Поделиться через

Сообщение об ошибке "Превышено ограничение размера — код ошибки 0x4" во время разностного импорта в Microsoft Entra Connect

В этой статье описывается устранение неполадок с сообщением об ошибке "Превышено ограничение размера — код ошибки 0x4", которое возникает во время шага разностного импорта из локальная служба Active Directory в Microsoft Entra Connect.

Симптомы

В приложении Service Manager синхронизации действия разностного импорта из соединителя локальная служба Active Directory завершаются ошибкой. В диалоговом окне "Журнал подключений" отображается состояние удаленного подключения , ошибка превышения ограничения размера и код ошибки 0x4:

Снимок экрана: вкладка

В журнале приложений записывается идентификатор события ошибки 6050, как показано в следующем примере:

Log Name:      Application
Source:        ADSync
Date:          5/12/2023 7:34:38 AM
Event ID:      6050
Task Category: Management Agent Run Profile
Level:         Error
Keywords:      Classic
User:          N/A
Computer:      AADConnect.Contoso.com
Description:
The management agent "Contoso.com" failed on run profile "Delta Import" because of connectivity issues.
 
 Additional Information
 Discovery Errors       : "0"
 Synchronization Errors : "0"
 Metaverse Retry Errors : "0"
 Export Errors          : "0"
 Warnings               : "0"
 
 User Action
 View the management agent run history for details.

Причина

По умолчанию при выполнении поиска или запроса по протоколу LDAP в идентификаторе Microsoft Entra каталог может возвращать не более 1000 записей. По проектированию безопасности это поведение Active Directory по умолчанию. Ограничение на 1000 записей предназначено для предотвращения распределенной атаки типа "отказ в обслуживании" (DDoS) на запросы LDAP. Эта проблема может возникнуть, если недавно восстановлено большое количество объектов одновременно из корзины Active Directory. Процесс восстановления может привести к превышению предела записи запроса разностного импорта.

Решение 1. Запуск полного импорта в соединителе AD DS

Самое простое решение этой проблемы заключается в том, чтобы вручную запустить полный импорт (вместо разностного импорта) в соединителе служб домен Active Directory (AD DS). Выполните следующие действия:

  1. Нажмите кнопку "Пуск", а затем найдите и выберите Диспетчер службы синхронизации.

  2. В окне Диспетчера синхронизации выберите шаг "Разностный импорт" локального соединителя AD, который не подключается. Найдите шаг "Разностный импорт", показывающий состояние остановленного подключения.

  3. Нажмите клавиши CTRL+F5 или щелкните его правой кнопкой мыши и нажмите кнопку "Выполнить".

  4. В диалоговом окне "Запустить соединитель" выберите профиль полного импорта и нажмите кнопку "ОК".

После завершения полного импорта откройте консоль PowerShell и запустите Start-ADSyncSyncCycle командлет, чтобы запустить обычный цикл разностной синхронизации. Этот процесс описан в microsoft Entra Connect Sync: Планировщик.

Решение 2. Временно увеличить ограничение записи

Если вы не хотите выполнять полный импорт в соединителе AD DS, можно временно изменить конфигурацию, чтобы поиск LDAP может вернуть большее количество записей во время разностной синхронизации.

Чтобы увеличить ограничение на 1000 записей, увеличьте максимальный размер страницы (MaxPageSize) для размещения количества объектов, возвращаемых этапом разностного импорта. Например, если вы восстановили подразделение организации с 5000 пользователями, рекомендуется временно увеличить MaxPageSize значение 5000. Затем после устранения проблемы Microsoft Entra Connect восстановите MaxPageSize значение по умолчанию 1000.

Чтобы изменить MaxPageSize параметр, выполните команду Ntdsutil , как показано в следующей процедуре. Дополнительные сведения см. в MaxPageSizeразделе об ограничениях администрирования LDAP.

Важно!

Точно следуйте всем указаниям из этого раздела. Серьезные проблемы могут возникнуть, если изменить конфигурацию AD по умолчанию неправильно. При устранении проблемы можно восстановить значения по умолчанию.

  1. Нажмите кнопку "Пуск", введите командную строку и выберите "Запуск от имени администратора".

  2. В командной строке введите ntdsutil , чтобы запустить сеанс консоли Ntdsutil.

  3. В разделе "Просмотр" и настройке политики LDAP в Active Directory с помощью Ntdsutil.exe статьи следуйте инструкциям в разделе "Просмотр текущих параметров политики", чтобы узнать, какие параметры политики в настоящее время заданы.

  4. Чтобы изменить максимальный размер страницы, введите set MaxPageSize to <new-maximum-page-size-value>.

  5. Введите commit changes , чтобы применить новое значение.

  6. Чтобы выйти из сеанса Ntdsutil, введите quit два раза.

После изменения конфигурации откройте консоль PowerShell и запустите Start-ADSyncSyncCycle командлет, чтобы запустить обычный цикл разностной синхронизации. Этот процесс описан в microsoft Entra Connect Sync: Планировщик. Теперь Active Directory возвращает большее количество записей, и он должен иметь возможность предоставить полный разностный ответ Microsoft Entra Connect.

После успешного завершения разностной синхронизации повторите процедуру для восстановления MaxPageSize параметра до исходного значения (1000).

Ссылки

Политики LDAP

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.