Microsoft Entra Bağlan Sync: userCertificate özniteliğinin neden olduğu LargeObject hatalarını işleme

Microsoft Entra Id, userCertificate özniteliğinde en fazla 15 sertifika değeri sınırı uygular. Microsoft Entra Bağlan 15'ten fazla değer içeren bir nesneyi Microsoft Entra Id'ye dışarı aktarırsa, Microsoft Entra Id şu iletiyle bir LargeObject hatası döndürür:

“Sağlanan nesne çok büyük. Bu nesnedeki öznitelik sayısını azaltın. İşlem bir sonraki eşitleme döngüsünde yeniden denenecek..."

LargeObject hatasına diğer AD öznitelikleri neden olabilir. Bunun gerçekten userCertificate özniteliğinden kaynaklandığından emin olmak için, şirket içi AD'de veya Eşitleme Hizmeti Yöneticisi Meta Veri Deposu Araması'nda nesneye karşı doğrulamanız gerekir.

Kiracınızda LargeObject hataları olan nesnelerin listesini almak için aşağıdaki yöntemlerden birini kullanın:

• Kiracınız eşitleme için Microsoft Entra Bağlan Health için etkinleştirildiyse, sağlanan Eşitleme Hatası Raporu'na başvurabilirsiniz.

• En son Microsoft Entra'ya Aktar işlemine tıklarsanız, Eşitleme Hizmeti Yöneticisi İşlemleri sekmesi LargeObject hataları içeren nesnelerin listesini görüntüler.

Azaltma seçenekleri

LargeObject hatası çözülene kadar, aynı nesnedeki diğer öznitelik değişiklikleri Microsoft Entra Id'ye aktarılamaz. Hatayı çözmek için aşağıdaki seçenekleri göz önünde bulundurabilirsiniz:

• Microsoft Entra Bağlan'ı 1.1.524.0 veya sonraki bir sürüme yükseltin. Microsoft Entra Connect 1.1.524.0 derlemesindeki hazır eşitleme kuralları, 15’ten fazla özniteliğe sahip olan userCertificate ve userSMIMECertificate özniteliklerini dışarı aktarmayacak şekilde güncelleştirilmiştir. Microsoft Entra Bağlan'yi yükseltme hakkında ayrıntılı bilgi için Microsoft Entra Bağlan: Önceki bir sürümden en son sürüme yükseltme makalesine bakın.

• Microsoft Entra Bağlan'da, 15'ten fazla sertifika değerine sahip nesneler için gerçek değerler yerine null değer dışarı aktaran bir giden eşitleme kuralı uygulayın. 15’ten fazla sertifika değerine sahip olan nesnelerin hiçbir değerinin Microsoft Entra ID’ye aktarılmasını istemiyorsanız bu seçeneği kullanabilirsiniz. Bu eşitleme kuralını uygulama hakkında ayrıntılı bilgi için, userCertificate özniteliğinin dışarı aktarmasını sınırlamak için eşitleme kuralı uygulama bölümüne bakın.

• Kuruluşunuz tarafından artık kullanımda olmayan değerleri kaldırarak şirket içi AD nesnesindeki (15 veya daha az) sertifika değerlerinin sayısını azaltın. Bu, öznitelik şişirme durumunun süresi dolmuş veya kullanılmayan sertifikalardan kaynaklandığı durumlar için uygundur. Şirket içi AD'nizde süresi dolan sertifikaları bulmanıza, yedeklemenize ve silmenize yardımcı olması için Remove-AD Eşitleme ToolsExpiredCertificates cmdlet'ini kullanabilirsiniz. Sertifikaları silmeden önce kuruluşunuzdaki Ortak Anahtar Altyapısı yöneticilerinden onay almanız önerilir.

• Microsoft Entra Bağlan'ni userCertificate özniteliğinin Microsoft Entra Id'ye dışarı aktarılmasının dışında tutmak için yapılandırın. Bu öznitelik Microsoft Online Services tarafından belirli senaryoları desteklemek için kullanıldığından bu seçenek önerilmez. Özellikle:

  • User nesnesinde userCertificate özniteliği Exchange Online ve Outlook istemcileri tarafından ileti imzalama ve şifreleme için kullanılır. Bu özellik hakkında daha fazla bilgi edinmek için ileti imzalama ve şifreleme için S/MIME makalesine bakın.

