Share via

Förstå fel under Microsoft Entra-synkronisering.

  • Artikel

Fel kan inträffa när identitetsdata synkroniseras från Windows Server Active Directory till Microsoft Entra-ID. Den här artikeln innehåller en översikt över olika typer av synkroniseringsfel, några av de möjliga scenarier som orsakar dessa fel och möjliga sätt att åtgärda felen. Den här artikeln innehåller vanliga feltyper och kanske inte omfattar alla möjliga fel.

Den här artikeln förutsätter att du är bekant med de underliggande designbegreppen i Microsoft Entra ID och Microsoft Entra Anslut.

Viktigt!

Den här artikeln försöker åtgärda de vanligaste synkroniseringsfelen. Tyvärr är det inte möjligt att täcka alla scenarion i ett dokument. Mer information, inklusive djupgående felsökningssteg, finns i Felsökning från slutpunkt till slutpunkt för Microsoft Entra Anslut-objekt och attribut samt avsnittet Användaretablering och synkronisering under felsökningsdokumentationen för Microsoft Entra.

Med den senaste versionen av Microsoft Entra Anslut (augusti 2016 eller senare) finns en rapport om synkroniseringsfel tillgänglig i administrationscentret för Microsoft Entra som en del av Microsoft Entra Anslut Health för synkronisering.

Från och med 1 september 2016 aktiveras microsoft entra-ID-dubblettattributåterhämtning som standard för alla nya Microsoft Entra-klienter. Den här funktionen aktiveras automatiskt för befintliga klienter.

Microsoft Entra Anslut utför tre typer av åtgärder från de kataloger som den håller synkroniserade: Import, Synkronisering och Export. Fel kan inträffa i alla tre åtgärderna. Den här artikeln fokuserar främst på fel vid export till Microsoft Entra-ID.

Fel vid export till Microsoft Entra-ID

I följande avsnitt beskrivs olika typer av synkroniseringsfel som kan inträffa under exportåtgärden till Microsoft Entra-ID med hjälp av Microsoft Entra-anslutningsappen. Du kan identifiera den här anslutningsappen med namnformatet contoso.onmicrosoft.com. Fel vid export till Microsoft Entra-ID indikerar att en åtgärd som att lägga till, uppdatera eller ta bort försök av Microsoft Entra Anslut (synkroniseringsmotor) på Microsoft Entra-ID misslyckades.

Diagram som visar översikten över exportfel.

Fel vid matchning av data

I det här avsnittet beskrivs fel med matchningsfel för data.

InvalidHardMatch

beskrivning

Ett InvalidHardMatch-fel inträffar under synkroniseringen när det görs ett försök att hårdmatcha objekt som finns i Microsoft Entra-ID med ett nytt inkommande objekt som har samma sourceAnchor-värde, men funktionen BlockCloudObjectTakeoverThroughHardMatchEnabled är aktiverad i klientorganisationen.

Exempelscenarier för ett InvalidHardMatch-fel

  • DirSync återaktiveras på klientorganisationen och objekt med samma sourceAnchor synkroniseras igen, men funktionen BlockCloudObjectTakeoverThroughHardMatchEnabled är aktiverad och förhindrar att den hårda matchningen sker.
  • Användaren uteslöts från synkroniseringsomfånget och återställdes från Papperskorgen för Microsoft Entra-ID. Senare läggs användaren till i synkroniseringsomfånget igen och försöker ta över objektet som redan finns i Microsoft Entra-ID baserat på samma sourceAnchor-värde, men funktionen BlockCloudObjectTakeoverThroughHardMatchEnabled är aktiverad och förhindrar att den hårda matchningen inträffar.

