w identyfikatorze Entra firmy Microsoft. Aby naprawić błąd InvalidSoftMatch:

  1. Zidentyfikuj zduplikowane wartości proxyAddresses, userPrincipalName lub inną wartość atrybutu, która powoduje błąd. Określ także, które dwa lub więcej obiektów jest zaangażowanych w konflikt. Raport wygenerowany przez firmę Microsoft Entra Połączenie Health na potrzeby synchronizacji może pomóc w zidentyfikowaniu dwóch obiektów.
  2. Określ, który obiekt powinien nadal mieć zduplikowaną wartość i który obiekt nie powinien.
  3. Usuń zduplikowaną wartość z obiektu, który nie powinien mieć tej wartości. Dokonaj zmiany w katalogu, z którego pochodzi obiekt. W niektórych przypadkach może być konieczne usunięcie jednego z obiektów powodujących konflikt.
  4. Jeśli wprowadzisz zmianę w lokalna usługa Active Directory, pozwól firmie Microsoft Połączenie zsynchronizować zmianę.

Raporty o błędach synchronizacji w usłudze Microsoft Entra Połączenie Health na potrzeby synchronizacji są aktualizowane co 30 minut i zawierają błędy z najnowszej próby synchronizacji.

Uwaga

Atrybut ImmutableId z definicji nie powinien zmieniać się w okresie istnienia obiektu. Ale może firma Microsoft Entra Połączenie nie została skonfigurowana z uwzględnieniem niektórych scenariuszy z poprzedniej listy. W takim przypadku firma Microsoft Entra Połączenie może obliczyć inną wartość atrybutu sourceAnchor dla obiektu usługi Active Directory, który reprezentuje tę samą jednostkę (ten sam użytkownik, grupa lub kontakt), który ma istniejący obiekt Microsoft Entra, który chcesz kontynuować korzystanie.

Powiązany artykuł

Zduplikowane lub nieprawidłowe atrybuty uniemożliwiają synchronizację katalogów w Microsoft 365

ObjectTypeMismatch

opis

Gdy identyfikator Entra firmy Microsoft próbuje nietrwało dopasować dwa obiekty, możliwe jest, że dwa obiekty o różnym typie "obiektu", takie jak użytkownik, grupa lub kontakt, mają te same wartości atrybutów używanych do wykonywania dopasowania miękkiego. Ponieważ duplikowanie tych atrybutów nie jest dozwolone w identyfikatorze Entra firmy Microsoft, operacja może spowodować błąd synchronizacji ObjectTypeMismatch.

Przykładowy scenariusz błędu ObjectTypeMismatch

Grupa zabezpieczeń z obsługą poczty jest tworzona na platformie Microsoft 365. Administrator dodaje nowego użytkownika lub kontaktu w lokalna usługa Active Directory, który nie jest jeszcze zsynchronizowany z identyfikatorem Entra firmy Microsoft z tą samą wartością atrybutu proxyAddresses co grupa platformy Microsoft 365.

Przykładowy przypadek

  1. Administrator tworzy nową grupę zabezpieczeń z obsługą poczty w rozwiązaniu Microsoft 365 dla działu podatkowego i udostępnia adres e-mail jako tax@contoso.com. Ta grupa ma przypisaną wartość atrybutu proxyAddresses smtp: tax@contoso.com.
  2. Nowy użytkownik dołącza Contoso.com, a konto jest tworzone dla użytkownika lokalnego za pomocą atrybutu proxyAddresses jako smtp: tax@contoso.com.
  3. Gdy firma Microsoft Entra Połączenie synchronizuje nowe konto użytkownika, otrzymuje błąd ObjectTypeMismatch.