  • Computer nesnesinde userCertificate özniteliği, Microsoft Entra ID tarafından Windows 10 şirket içi etki alanına katılmış cihazların Microsoft Entra Id'ye bağlanmasına izin vermek için kullanılır. Bu özellik hakkında daha fazla bilgi edinmek için windows 10 deneyimleri için microsoft entra id etki alanına katılmış cihazlar Bağlan makalesine bakın.

userCertificate özniteliğinin dışarı aktarmasını sınırlamak için eşitleme kuralı uygulama

userCertificate özniteliğinin neden olduğu LargeObject hatasını çözmek için, Microsoft Entra Bağlan'da 15'ten fazla sertifika değerine sahip nesneler için gerçek değerler yerine null değer dışarı aktaran bir giden eşitleme kuralı uygulayabilirsiniz. Bu bölümde, Kullanıcı nesneleri için eşitleme kuralını uygulamak için gereken adımlar açıklanmaktadır. Adımlar Kişi ve Bilgisayar nesneleri için uyarlanabilir.

Önemli

Null değer dışarı aktarıldığında, daha önce Microsoft Entra Id'ye başarıyla dışarı aktarılan sertifika değerleri kaldırılır.

Adımlar şu şekilde özetlenebilir:

1. Eşitleme zamanlayıcısı'nı devre dışı bırakın ve devam eden eşitleme olmadığını doğrulayın.
2. userCertificate özniteliği için var olan giden eşitleme kuralını bulun.
3. Gerekli giden eşitleme kuralını oluşturun.
4. Var olan bir nesnedeki yeni eşitleme kuralını LargeObject hatasıyla doğrulayın.
5. LargeObject hatasıyla kalan nesnelere yeni eşitleme kuralını uygulayın.
6. Microsoft Entra Id'ye dışarı aktarılmayı bekleyen beklenmeyen bir değişiklik olmadığını doğrulayın.
7. Değişiklikleri Microsoft Entra Id'ye aktarın.
8. Eşitleme zamanlayıcısı'nı yeniden etkinleştirin.

1. Adım: Eşitleme zamanlayıcısı'nı devre dışı bırakma ve devam eden eşitleme olmadığını doğrulama

İstenmeyen değişikliklerin Microsoft Entra Id'ye dışarı aktarılmasını önlemek için yeni bir eşitleme kuralı uygulamanın ortasındayken eşitleme yapılmadığından emin olun. Yerleşik eşitleme zamanlayıcısını devre dışı bırakmak için:

1. Microsoft Entra Bağlan sunucusunda PowerShell oturumunu başlatın.

2. cmdlet'ini çalıştırarak zamanlanmış eşitlemeyi devre dışı bırakın: Set-ADSyncScheduler -SyncCycleEnabled $false

Dekont

Yukarıdaki adımlar yalnızca yerleşik zamanlayıcıya sahip Microsoft Entra Bağlan'nin yeni sürümleri (1.1.xxx.x) için geçerlidir. Windows Görev Zamanlayıcı kullanan Microsoft Entra Bağlan'nin eski sürümlerini (1.0.xxx.x) kullanıyorsanız veya düzenli eşitlemeyi tetiklamak için kendi özel zamanlayıcınızı (yaygın olmayan) kullanıyorsanız, bunları uygun şekilde devre dışı bırakmanız gerekir.

1. Eşitleme Hizmeti → BAŞLAT'a giderek Eşitleme Hizmeti Yöneticisi'ni başlatın.

2. İşlemler sekmesine gidin ve durumu "devam ediyor" olan bir işlem olmadığını onaylayın.

2. Adım: userCertificate özniteliği için var olan giden eşitleme kuralını bulma

Etkin olan ve User nesneleri için userCertificate özniteliğini Microsoft Entra Id'ye aktaracak şekilde yapılandırılmış mevcut bir eşitleme kuralı olmalıdır. Önceliğini ve kapsam filtresi yapılandırmasını öğrenmek için bu eşitleme kuralını bulun:

1. Eşitleme Kuralları Düzenleyicisi→ başlat'a giderek Eşitleme Kuralları Düzenleyicisi'ni başlatın.

2. Arama filtrelerini aşağıdaki değerlerle yapılandırın:

   Öznitelik	Değer
   Yön	Giden
   MV Nesne Türü	Kişi
   Bağlayıcı	Microsoft Entra bağlayıcınızın adı
   Bağlan veya Nesne Türü	kullanıcı
   MV özniteliği	userCertificate

3. User nesneleri için userCertificate özniteliğini dışarı aktarmak için OOB (ilk çalıştırma) eşitleme kurallarını Microsoft Entra bağlayıcısına kullanıyorsanız, "Microsoft Entra Id - Kullanıcı ExchangeOnline'a Giden" kuralını geri almanız gerekir.