Exempel

  1. Bob Smith är en synkroniserad användare i Microsoft Entra ID från den lokala Active Directory för contoso.com.
  2. Som standard beräknas Värdet SourceAnchor för "abcdefghijklmnopqrstuv==" av Microsoft Entra Anslut med hjälp av Bob Smiths MsDs-ConsistencyGUID-attribut (eller ObjectGUID beroende på konfigurationen) från lokal Active Directory. Det här attributvärdet är oföränderligtId för Bob Smith i Microsoft Entra-ID.
  3. Administratören tar bort Bob Smith från synkroniseringsomfånget och Microsoft Entra Anslut exporterar en borttagning av objektet.
  4. Bob Smiths objekt blir mjukt borttaget i Microsoft Entra-ID och dess DirSyncEnabled-attribut växlas till False. Den här processen konverterar dock inte objektet till molnhanterat, utan betraktas fortfarande som ett objekt som synkroniserats från lokal Active Directory. DirSyncEnabled-värdet är Falskt för att indikera att det för närvarande är utanför synkroniseringsomfånget och är tillgängligt för matchning igen.
  5. Administratören lägger till Bob Smith i synkroniseringsomfånget igen och Microsoft Entra Anslut synkroniserar objektet igen.
  6. Normalt tar en hård matchning över objektet som finns i Microsoft Entra-ID baserat på samma SourceAnchor och växlar tillbaka attributet DirSyncEnabled till "True", men när BlockCloudObjectTakeoverThroughHardMatchEnabled är aktiverat tillåts inte den här åtgärden och en InvalidHardMatch genereras.

Åtgärda Felet InvalidHardMatch

Vi rekommenderar kunder att aktivera BlockCloudObjectTakeoverThroughHardMatchEnabled om de inte behöver det för att ta över befintliga konton i Microsoft Entra-ID.

Om du behöver rensa ett InvalidHardtMatch-fel och matcha kontot kan du aktivera hård matchning igen enligt beskrivningen i Hård matchning kontra Mjuk matchning.

InvalidSoftMatch

beskrivning

  • Felet InvalidSoftMatch inträffar när den hårda matchningen inte hittar något matchande objekt och den mjuka matchningen hittar ett matchande objekt, men objektet har ett annat oföränderligtId-värde än det inkommande objektets sourceAnchor. Det här matchningsfelet tyder på att det matchande objektet synkroniserades från ett annat objekt från lokal Active Directory.

För att mjuk matchning ska fungera bör objektet som ska matchas med inte ha något värde för attributet immutableId . Åtgärden resulterar i ett InvalidSoftMatch-synkroniseringsfel när objektet med attributet immutableId med ett värde misslyckas med den hårda matchningen men uppfyller kriterierna för mjuk matchning.

Microsoft Entra-schemat tillåter inte att två eller flera objekt har samma värde för följande attribut. Den här listan är inte fullständig:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

Microsoft Entra-attributet duplicerad attributåterhämtning](how-to-connect-syncservice-duplicate-attribute-resiliency.md) distribueras också som standardbeteende för Microsoft Entra-ID. Den här funktionen minskar antalet synkroniseringsfel som visas av Microsoft Entra Anslut och andra synkroniseringsklienter. Det gör Microsoft Entra mer motståndskraftigt på det sätt som det hanterar duplicerade proxyAddresses- och userPrincipalName-attribut som finns i lokal Active Directory miljöer.

Den här funktionen åtgärdar inte dupliceringsfelen, så data måste fortfarande åtgärdas. Men det tillåter etablering av nya objekt som annars blockeras från att etableras på grund av duplicerade värden i Microsoft Entra-ID. Den här funktionen minskar också antalet synkroniseringsfel som returneras till synkroniseringsklienten.

Kommentar

Om dubblettattributåterhämtning för Microsoft Entra-attribut har aktiverats för din klientorganisation visas inte de InvalidSoftMatch-synkroniseringsfel som visas under etableringen av nya objekt.

Exempelscenarier för ett InvalidSoftMatch-fel

  • Det finns två eller flera objekt med samma värde för attributet proxyAddresses i lokal Active Directory. Endast en etableras i Microsoft Entra-ID.
  • Det finns två eller flera objekt med samma värde för attributet userPrincipalName i lokal Active Directory. Endast en etableras i Microsoft Entra-ID.
  • Ett objekt lades till i lokal Active Directory med samma värde för attributet proxyAddresses som för ett befintligt objekt i Microsoft Entra-ID. Objektet som läggs till lokalt etableras inte i Microsoft Entra-ID.
  • Ett objekt lades till i lokal Active Directory med samma värde för attributet userPrincipalName som för ett konto i Microsoft Entra-ID. Objektet etableras inte i Microsoft Entra-ID.
  • Ett synkroniserat konto flyttades från Skog A till Skog B. Microsoft Entra Anslut (synkroniseringsmotor) använde attributet objectGUID för att beräkna attributet sourceAnchor. När skogen har flyttats skiljer sig värdet för attributet sourceAnchor . Det nya objektet från Skog B kan inte synkroniseras med det befintliga objektet i Microsoft Entra-ID.
  • Ett synkroniserat objekt togs bort av misstag från lokal Active Directory och ett nytt objekt skapades i Active Directory för samma entitet (till exempel användare) utan att kontot togs bort i Microsoft Entra-ID. Det nya kontot kan inte synkroniseras med det befintliga Microsoft Entra-objektet.
  • Microsoft Entra Anslut avinstallerades och installerades om. Under ominstallationen valdes ett annat attribut som sourceAnchor-attribut . Alla tidigare synkroniserade objekt slutar synkronisera med Felet InvalidSoftMatch.