Naprawianie błędu ObjectTypeMismatch

Najczęstszą przyczyną błędu ObjectTypeMismatch jest to, że dwa obiekty innego typu, takie jak użytkownik, grupa lub kontakt, mają tę samą wartość atrybutu proxyAddresses . Aby naprawić błąd ObjectTypeMismatch:

  1. Zidentyfikuj zduplikowaną wartość proxyAddresses (lub innego atrybutu), która powoduje błąd. Określ także, które dwa lub więcej obiektów jest zaangażowanych w konflikt. Raport wygenerowany przez firmę Microsoft Entra Połączenie Health na potrzeby synchronizacji może pomóc w zidentyfikowaniu dwóch obiektów.
  2. Określ, który obiekt powinien nadal mieć zduplikowaną wartość i który obiekt nie powinien.
  3. Usuń zduplikowaną wartość z obiektu, który nie powinien mieć tej wartości. Wprowadź zmianę w katalogu, z którego pochodzi obiekt. W niektórych przypadkach może być konieczne usunięcie jednego z obiektów powodujących konflikt.
  4. Jeśli wprowadzisz zmianę w lokalnej usłudze AD, pozwól firmie Microsoft entra Połączenie zsynchronizować zmianę. Raport o błędach synchronizacji w usłudze Microsoft Entra Połączenie Health na potrzeby synchronizacji jest aktualizowany co 30 minut. Raport zawiera błędy z najnowszej próby synchronizacji.

Zduplikowane atrybuty

Błąd zduplikowanego atrybutu

AttributeValueMustBeUnique

opis

Schemat usługi Microsoft Entra nie pozwala, aby dwa lub więcej obiektów miało tę samą wartość następujących atrybutów. Każdy obiekt w usłudze identyfikatora Microsoft Entra musi mieć unikatową wartość tych atrybutów w danej instancji:

  • poczta
  • proxyAddresses
  • signInName
  • userPrincipalName

Jeśli usługa Microsoft Entra Connect spróbuje dodać nowy obiekt lub zaktualizować istniejący obiekt o wartość powyższych atrybutów, która jest już przypisana do innego obiektu w usłudze identyfikatora Microsoft Entra, operacja powoduje błąd synchronizacji AttributeValueMustBeUnique.

Możliwy scenariusz

Do już zsynchronizowanego obiektu przypisano zduplikowaną wartość, co powoduje konflikt z innym zsynchronizowanym obiektem.

Przykładowy przypadek

  1. Bob Smith jest zsynchronizowanym użytkownikiem w identyfikatorze Microsoft Entra z wyłączeniem usług Active Directory w witrynie contoso.com.
  2. Główna nazwa użytkownika Boba Smitha lokalnie jest ustawiona jako bobs@contoso.com.
  3. Bob ma również następujące wartości dla atrybutu proxyAddresses :
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  4. Nowy użytkownik, Bob Taylor, jest dodawany do lokalna usługa Active Directory.
  5. Główna nazwa użytkownika Boba Taylora jest ustawiona jako bobt@contoso.com.
  6. Bob Taylor ma następujące wartości dla atrybutu proxyAddresses :
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
  7. Obiekt Boba Taylora został pomyślnie zsynchronizowany z identyfikatorem Microsoft Entra.
  8. Administrator postanowił zaktualizować atrybut proxyAddresses Boba Taylora o następującej wartości:
    • Smtp: bob@contoso.com
  9. Usługa identyfikatora Microsoft Entra próbuje zaktualizować obiekt Boba Taylora w usłudze identyfkatora Microsoft Entra o poprzednią wartość, ale ta operacja kończy się niepowodzeniem, ponieważ ta wartość proxyAddresses jest już przypisana do Boba Smitha. Wynikiem jest błąd AttributeValueMustBeUnique.

Napraw błąd AttributeValueMustBeUnique

Najczęstszą przyczyną błędu AttributeValueMustBeUnique jest to, że dwa obiekty z różnymi atrybutami sourceAnchor (immutableId) mają taką samą wartość atrybutów proxyAddresses lub userPrincipalName . Aby naprawić błąd AttributeValueMustBeUnique:

  1. Zidentyfikuj zduplikowane wartości proxyAddresses, userPrincipalName lub inną wartość atrybutu, która powoduje błąd. Określ także, które dwa lub więcej obiektów jest zaangażowanych w konflikt. Raport wygenerowany przez firmę Microsoft Entra Połączenie Health na potrzeby synchronizacji może pomóc w zidentyfikowaniu dwóch obiektów.
  2. Określ, który obiekt powinien nadal mieć zduplikowaną wartość i który obiekt nie powinien.
  3. Usuń zduplikowaną wartość z obiektu, który nie powinien mieć tej wartości. Dokonaj zmiany w katalogu, z którego pochodzi obiekt. W niektórych przypadkach może być konieczne usunięcie jednego z obiektów powodujących konflikt.
  4. Jeśli dokonano zmiany w lokalnej usłudze Active Directory, pozwól Microsoft Entra Connect zsynchronizować zmianę, aby błąd został naprawiony.

