Share via

Синхронизация microsoft Entra Подключение: обработка ошибок LargeObject, вызванных атрибутом userCertificate

  • Статья

Идентификатор Microsoft Entra применяет максимальное ограничение в 15 значений сертификатов для атрибута userCertificate . Если Microsoft Entra Подключение экспортирует объект с более чем 15 значениями в идентификатор Microsoft Entra, идентификатор Microsoft Entra возвращает ошибку LargeObject с сообщением:

"Подготовленный объект слишком велик. Сократите число значений атрибутов для этого объекта. Операция будет выполнена повторно в следующем цикле синхронизации..."

Ошибку LargeObject могут вызвать другие атрибуты AD. Чтобы убедиться, что ошибку действительно вызвал атрибут userCertificate, необходимо проверить объект в локальной службе AD или выполнить поиск в метавселенной Synchronization Service Manager.

Список объектов в клиенте с ошибками LargeObject можно получить одним из следующих методов:

  • Если клиент включен для Microsoft Entra Подключение Работоспособность для синхронизации, вы можете обратиться к отчету об ошибке синхронизации.

  • На вкладке "Операции Синхронизации Service Manager" отображается список объектов с ошибками LargeObject, если щелкнуть последнюю операцию экспорта в Microsoft Entra.

Варианты устранения ошибок

До устранения ошибки LargeObject другие атрибуты не могут быть экспортированы в идентификатор Microsoft Entra. Ниже представлены способы устранения ошибки:

  • Обновите Microsoft Entra Подключение до сборки 1.1.524.0 или более поздней версии. В Microsoft Entra Connect сборки 1.1.524.0 стандартные правила синхронизации были обновлены: атрибуты userCertificate и userSMIMECertificate не экспортируются, если эти атрибуты имеют более 15 значений. Дополнительные сведения об обновлении Microsoft Entra Подключение см. в статье Microsoft Entra Подключение: обновление с предыдущей версии до последней.

  • Реализуйте правило исходящей синхронизации в Microsoft Entra Подключение, которое экспортирует значение NULL вместо фактических значений для объектов с более чем 15 значениями сертификата. Этот вариант подходит, если не нужно экспортировать значения сертификата для объектов с более чем 15 значениями в Microsoft Entra ID. Дополнительные сведения о реализации этого правила синхронизации см. в следующем разделе: Реализация правила синхронизации для ограничения экспорта атрибута userCertificate.

  • Сократите количество значений сертификата в локальном объекте AD (15 или меньше), удалив значения, которые больше не используются в вашей организации. Это подходящий вариант, если увеличение числа атрибутов произошло из-за сертификатов с истекшим сроком действия или неиспользуемых сертификатов. Командлет Remove-ADSyncToolsExpiredCertificates можно использовать для поиска, резервного копирования и удаления сертификатов с истекшим сроком действия в локальной AD. Прежде чем удалять сертификаты, мы рекомендуем свериться с администраторами инфраструктуры открытых ключей в организации.

  • Настройте Microsoft Entra Подключение, чтобы исключить атрибут userCertificate из экспорта в идентификатор Microsoft Entra. В общем мы не рекомендуем этот вариант, так как атрибут может использоваться в Microsoft Online Services для реализации определенных сценариев, В частности:

    • Атрибут userCertificate объекта User используется в клиентах Exchange Online и Outlook для подписывания и шифрования сообщений. Дополнительные сведения об этой функции см. в статье S/MIME для подписи и шифрования сообщений.

    • Атрибут userCertificate в объекте Computer используется идентификатором Microsoft Entra, чтобы разрешить устройствам, присоединенным к локальному домену Windows 10, подключаться к идентификатору Microsoft Entra. Дополнительные сведения об этой функции см. в статье Подключение присоединенных к домену устройств с идентификатором Microsoft Entra для Windows 10.

Реализация правила синхронизации для ограничения экспорта атрибута userCertificate

Чтобы устранить ошибку LargeObject, вызванную атрибутом userCertificate, можно реализовать правило исходящей синхронизации в Microsoft Entra Подключение, которое экспортирует значение NULL вместо фактических значений для объектов с более чем 15 значениями сертификата. В этом разделе описываются шаги, необходимые для реализации правила синхронизации для объектов User. Эти же действия можно использовать для объектов Contact и Computer.

Важно!

При экспорте значения NULL значения сертификатов ранее успешно экспортировались в идентификатор Microsoft Entra.

Далее шаги представлены вкратце.