Exempel

  1. Bob Smith är en synkroniserad användare i Microsoft Entra-ID från lokal Active Directory för contoso.com.
  2. Bob Smiths huvudnamn för användaren anges som bobs@contoso.com.
  3. Attributet sourceAnchor för "abcdefghijklmnopqrstuv==" beräknas av Microsoft Entra Anslut med hjälp av Bob Smiths objectGUID-attribut från lokal Active Directory. Det här attributet är attributet immutableId för Bob Smith i Microsoft Entra ID.
  4. Bob har också följande värden för attributet proxyAddresses :
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  5. En ny användare, Bob Taylor, läggs till i lokal Active Directory.
  6. Bob Taylors huvudnamn för användaren anges som bobt@contoso.com.
  7. Attributet sourceAnchor för "abcdefghijkl0123456789==" beräknas av Microsoft Entra Anslut med hjälp av Bob Taylors objectGUID-attribut från lokal Active Directory.
  8. Bob Taylor har följande värden för attributet proxyAddresses :
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
    • Smtp: bob@contoso.com
  9. Under synkroniseringen känner Microsoft Entra Anslut igen tillägget av Bob Taylor i lokal Active Directory och ber Microsoft Entra-ID att göra samma ändring.
  10. Microsoft Entra utför först en hård matchning. Det innebär att den söker efter alla objekt med attributet immutableId som är lika med "abcdefghijkl0123456789==". Den hårda matchningen misslyckas eftersom inget annat objekt i Microsoft Entra-ID:t har attributet immutableId .
  11. Microsoft Entra ID utför sedan en mjuk matchning för att hitta Bob Taylor. Det innebär att den söker efter om det finns något objekt med proxyAddresses-attribut som är lika med de tre värdena, inklusive smtp: bob@contoso.com.
  12. Microsoft Entra ID hittar Bob Smiths objekt för att matcha kriterierna för mjuk matchning. Men det här objektet har värdet oföränderligtId = "abcdefghijklmnopqrstuv==", vilket indikerar att objektet synkroniserades från ett annat objekt från lokal Active Directory. Microsoft Entra-ID kan inte matcha dessa objekt så ett InvalidSoftMatch-synkroniseringsfel utlöses.

Åtgärda Felet InvalidSoftMatch

Den vanligaste orsaken till InvalidSoftMatch-felet är två objekt med olika sourceAnchor-attribut (immutableId) som har samma värde för attributen proxyAddresses eller userPrincipalName , som används under mjuk matchningsprocessen på Microsoft Entra-ID. Så här åtgärdar du Felet InvalidSoftMatch:

  1. Identifiera duplicerade proxyAddresses, userPrincipalName eller annat attributvärde som orsakar felet. Identifiera även vilka två eller flera objekt som är inblandade i konflikten. Rapporten som genereras av Microsoft Entra Anslut Health för synkronisering kan hjälpa dig att identifiera de två objekten.
  2. Identifiera vilket objekt som ska fortsätta att ha det duplicerade värdet och vilket objekt som inte ska ha det.
  3. Ta bort det duplicerade värdet från objektet som inte ska ha det värdet. Gör ändringen i katalogen som objektet kommer från. I vissa fall kan du behöva ta bort ett av objekten i konflikt.
  4. Om du har gjort ändringen i lokal Active Directory låter du Microsoft Entra Anslut Synkronisera ändringen.

Rapporter om synkroniseringsfel i Microsoft Entra Anslut Health för synkronisering uppdateras var 30:e minut och innehåller felen från det senaste synkroniseringsförsöket.