Powiązany artykuł

Zduplikowane lub nieprawidłowe atrybuty uniemożliwiają synchronizację katalogów w Microsoft 365

Błędy sprawdzania poprawności danych

W tej sekcji omówiono błędy walidacji danych.

IdentityDataValidationFailed

opis

Microsoft Entra ID wymusza różne ograniczenia dotyczące danych przed zezwoleniem na zapisanie tych danych w katalogu. Te ograniczenia mają zapewnić użytkownikom końcowym najlepsze możliwe środowisko podczas korzystania z aplikacji, które zależą od tych danych.

Scenariusze

  • Wartość atrybutu userPrincipalName ma nieprawidłowe lub nieobsługiwane znaki.
  • Atrybut userPrincipalName nie jest zgodna z wymaganym formatem.

Wynikiem powyższych scenariuszy jest błąd IdentityDataValidationFailed.

Naprawianie błędu IdentityDataValidationFailed

Upewnij się, że atrybut userPrincipalName ma obsługiwane znaki i wymagany format.

Powiązany artykuł

Przygotowanie do aprowizowania użytkowników za pomocą synchronizacji katalogów na platformie Microsoft 365

Błędy naruszenia dostępu dotyczącego usuwania i naruszenia dostępu dotyczącego haseł

Identyfikator Entra firmy Microsoft chroni obiekty tylko w chmurze przed aktualizacją za pośrednictwem Połączenie firmy Microsoft. Chociaż nie można zaktualizować tych obiektów za pośrednictwem usługi Microsoft Entra Połączenie, wywołania mogą być wykonywane bezpośrednio do zaplecza firmy Microsoft Entra w celu podjęcia próby zmiany obiektów tylko w chmurze. W ten sposób można zwrócić następujące błędy:

  • Ta operacja synchronizacji, Usuń, nie jest prawidłowa. Skontaktuj się z pomocą techniczną (typ błędu 114).
  • Nie można przetworzyć tej aktualizacji, ponieważ w bieżącym żądaniu znajduje się co najmniej jedna aktualizacja poświadczeń użytkowników tylko w chmurze.
  • Usuwanie obiektu tylko w chmurze nie jest obsługiwane. Skontaktuj się z pomocą techniczną firmy Microsoft.
  • Nie można wykonać żądania zmiany hasła, ponieważ zawiera on zmiany w co najmniej jednym obiekcie użytkownika tylko w chmurze, które nie są obsługiwane. Skontaktuj się z pomocą techniczną firmy Microsoft.

Rozwiązywanie problemów z usuwaniem elementuCloudOnlyObjectNotAllowed (typ błędu 114)

W tej sekcji omówiono potencjalne przyczyny i rozwiązania dotyczące usuwania błędu Usuwanie obiektuCloudOnlyObjectNotAllowed (typ błędu 114).

Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli globalnego Administracja istratora. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.

opis

Jest to scenariusz, w przypadku którego klient chce przeprowadzić migrację z chmury tylko do chmury. Administrator inicjuje wywołanie usługi Microsoft Entra Połączenie, próbując przenieść użytkowników z zakresu, ale usługa Microsoft Entra Połączenie zwraca błąd DeleteingCloudOnlyObjectNotAllowed (lub typ błędu 114): "Ta operacja synchronizacji, Usuwanie nie jest prawidłowa. Skontaktuj się z pomocą techniczną.

Możliwe przyczyny tego błędu obejmują:

  • Wywołanie od firmy Microsoft Entra Połączenie nie ma nazwy UPN, nowego lub unikatowego identyfikatora GUID ani innych wymaganych informacji.
  • Firma Microsoft Entra Połączenie próbuje wyeksportować dane, ale ma DirSyncEnabled ustawioną wartość False.
  • Firma Microsoft Entra Połączenie próbuje usunąć przywróconego użytkownika lub innego obiektu. Jest to zwykle spowodowane tym, że użytkownik lub inne odwołanie do obiektu zostało przeniesione z zakresu synchronizacji lub do kontenera Utracone i odnalezione.