  1. Отключите планировщик синхронизации и убедитесь, что синхронизация не выполняется.
  2. Найдите имеющееся исходящее правило синхронизации для атрибута userCertificate.
  3. Создайте требуемое исходящее правило синхронизации.
  4. Примените новое правило синхронизации к имеющемуся объекту с ошибкой LargeObject.
  5. Примените новое правило синхронизации к остальным объектам с ошибкой LargeObject.
  6. Убедитесь, что непредвиденные изменения, ожидающие экспорта в идентификатор Microsoft Entra.
  7. Экспортируйте изменения в идентификатор Microsoft Entra.
  8. Повторно включите планировщик синхронизации.

Шаг 1. Отключение планировщика синхронизации и остановка синхронизации

Убедитесь, что синхронизация не выполняется во время реализации нового правила синхронизации, чтобы избежать непреднамеренных изменений, экспортируемых в идентификатор Microsoft Entra ID. Чтобы отключить встроенный планировщик синхронизации, сделайте следующее:

  1. Запустите сеанс PowerShell на сервере Microsoft Entra Подключение.

  2. Отключите плановую синхронизацию, выполнив командлет: Set-ADSyncScheduler -SyncCycleEnabled $false

Примечание.

Предыдущие шаги применимы только к более новым версиям (1.1.xxx.x) Microsoft Entra Подключение со встроенным планировщиком. Если вы используете более старые версии (1.0.xxx.x) Microsoft Entra Подключение, использующей планировщик задач Windows, или используете собственный настраиваемый планировщик (не распространенный) для активации периодической синхронизации, их необходимо отключить соответствующим образом.

  1. Запустите Synchronization Service Manager, выбрав "Пуск → Служба синхронизации".

  2. Перейдите на вкладку операций и убедитесь, что на ней не отображаются операции в состоянии Выполняется.

Шаг 2. Поиск существующего правила синхронизации исходящего трафика для атрибута userCertificate

Должно быть существующее правило синхронизации, которое включено и настроено для экспорта атрибута userCertificate для объектов User в идентификатор Microsoft Entra ID. Найдите это правило синхронизации, чтобы узнать его приоритет и конфигурацию фильтра области:

  1. Запустите редактор правил синхронизации, выбрав "Пуск → Редактор правил синхронизации".

  2. Настройте фильтры поиска со следующими значениями:

    Атрибут Значение
    Направление Исходящая
    Тип объекта метавселенной Физическое лицо
    Соединитель имя соединителя Microsoft Entra
    Тип объекта соединителя user
    Атрибуты метавселенной userCertificate

  3. Если вы используете правила синхронизации OOB (вне поля) с соединителем Microsoft Entra для экспорта атрибута userCertificate для объектов User, необходимо вернуть правило "Out to Microsoft Entra ID — User ExchangeOnline".

  4. Запишите значение приоритета этого правила синхронизации.

  5. Выберите правило синхронизации и щелкните Изменить.

  6. Во всплывающем диалоговом окне Edit Reserved Rule Confirmation (Изменить подтверждение зарезервированного правила) щелкните Нет. (Не беспокойтесь, мы не собираемся изменять это правило синхронизации.)

  7. В окне изменения выберите вкладку Scoping filter (Фильтр области).

  8. Запишите конфигурацию фильтра области. При использовании стандартного правила синхронизации должна быть одна группа фильтров области с двумя предложениями, включая следующие:

    Атрибут Оператор Значение
    sourceObjectType EQUAL User
    cloudMastered NOTEQUAL Истина

Шаг 3. Создание правила исходящей синхронизации

Для нового и имеющегося правила синхронизации нужно использовать один и тот же фильтр области, но приоритет нового правила синхронизации должен быть выше, чем приоритет имеющегося. Таким образом, новое и имеющееся правила синхронизации будут применяться к одному набору объектов. При этом новое правило будет переопределять имеющееся для атрибута userCertificate. Чтобы создать правило синхронизации, сделайте следующее:

  1. В редакторе правил синхронизации нажмите кнопку Add new rule (Добавить новое правило).

  2. На вкладке Описание укажите следующую конфигурацию:

    Атрибут Значение Сведения
    Имя. Укажите имя Например, "Out to Microsoft Entra ID — Custom override for userCertificate"
    Description Укажите описание Например, если атрибут userCertificate содержит более 15 значений, экспортировать NULL.
    Подключенная система Выберите элемент microsoft Entra Подключение or
    Тип объекта подключенной системы user
    Тип объекта метавселенной person
    Тип ссылки Присоединение
    Приоритет Выберите число от 1 до 99 Выбранное значение не должно использоваться в имеющихся правилах синхронизации. Оно должно быть меньше значения (и, следовательно, приоритетнее) существующего правила синхронизации.

  3. Перейдите на вкладку Scoping filter (Фильтр области) и примените тот же фильтр области, который используется в имеющемся правиле синхронизации.