Kommentar

Attributet ImmutableId bör per definition inte ändras under objektets livslängd. Men kanske Microsoft Entra Anslut inte har konfigurerats med några av scenarierna i åtanke från föregående lista. I så fall kan Microsoft Entra Anslut beräkna ett annat värde för attributet sourceAnchor för Active Directory-objektet som representerar samma entitet (samma användare, grupp eller kontakt) som har ett befintligt Microsoft Entra-objekt som du vill fortsätta använda.

Relaterad artikel

Duplicerade eller ogiltiga attribut förhindrar katalogsynkronisering i Microsoft 365

ObjectTypeMismatch

beskrivning

När Microsoft Entra-ID:t försöker matcha två objekt på ett mjukt sätt är det möjligt att två objekt av olika "objekttyp", som användare, grupp eller kontakt, har samma värden för de attribut som används för att utföra den mjuka matchningen. Eftersom dubblering av dessa attribut inte tillåts i Microsoft Entra-ID kan åtgärden resultera i ett ObjectTypeMismatch-synkroniseringsfel.

Exempelscenario för ett ObjectTypeMismatch-fel

En e-postaktiverad säkerhetsgrupp skapas i Microsoft 365. Administratören lägger till en ny användare eller kontakt i lokal Active Directory som inte har synkroniserats med Microsoft Entra-ID ännu med samma värde för attributet proxyAddresses som för Microsoft 365-gruppen.

Exempel

  1. En administratör skapar en ny e-postaktiverad säkerhetsgrupp i Microsoft 365 för skatteavdelningen och tillhandahåller en e-postadress som tax@contoso.com. Den här gruppen tilldelas attributet proxyAddresses för smtp: tax@contoso.com.
  2. En ny användare ansluter Contoso.com och ett konto skapas för användaren lokalt med attributet proxyAddresses som smtp: tax@contoso.com.
  3. När Microsoft Entra Anslut synkroniserar det nya användarkontot hämtar det ObjectTypeMismatch-felet.

Åtgärda Felet ObjectTypeMismatch

Den vanligaste orsaken till ObjectTypeMismatch-felet är att två objekt av olika typ, till exempel användare, grupp eller kontakt, har samma värde för attributet proxyAddresses . Så här åtgärdar du Felet ObjectTypeMismatch:

  1. Identifiera det duplicerade proxyAddresses-värdet (eller något annat attribut) som orsakar felet. Identifiera även vilka två eller flera objekt som är inblandade i konflikten. Rapporten som genereras av Microsoft Entra Anslut Health för synkronisering kan hjälpa dig att identifiera de två objekten.
  2. Identifiera vilket objekt som ska fortsätta att ha det duplicerade värdet och vilket objekt som inte ska ha det.
  3. Ta bort det duplicerade värdet från objektet som inte ska ha det värdet. Gör ändringen i katalogen där objektet kommer från. I vissa fall kan du behöva ta bort ett av objekten i konflikt.
  4. Om du har gjort ändringen i den lokala AD:en låter du Microsoft Entra Anslut Synkronisera ändringen. Synkroniseringsfelrapporten i Microsoft Entra Anslut Health för synkronisering uppdateras var 30:e minut. Rapporten innehåller felen från det senaste synkroniseringsförsöket.

Dubbletter av attribut

I det här avsnittet beskrivs fel med duplicerade attribut.

AttributeValueMustBeUnique

beskrivning

Microsoft Entra-schemat tillåter inte att två eller flera objekt har samma värde för följande attribut. Varje objekt i Microsoft Entra ID tvingas ha ett unikt värde för dessa attribut i en viss instans:

  • e-post
  • proxyAddresses
  • signInName
  • userPrincipalName

Om Microsoft Entra Connect försöker lägga till ett nytt objekt eller uppdatera ett befintligt objekt med ett värde för föregående attribut som redan har tilldelats till ett annat objekt i Microsoft Entra ID resulterar åtgärden i synkroniseringsfelet AttributeValueMustBeUnique.

Möjligt scenario

Ett duplicerat värde tilldelas till ett redan synkroniserat objekt som står i konflikt med ett annat synkroniserat objekt.