Możliwe scenariusze

Klient microsoft Entra Połączenie nie usuwa użytkowników podczas migracji tylko z chmury hybrydowej do chmury, co powoduje błąd typu 114.

Potencjalne przyczyny, dla których użytkownicy nie mają zostać usunięci, obejmują:

  • Reguła utworzona przez klienta w celu przeniesienia użytkowników z zakresu jest oparta na atrybucie Admin .
  • Typ błędu 114 jest zwracany podczas operacji synchronizacji (Azure AD Sync), co powoduje niepowodzenie usunięcia użytkowników.
  • Synchronizacja kończy się niepowodzeniem dla określonych funkcji, co powoduje, że użytkownicy nie są odpowiednio usuwani.

Przykład błędu

Przykład błędu eksportu:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {2819A5C8-BE27-EC11-A970-000D3A1B4EEE}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Naprawianie błędu

Aby rozwiązać ten problem:

  1. Zidentyfikuj odwołanie do obiektu problemu.
  2. Użyj programu PowerShell, aby usunąć nietrwałe konto w chmurze:
  3. Uruchom polecenie Start-ADSyncSyncCycle -PolicyType Delta , które powinno pomyślnie zaimportować usunięcie konta.
  4. Upewnij się, że usunięcie zakończyło się pomyślnie.
  5. Przywróć użytkownika z Kosza.
  6. Uruchom Start-ADSyncSyncCycle -PolicyType Delta polecenie na serwerze, aby potwierdzić, że błąd nie występuje ponownie.

Ostrzeżenie

Gdy użytkownik zostanie wykluczony z zakresu synchronizacji, obiekt zostanie usunięty nietrwale w identyfikatorze Entra firmy Microsoft, a jego atrybut DirSyncEnabled zostanie przełączony na wartość False. Ten proces nie konwertuje jednak obiektu na zarządzany w chmurze, ponieważ nadal zawiera atrybuty i wartości synchronizowane z lokalna usługa Active Directory, którymi nie można zarządzać w chmurze. Wartość DirSyncEnabled ma wartość False, aby wskazać, że obecnie jest poza zakresem synchronizacji i jest dostępna do ponownego dopasowania.

LargeObject lub ExceededAllowedLength

W tej sekcji omówiono błędy LargeObject lub ExceededAllowedLength.

opis

Jeśli atrybut przekracza dozwolony limit rozmiaru, limit długości lub limit liczby ustawiony przez schemat Firmy Microsoft Entra, operacja synchronizacji powoduje błąd synchronizacji LargeObject lub ExceededAllowedLength synchronizacji. Zazwyczaj ten błąd występuje dla następujących atrybutów:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Identyfikator Entra firmy Microsoft nie nakłada limitów na atrybut, z wyjątkiem zakodowanego na sztywno limitu 15 certyfikatów w atrybucie userCertificate i maksymalnie 100 atrybutów dla rozszerzeń katalogu z maksymalnie 250 znakami dla każdego rozszerzenia katalogu. Istnieje limit rozmiaru całego obiektu. Gdy program Microsoft Entra Connect próbuje zsynchronizować obiekt, który przekracza ten limit rozmiaru obiektu, zgłaszany jest błąd eksportu.

Wszystkie atrybuty przyczyniają się do końcowego rozmiaru obiektu. Niektóre atrybuty mają różne mnożniki wagi ze względu na dodatkowe obciążenie przetwarzania. Przykładem są indeksowane wartości. Ponadto różne usługi w chmurze, plany usług i licencje mogą być przypisane do konta, które zużywają jeszcze więcej atrybutów i przyczyniają się do ogólnego rozmiaru obiektu.

Nie można określić dokładnie, ile wpisów atrybut może przechowywać w identyfikatorze Entra firmy Microsoft, na przykład ile adresów SMTP może zmieścić się w atrybucie proxyAddresses . Kwota zależy od rozmiaru i mnożenia czynników wszystkich atrybutów wypełnionych w obiekcie.