  4. Пропустите вкладку Join rules (Правила объединения).

  5. Перейдите на вкладку Transformations (Преобразования), чтобы добавить новое преобразование, используя следующую конфигурацию:

    Атрибут Значение
    Тип перегруппировки Выражение
    Целевой атрибут userCertificate
    Атрибут источника Используйте следующее выражение:IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

  6. Нажмите кнопку Добавить, чтобы создать правило синхронизации.

Шаг 4. Проверка нового правила синхронизации существующего объекта с ошибкой LargeObject

Так вы сможете убедиться, что созданное правило синхронизации действует соответствующим образом в имеющемся объекте AD с ошибкой LargeObject, прежде чем применить его к другим объектам:

  1. Откройте вкладку Operations (Операции) в Synchronization Service Manager.
  2. Выберите последнюю операцию экспорта в Microsoft Entra и щелкните один из объектов с ошибками LargeObject.
  3. На всплывающем экране Connector Space Object Properties (Свойства объекта пространства соединителя) щелкните кнопку Preview (Предварительный просмотр).
  4. На всплывающем экране предварительного просмотра выберите Full synchronization (Полная синхронизация) и Commit Preview (Просмотр перед фиксацией).
  5. Закройте экран предварительного просмотра и свойств объекта пространства соединителя.
  6. Откройте вкладку Connectors (Соединители) в Synchronization Service Manager.
  7. Щелкните правой кнопкой мыши идентификатор Microsoft Entra id Подключение or и выберите "Выполнить...
  8. На всплывающем экране запуска соединителя выберите шаг Экспорт и щелкните ОК.
  9. Дождитесь завершения экспорта в идентификатор Microsoft Entra и убедитесь, что в этом конкретном объекте больше нет ошибки LargeObject.

Шаг 5. Применение нового правила синхронизации к оставшимся объектам с ошибкой LargeObject

Добавив правило синхронизации, выполните шаг полной синхронизации для соединителя AD:

  1. Откройте вкладку Connectors (Соединители) в Synchronization Service Manager.
  2. Щелкните правой кнопкой мыши соединитель AD и выберите команду Run... (Выполнить...).
  3. На всплывающем экране запуска соединителя выберите шаг Full Synchronization (Полная синхронизация) и щелкните ОК.
  4. Дождитесь выполнения шага полной синхронизации.
  5. При наличии нескольких соединителей AD повторите описанные выше действия для оставшихся соединителей AD. Как правило, для нескольких локальных каталогов требуется несколько соединителей.

Шаг 6. Убедитесь, что нет непредвиденных изменений, ожидающих экспорта в идентификатор Microsoft Entra ID

  1. Откройте вкладку Connectors (Соединители) в Synchronization Service Manager.
  2. Щелкните правой кнопкой мыши идентификатор Microsoft Entra ID Подключение or и выберите "Поиск Подключение пробела".
  3. Во всплывающем пространстве поиска Подключение or:
    1. В качестве области укажите ожидающий экспорт.
    2. Установите все 3 флажка, в том числе Добавить, Изменить и Удалить.
    3. Нажмите кнопку "Поиск" , чтобы вернуть все объекты с изменениями, ожидающие экспорта в идентификатор Microsoft Entra.
    4. Убедитесь, что непредвиденные изменения отсутствуют. Чтобы проверить изменения указанного объекта, дважды щелкните его.

Шаг 7. Экспорт изменений в идентификатор Microsoft Entra

Чтобы экспортировать изменения в идентификатор Microsoft Entra, выполните следующие действия.

  1. Откройте вкладку Connectors (Соединители) в Synchronization Service Manager.
  2. Щелкните правой кнопкой мыши идентификатор Microsoft Entra id Подключение or и выберите "Выполнить...
  3. На всплывающем экране запуска соединителя выберите шаг Экспорт и щелкните ОК.
  4. Дождитесь завершения экспорта в идентификатор Microsoft Entra и убедитесь, что больше ошибок LargeObject нет.

Шаг 8. Повторное включение планировщика синхронизации

Устранив проблему, повторно включите встроенный планировщик синхронизации:

  1. Запустите сеанс PowerShell.
  2. Повторно включите плановую синхронизацию, выполнив командлет: Set-ADSyncScheduler -SyncCycleEnabled $true

Примечание.

Предыдущие шаги применимы только к более новым версиям (1.1.xxx.x) Microsoft Entra Подключение со встроенным планировщиком. Если вы используете более старые версии (1.0.xxx.x) Microsoft Entra Подключение, использующей планировщик задач Windows, или используете собственный настраиваемый планировщик (не распространенный) для активации периодической синхронизации, их необходимо отключить соответствующим образом.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.