Exempel

  1. Bob Smith är en synkroniserad användare i Microsoft Entra ID från den lokala Active Directory för contoso.com.
  2. Bob Smiths lokala användarhuvudnamn anges som bobs@contoso.com.
  3. Bob har också följande värden för attributet proxyAddresses :
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  4. En ny användare, Bob Taylor, läggs till i lokal Active Directory.
  5. Bob Taylors huvudnamn för användaren anges som bobt@contoso.com.
  6. Bob Taylor har följande värden för attributet proxyAddresses :
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
  7. Bob Taylors objekt synkroniseras med Microsoft Entra ID.
  8. Administratören beslutade att uppdatera Bob Taylors proxyAddresses-attribut med följande värde:
    • Smtp: bob@contoso.com
  9. Microsoft Entra ID försöker uppdatera Bob Taylors objekt i Microsoft Entra ID med föregående värde, men åtgärden misslyckas eftersom det proxyAddresses värdet redan har tilldelats Bob Smith. Resultatet är ett AttributeValueMustBeUnique-fel.

Åtgärda felet AttributeValueMustBeUnique

Den vanligaste orsaken till AttributeValueMustBeUnique-felet är att två objekt med olika sourceAnchor-attribut (immutableId) har samma värde för attributen proxyAddresses eller userPrincipalName. Så här åtgärdar du felet AttributeValueMustBeUnique:

  1. Identifiera duplicerade proxyAddresses, userPrincipalName eller annat attributvärde som orsakar felet. Identifiera även vilka två eller flera objekt som är inblandade i konflikten. Rapporten som genereras av Microsoft Entra Anslut Health för synkronisering kan hjälpa dig att identifiera de två objekten.
  2. Identifiera vilket objekt som ska fortsätta att ha det duplicerade värdet och vilket objekt som inte ska ha det.
  3. Ta bort det duplicerade värdet från objektet som inte ska ha det värdet. Gör ändringen i katalogen som objektet kommer från. I vissa fall kan du behöva ta bort ett av objekten i konflikt.
  4. Om du har gjort ändringen i lokal Active Directory kan du låta Microsoft Entra Connect synkronisera ändringen för att felet ska åtgärdas.

Relaterad artikel

Duplicerade eller ogiltiga attribut förhindrar katalogsynkronisering i Microsoft 365

Dataverifieringsfel

I det här avsnittet beskrivs dataverifieringsfel.

IdentityDataValidationFailed

beskrivning

Microsoft Entra ID tillämpar olika begränsningar på själva data innan dessa data kan skrivas till katalogen. Dessa begränsningar är till för att säkerställa att slutanvändarna får bästa möjliga upplevelse när de använder de program som är beroende av dessa data.

Scenarier

  • Attributet userPrincipalName har ogiltiga eller tecken som inte stöds.
  • Attributet userPrincipalName följer inte det format som krävs.

Resultatet av föregående scenarier är ett IdentityDataValidationFailed-fel.

Åtgärda felet IdentityDataValidationFailed

Kontrollera att attributet userPrincipalName har tecken som stöds och det format som krävs.

Relaterad artikel

Förbereda för att etablera användare via katalogsynkronisering till Microsoft 365

Fel vid borttagning av åtkomstfel och lösenordsåtkomstfel

Microsoft Entra-ID skyddar molnbaserade objekt från att uppdateras via Microsoft Entra Anslut. Det går inte att uppdatera dessa objekt via Microsoft Entra Anslut, men anrop kan göras direkt till Microsoft Entra-serverdelen för att försöka ändra objekt som endast är molnbaserade. När du gör det kan följande fel returneras:

  • Den här synkroniseringsåtgärden, Ta bort, är inte giltig. Kontakta teknisk support (feltyp 114).
  • Det går inte att bearbeta den här uppdateringen eftersom en eller flera molnbaserade användares uppdatering av autentiseringsuppgifter ingår i den aktuella begäran.
  • Det går inte att ta bort ett molnbaserat objekt. Kontakta Microsofts kundsupport.
  • Begäran om lösenordsändring kan inte köras eftersom den innehåller ändringar i ett eller flera användarobjekt som endast är molnbaserade, som inte stöds. Kontakta Microsofts kundsupport.