4. Bu eşitleme kuralının öncelik değerini not edin.

5. Eşitleme kuralını seçin ve Düzenle'ye tıklayın.

6. "Ayrılmış Kuralı Düzenle Onayı" açılır iletişim kutusunda Hayır'a tıklayın. (Endişelenmeyin, bu eşitleme kuralında herhangi bir değişiklik yapamayız).

7. Düzenleme ekranında Kapsam filtresi sekmesini seçin.

8. Kapsam filtresi yapılandırmasını not edin. OOB eşitleme kuralını kullanıyorsanız, aşağıdakiler dahil olmak üzere iki yan tümce içeren bir kapsam filtresi grubu olmalıdır:

   Öznitelik	İşleç	Değer
   sourceObjectType	EŞİT	User
   cloudMastered	NOTEQUAL	Doğru

3. Adım: Gerekli giden eşitleme kuralını oluşturma

Yeni eşitleme kuralı, aynı kapsam filtresine ve var olan eşitleme kuralından daha yüksek önceliğe sahip olmalıdır. Bu, yeni eşitleme kuralının mevcut eşitleme kuralıyla aynı nesne kümesine geçerli olmasını sağlar ve userCertificate özniteliği için mevcut eşitleme kuralını geçersiz kılar. Eşitleme kuralını oluşturmak için:

1. Eşitleme Kuralları Düzenleyicisi'nde Yeni kural ekle düğmesine tıklayın.

2. Açıklama sekmesinin altında aşağıdaki yapılandırmayı sağlayın:

   Öznitelik	Değer	Ayrıntılar
   Adı	Bir ad belirtin	Örneğin, "Microsoft'a Giden Entra Id – userCertificate için özel geçersiz kılma"
   Açıklama	Açıklama girin	Örneğin, "userCertificate özniteliği 15'ten fazla değere sahipse, NULL değerini dışarı aktarın."
   Bağlan Sistem	Microsoft Entra Bağlan or
   Bağlan Sistem Nesne Türü	kullanıcı
   Meta Veri Deposu Nesne Türü	Kişi
   Bağlantı Türü	Join
   Öncelik	1 - 99 arasında bir sayı seçme	Seçilen sayı mevcut eşitleme kuralı tarafından kullanılmamalıdır ve mevcut eşitleme kuralından daha düşük bir değere (ve dolayısıyla daha yüksek önceliğe) sahiptir.

3. Kapsam filtresi sekmesine gidin ve mevcut eşitleme kuralının kullandığı kapsam filtresinin aynısını uygulayın.

4. Birleştirme kuralları sekmesini atlayın.

5. Aşağıdaki yapılandırmayı kullanarak yeni bir dönüşüm eklemek için Dönüşümler sekmesine gidin:

   Öznitelik	Değer
   Akış Türü	Expression
   Hedef Öznitelik	userCertificate
   Kaynak Özniteliği	Aşağıdaki ifadeyi kullanın: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. Eşitleme kuralını oluşturmak için Ekle düğmesine tıklayın.

4. Adım: LargeObject hatasıyla var olan bir nesnede yeni eşitleme kuralını doğrulama

Bu, oluşturulan eşitleme kuralının, diğer nesnelere uygulamadan önce LargeObject hatasıyla var olan bir AD nesnesi üzerinde düzgün çalıştığını doğrulamaktır:

1. Eşitleme Hizmeti Yöneticisi'nde İşlemler sekmesine gidin.
2. En son Microsoft Entra'ya Aktar işlemini seçin ve LargeObject hataları olan nesnelerden birine tıklayın.
3. Bağlan veya Ara Nesne Özellikleri açılır ekranında Önizleme düğmesine tıklayın.
4. Önizleme açılır ekranında Tam eşitleme'yi seçin ve Önizlemeyi İşleme'ye tıklayın.
5. Önizleme ekranını ve Bağlan veya Boşluk Nesnesi Özellikleri ekranını kapatın.
6. Eşitleme Hizmeti Yöneticisi'nde Bağlan orlar sekmesine gidin.
7. Microsoft Entra Id Bağlan sağ tıklayın ve Çalıştır... öğesini seçin.
8. Çalıştır Bağlan veya açılır penceresinde Dışarı aktar adımını seçin ve Tamam'a tıklayın.
9. Microsoft Entra Id'ye Aktar'ın tamamlanmasını bekleyin ve bu nesnede başka LargeObject hatası olmadığını onaylayın.

5. Adım: LargeObject hatasıyla kalan nesnelere yeni eşitleme kuralını uygulama

Eşitleme kuralı eklendikten sonra AD Bağlan or üzerinde tam eşitleme adımı çalıştırmanız gerekir:

1. Eşitleme Hizmeti Yöneticisi'nde Bağlan orlar sekmesine gidin.
2. AD Bağlan sağ tıklayın ve Çalıştır... öğesini seçin.
3. Çalıştır Bağlan veya açılır penceresinde Tam Eşitleme adımı'nı seçin ve Tamam'a tıklayın.
4. Tam Eşitleme adımının tamamlanmasını bekleyin.
5. Birden fazla AD Bağlan or'larınız varsa, kalan AD Bağlan or'lar için yukarıdaki adımları yineleyin. Genellikle, birden çok şirket içi dizininiz varsa birden çok bağlayıcı gerekir.

6. Adım: Microsoft Entra Id'ye dışarı aktarılmayı bekleyen beklenmeyen bir değişiklik olmadığını doğrulayın

1. Eşitleme Hizmeti Yöneticisi'nde Bağlan orlar sekmesine gidin.
2. Microsoft Entra ID Bağlan sağ tıklayın ve Ara Bağlan veya Boşluk'u seçin.
3. Ara Bağlan veya Ara açılır penceresinde:
   1. Kapsamı Bekleyen Dışarı Aktarma olarak ayarlayın.
   2. Ekle, Değiştir ve Sil de dahil olmak üzere 3 onay kutusunun tümünü işaretleyin.
   3. Microsoft Entra Id'ye dışarı aktarılmayı bekleyen değişiklikleri içeren tüm nesneleri döndürmek için Ara düğmesine tıklayın.
   4. Beklenmeyen bir değişiklik olmadığını doğrulayın. Belirli bir nesnenin değişikliklerini incelemek için nesneye çift tıklayın.

7. Adım: Değişiklikleri Microsoft Entra Id'ye aktarma

Değişiklikleri Microsoft Entra Id'ye aktarmak için:

1. Eşitleme Hizmeti Yöneticisi'nde Bağlan orlar sekmesine gidin.
2. Microsoft Entra Id Bağlan sağ tıklayın ve Çalıştır... öğesini seçin.
3. Çalıştır Bağlan veya açılır penceresinde Dışarı aktar adımını seçin ve Tamam'a tıklayın.
4. Microsoft Entra Id'ye Dışarı Aktarma işleminin tamamlanmasını bekleyin ve başka LargeObject hatası olmadığını onaylayın.

8. Adım: Eşitleme zamanlayıcısını yeniden etkinleştirme

Sorun çözüldüğüne göre yerleşik eşitleme zamanlayıcısını yeniden etkinleştirin:

1. PowerShell oturumlarını başlatın.
2. cmdlet'ini çalıştırarak zamanlanmış eşitlemeyi yeniden etkinleştirin: Set-ADSyncScheduler -SyncCycleEnabled $true

Dekont

Yukarıdaki adımlar yalnızca yerleşik zamanlayıcıya sahip Microsoft Entra Bağlan'nin yeni sürümleri (1.1.xxx.x) için geçerlidir. Windows Görev Zamanlayıcı kullanan Microsoft Entra Bağlan'nin eski sürümlerini (1.0.xxx.x) kullanıyorsanız veya düzenli eşitlemeyi tetiklamak için kendi özel zamanlayıcınızı (yaygın olmayan) kullanıyorsanız, bunları uygun şekilde devre dışı bırakmanız gerekir.

Sonraki adımlar

Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.