Możliwe scenariusze

  • Atrybut userCertificate Boba przechowuje zbyt wiele certyfikatów przypisanych do Boba. Niektóre z tych certyfikatów mogą być starsze, wygasłe. Nieprzekraczalny limit wynosi 15 certyfikatów. Aby uzyskać więcej informacji na temat obsługi błędów obiektu LargeObject za pomocą atrybutu userCertificate , zobacz Obsługa błędów largeObject spowodowanych przez atrybut userCertificate.
  • Atrybut userSMIMECertificate boba przechowuje zbyt wiele certyfikatów przypisanych do Boba. Niektóre z tych certyfikatów mogą być starsze, wygasłe. Nieprzekraczalny limit wynosi 15 certyfikatów.
  • Atrybut thumbnailPhoto boba ustawiony w usłudze Active Directory jest zbyt duży, aby można go było zsynchronizować w identyfikatorze Entra firmy Microsoft.
  • Podczas automatycznej populacji atrybutu proxyAddresses w usłudze Active Directory obiekt ma zbyt wiele przypisanych atrybutów proxyAddresses .

W poniższych przykładach pokazano różne wagi atrybutów, takich jak userCertificate i proxyAddresses:

  • Zsynchronizowany użytkownik, który nie ma żadnych atrybutów wypełnionych poza obowiązkowymi atrybutami usługi Active Directory, a poczta może być w stanie zsynchronizować maksymalnie 332 adresy proxy.
  • W przypadku podobnego zsynchronizowanego użytkownika z atrybutem mailNickName oraz 10 certyfikatów użytkownika maksymalna liczba adresów proxy zmniejsza się do 329.
  • Jeśli podobny zsynchronizowany użytkownik z 10 certyfikatami użytkowników plus, na przykład 4 subskrypcje przypisane (z włączonymi wszystkimi planami usług), maksymalna liczba adresów proxy spadnie do 311.
  • Teraz przyjmijmy poprzedniego użytkownika, który już przechowuje maksymalną liczbę adresów proxy i załóżmy, że musisz dodać jeszcze jeden adres SMTP. Aby uzyskać 312 adresów proxy, należy usunąć co najmniej trzy certyfikaty użytkownika (w zależności od rozmiaru certyfikatu).

Uwaga

Te liczby mogą się nieznacznie różnić. Bezpieczniejszą zasadą jest założenie, że limit adresów SMTP w atrybucie proxyAddresses wynosi około 300 adresów, aby pozostawić miejsce na przyszły wzrost obiektu i jego wypełnionych atrybutów.

Naprawiono błąd LargeObject lub ExceededAllowedLength

Przejrzyj właściwości użytkownika i usuń wartości atrybutów, które mogą nie być już wymagane. Przykłady obejmują odwołane lub wygasłe certyfikaty oraz nieaktualne lub niepotrzebne adresy, takie jak SMTP, X.400, X.500, MSMail i CcMail.

Istniejący konflikt roli administratora

opis

Wystąpił błąd synchronizacji istniejącego Administracja konfliktów ról w obiekcie użytkownika podczas synchronizacji, gdy ten obiekt użytkownika ma:

  • Administracja istracyjne uprawnienia.
  • Ten sam atrybut userPrincipalName co istniejący obiekt Microsoft Entra.

Microsoft Entra Połączenie nie może dopasować obiektu użytkownika z lokalnej usługi AD z obiektem użytkownika w identyfikatorze Entra firmy Microsoft, który ma przypisaną rolę administracyjną. Aby uzyskać więcej informacji, zobacz Microsoft Entra userPrincipalName population (Populacja entra userPrincipalName firmy Microsoft).

Zrzut ekranu przedstawiający liczbę błędów synchronizacji istniejących Administracja konfliktów ról.

Naprawianie istniejącego błędu konfliktu ról Administracja

Aby rozwiązać ten problem:

  1. Usuń konto Microsoft Entra (właściciel) ze wszystkich ról administratora.
  2. Trwale usuń obiekt poddane kwarantannie w chmurze.
  3. Następny cykl synchronizacji zajmie się miękkim dopasowaniem użytkownika lokalnego do konta chmury, ponieważ użytkownik chmury nie jest już tożsamością hybrydową Administracja istrator.
  4. Przywróć członkostwo w rolach właściciela.

Uwaga

Rolę administracyjną można ponownie przypisać do istniejącego obiektu użytkownika po zakończeniu miękkiego dopasowania między obiektem użytkownika lokalnego a obiektem użytkownika Microsoft Entra.