Lösa borttagning avCloudOnlyObjectNotAllowed (feltyp 114)

I det här avsnittet beskrivs möjliga orsaker och lösningar för att lösa felet Ta bortCloudOnlyObjectNotAllowed (feltyp 114).

Microsoft rekommenderar att organisationer har två molnbaserade konton för nödåtkomst permanent tilldelade rollen Global administratör . Dessa konton är mycket privilegierade och tilldelas inte till specifika individer. Kontona är begränsade till nödsituations- eller "break glass"-scenarier där normala konton inte kan användas eller alla andra administratörer av misstag är utelåst. Dessa konton bör skapas enligt rekommendationerna för kontot för nödåtkomst.

beskrivning

Det här är ett scenario när en kund vill migrera från hybrid till endast moln. Administratören initierar ett anrop till Microsoft Entra Anslut i försök att flytta användare utanför omfånget, men Microsoft Entra Anslut returnerar felet Ta bortCloudOnlyObjectNotAllowed (eller Feltyp 114): "Den här synkroniseringsåtgärden, Ta bort, är inte giltig. Kontakta teknisk support."

Möjliga orsaker till det här felet är:

  • Samtalet från Microsoft Entra Anslut saknar UPN, ett nytt eller unikt GUID eller annan nödvändig information.
  • Microsoft Entra Anslut försöker exportera data, men har DirSyncEnabled angetts till Falskt.
  • Microsoft Entra Anslut försöker ta bort en återställd användare eller ett annat objekt. Detta beror vanligtvis på att en användare eller annan objektreferens har flyttats utanför synkroniseringsomfånget eller till containern Lost &Found .

Möjliga scenarier

Microsoft Entra-Anslut-klienten kan inte ta bort användare under migreringen från endast hybrid till molnet, vilket resulterar i feltyp 114.

Potentiella orsaker till att användare inte tas bort är:

  • Regeln som skapats av kunden för att flytta användare utanför omfånget baseras på attributet Admin .
  • Feltyp 114 returneras under synkroniseringsåtgärden (Azure AD Sync), vilket resulterar i att användarna inte kan tas bort.
  • Synkroniseringen misslyckas för specifika funktioner, vilket resulterar i att användarna inte tas bort i enlighet med detta.

Felexempel

Exempel på exportfelet:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {2819A5C8-BE27-EC11-A970-000D3A1B4EEE}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Åtgärda felet

Lös problemet så här:

  1. Identifiera referensen för problemobjektet.
  2. Använd PowerShell för att mjukt ta bort molnkontot:
  3. Kör Start-ADSyncSyncCycle -PolicyType Delta som ska importera borttagningen av kontot.
  4. Bekräfta att borttagningen lyckades.
  5. Återställ användaren från papperskorgen.
  6. Kör Start-ADSyncSyncCycle -PolicyType Delta på servern för att bekräfta att felet inte inträffar igen.

Varning

När en användare undantas från synkroniseringsomfånget tas objektet bort mjukt i Microsoft Entra-ID och dess DirSyncEnabled-attribut växlas till Falskt. Den här processen konverterar dock inte objektet till molnhanterat eftersom det fortfarande innehåller attribut och värden som synkroniserats från lokal Active Directory som inte kan hanteras i molnet. DirSyncEnabled-värdet är Falskt för att indikera att det för närvarande är utanför synkroniseringsomfånget och är tillgängligt för matchning igen.

LargeObject eller ExceededAllowedLength

I det här avsnittet beskrivs LargeObject- eller ExceededAllowedLength-fel.

beskrivning

När ett attribut överskrider den tillåtna storleksgräns, längdgräns eller antalsgräns som angetts i Microsoft Entra-schemat resulterar synkroniseringsåtgärden i ett LargeObject- eller ExceededAllowedLength-synkroniseringsfel. Normalt inträffar det här felet för följande attribut:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Microsoft Entra-ID inför inte gränser per attribut, förutom en hårdkodad gräns på 15 certifikat i attributet userCertificate och upp till 100 attribut för katalogtillägg med högst 250 tecken för varje katalogtillägg. Det finns en storleksgräns för hela objektet. När Microsoft Entra Connect försöker synkronisera ett objekt som överskrider den här objektstorleksgränsen genereras ett exportfel.

Alla attribut bidrar till objektets slutgiltiga storlek. Vissa attribut har olika viktmultiplikatorer på grund av ytterligare bearbetningskostnader. Ett exempel är indexerade värden. Dessutom kan olika molntjänster, tjänstplaner och licenser tilldelas till kontot, vilket förbrukar ännu fler attribut och bidrar till objektets totala storlek.

Det går inte att avgöra exakt hur många poster ett attribut kan innehålla i Microsoft Entra-ID, till exempel hur många SMTP-adresser som får plats i attributet proxyAddresses . Mängden beror på storleken och multiplicera faktorerna för alla attribut som fylls i i objektet.

Möjliga scenarier

  • Bobs userCertificate-attribut lagrar för många certifikat som tilldelats Bob. Dessa certifikat kan innehålla äldre certifikat som har upphört att gälla. Den strikta gränsen är 15 certifikat. Mer information om hur du hanterar LargeObject-fel med attributet userCertificate finns i Hantera LargeObject-fel som orsakas av attributet userCertificate.
  • Bobs userSMIMECertificate-attribut lagrar för många certifikat som tilldelats Bob. Dessa certifikat kan innehålla äldre certifikat som har upphört att gälla. Den strikta gränsen är 15 certifikat.
  • Bobs thumbnailPhoto-attribut i Active Directory är för stort för att synkroniseras i Microsoft Entra-ID.
  • Under den automatiska populationen av attributet proxyAddresses i Active Directory har ett objekt för många proxyAddresses-attribut tilldelade.

Följande exempel visar de olika vikterna för attribut som userCertificate och proxyAddresses:

  • En synkroniserad användare som inte har några andra attribut än de obligatoriska Active Directory-attributen och Mail kanske kan synkronisera upp till 332 proxyadresser.
  • För en liknande synkroniserad användare som har ett mailNickName-attribut plus 10 användarcertifikat minskar det maximala antalet proxyadresser till 329.
  • Om en liknande synkroniserad användare med 10 användarcertifikat plus till exempel 4 prenumerationer tilldelade (med alla tjänstplaner aktiverade) minskar det maximala antalet proxyadresser till 311.
  • Nu ska vi ta den föregående användaren, som redan innehåller det maximala antalet proxyadresser, och säga att du behöver lägga till ytterligare en SMTP-adress. För att uppnå 312 proxyadresser måste du ta bort minst tre användarcertifikat (beroende på certifikatets storlek).

Kommentar

Dessa siffror kan variera något. Som tumregel är det säkrare att anta att gränsen för SMTP-adresser i attributet proxyAddresses är cirka 300 adresser för att lämna utrymme för framtida tillväxt av objektet och dess ifyllda attribut.

Åtgärda felet LargeObject eller ExceededAllowedLength

Granska användaregenskaperna och ta bort attributvärden som kanske inte längre krävs. Exempel är återkallade eller utgångna certifikat och inaktuella eller onödiga adresser, till exempel SMTP, X.400, X.500, MSMail och CcMail.

Konflikt med befintlig administratörsroll

beskrivning

Ett befintligt synkroniseringsfel för administratörsrollskonflikt inträffar på ett användarobjekt under synkroniseringen när det användarobjektet har:

  • Administratörsbehörighet.
  • Samma userPrincipalName-attribut som ett befintligt Microsoft Entra-objekt.

Microsoft Entra Anslut tillåts inte att mjukt matcha ett användarobjekt från lokal AD med ett användarobjekt i Microsoft Entra-ID som har en administrativ roll tilldelad till sig. Mer information finns i Microsoft Entra userPrincipalName-populationen.

Skärmbild som visar antalet synkroniseringsfel för befintlig administratörsrollskonflikt.

Åtgärda det befintliga konfliktfelet för administratörsrollen

Lös problemet så här:

  1. Ta bort Microsoft Entra-kontot (ägare) från alla administratörsroller.
  2. Ta bort objektet i karantän i molnet.
  3. Nästa synkroniseringscykel tar hand om mjuk matchning av den lokala användaren till molnkontot eftersom molnanvändaren nu inte längre är hybrididentitetsadministratör.
  4. Återställ rollmedlemskapen för ägaren.

Kommentar

Du kan tilldela den administrativa rollen till det befintliga användarobjektet igen efter den mjuka matchningen mellan det lokala användarobjektet och Microsoft Entra-användarobjektet har slutförts.