Microsoft Entra eşitlemesi sırasındaki hataları anlama

  • Makale

Kimlik verileri Windows Server Active Directory'den Microsoft Entra Id'ye eşitlendiğinde hatalar oluşabilir. Bu makalede farklı eşitleme hataları türlerine, bu hatalara neden olan olası senaryolardan bazılarına ve hataları düzeltmenin olası yollarına genel bir bakış sağlanmaktadır. Bu makale yaygın hata türlerini içerir ve tüm olası hataları kapsamayabilir.

Bu makalede, Microsoft Entra Id ve Microsoft Entra Bağlan temel tasarım kavramları hakkında bilgi sahibi olduğunuz varsayılır.

Önemli

Bu makalede en yaygın eşitleme hataları giderildi. Ne yazık ki, tek bir belgede her senaryoya yer verme mümkün değildir. Ayrıntılı sorun giderme adımları da dahil olmak üzere daha fazla bilgi için Microsoft Entra Bağlan nesnelerinin ve özniteliklerinin uçtan uca sorun gidermesi ve Microsoft Entra sorun giderme belgelerinin altındaki Kullanıcı Sağlama ve Eşitleme bölümüne bakın.

Microsoft Entra Bağlan'nin en son sürümüyle (Ağustos 2016 veya üzeri), Eşitleme için Microsoft Entra Bağlan Health'in bir parçası olarak Microsoft Entra yönetim merkezinde bir Eşitleme Hataları Raporu sağlanır.

1 Eylül 2016'dan itibaren Microsoft Entra ID yinelenen öznitelik dayanıklılığı , tüm yeni Microsoft Entra kiracıları için varsayılan olarak etkindir. Bu özellik mevcut kiracılar için otomatik olarak etkinleştirilir.

Microsoft Entra Bağlan, eşitlemede tuttuğu dizinlerden üç tür işlem gerçekleştirir: İçeri Aktarma, Eşitleme ve Dışarı Aktarma. Üç işlemde de hatalar oluşabilir. Bu makale temel olarak Microsoft Entra Id'ye dışarı aktarma sırasındaki hatalara odaklanır.

Microsoft Entra Id'ye dışarı aktarma sırasında oluşan hatalar

Aşağıdaki bölümde, Microsoft Entra bağlayıcısı kullanılarak Microsoft Entra Id'ye dışarı aktarma işlemi sırasında oluşabilecek farklı eşitleme hataları açıklanmaktadır. Bu bağlayıcıyı contoso ad biçimiyle tanımlayabilirsiniz.onmicrosoft.com. Microsoft Entra Kimliği'ne dışarı aktarma sırasında oluşan hatalar, Microsoft Entra Bağlan (eşitleme altyapısı) tarafından Microsoft Entra Kimliği'ne ekleme, güncelleştirme veya silme gibi bir işlemin başarısız olduğunu gösterir.

Dışarı aktarma hatalarının genel bakışını gösteren diyagram.

Veri uyuşmazlığı hataları

Bu bölümde veri uyuşmazlığı hataları ele alınmaktadır.

InvalidHardMatch

Açıklama

Microsoft Entra Kimliği'nde bulunan nesneleri aynı sourceAnchor değerine sahip yeni bir gelen nesneyle sabit eşleştirme girişimi olduğunda eşitleme sırasında InvalidHardMatch hatası oluşur, ancak kiracıda BlockCloudObjectTakeoverThroughHardMatchEnabled özelliği etkinleştirilir.

InvalidHardMatch hatası için örnek senaryolar

  • DirSync kiracıda yeniden etkinleştirilir ve aynı sourceAnchor'a sahip nesneler yeniden eşitlenir, ancak BlockCloudObjectTakeoverThroughHardMatchEnabled özelliği etkinleştirilir ve sabit eşleşmenin gerçekleşmesini önler.
  • Kullanıcı eşitleme kapsamından dışlandı ve Microsoft Entra Id Geri Dönüşüm Kutusu'ndan geri yüklendi. Daha sonra, kullanıcı eşitleme kapsamına yeniden eklenir ve aynı sourceAnchor değerine göre Microsoft Entra ID'de zaten mevcut olan nesneyi devralmaya çalışır, ancak BlockCloudObjectTakeoverThroughHardMatchEnabled özelliği etkinleştirilir ve sabit eşleşmenin oluşmasını önler.

Örnek olay seti

  1. Bob Smith, contoso.com şirket içi Active Directory'sinden Microsoft Entra ID'de eşitlenmiş bir kullanıcıdır.
  2. Varsayılan olarak, "abcdefghijklmnopqrstuv==" SourceAnchor değeri Microsoft Entra Bağlan tarafından Bob Smith'in msds-consistencyGUID özniteliği (veya yapılandırmaya bağlı olarak ObjectGUID) şirket içi Active Directory kullanılarak hesaplanır. Bu öznitelik değeri, Microsoft Entra Id içindeki Bob Smith için sabitid değeridir.
  3. Yönetici Bob Smith'i eşitleme kapsamından kaldırır ve Microsoft Entra Bağlan nesnenin silinmesini dışarı aktarır.
  4. Bob Smith'in nesnesi Microsoft Entra ID'de geçici olarak silinir ve DirSyncEnabled özniteliği False'a geçer. Ancak bu işlem nesneyi bulut tarafından yönetilen bir nesneye dönüştürmez, yine de şirket içi Active Directory eşitlenmiş bir nesne olarak kabul edilir. DirSyncEnabled değeri, şu anda eşitleme kapsamı dışında olduğunu ve yeniden eşleştirilmeye uygun olduğunu belirtmek için False değeridir.
  5. Yönetici Bob Smith'i eşitleme kapsamına yeniden ekler ve Microsoft Entra Bağlan nesneyi yeniden eşitler.
  6. Normalde, aynı SourceAnchor'u temel alarak Microsoft Entra Id'de bulunan nesneyi sabit eşleşme devralır ve DirSyncEnabled özniteliğini 'True' olarak değiştirir, ancak BlockCloudObjectTakeoverThroughHardMatchEnabled etkinleştirildiğinde bu işleme izin verilmez ve InvalidHardMatch oluşturulur.

InvalidHardMatch hatasını düzeltme

Müşterilerin Microsoft Entra ID'deki mevcut hesapları devralmalarına gerek kalmadıkça BlockCloudObjectTakeoverThroughHardMatchEnabled'ı etkinleştirmelerini öneririz.

InvalidHardtMatch hatasını temizlemeniz ve hesabı başarıyla eşleştirmeniz gerekiyorsa, Sabit eşleşme ile Soft-match arasında açıklandığı gibi sabit eşleşmeyi yeniden etkinleştirebilirsiniz.

InvalidSoftMatch

Açıklama

  • InvalidSoftMatch hatası, sabit eşleşme eşleşen bir nesne bulamadıysa veyumuşak eşleşme eşleşen bir nesne bulduğunda, ancak bu nesne gelen nesnenin sourceAnchor değerinden farklı bir sabitId değerine sahip olduğunda oluşur. Bu uyuşmazlık, eşleşen nesnenin şirket içi Active Directory başka bir nesneden eşitlendiğini gösterir.

Geçici eşleşmenin çalışması için, yazılımla eşleştirilecek nesnenin immutableId özniteliği için herhangi bir değeri olmamalıdır. immutableId özniteliğine sahip nesne bir değerle ayarlandığında, sabit eşleşme başarısız olduğunda ancak yumuşak eşleşme ölçütlerini karşıladığında işlem InvalidSoftMatch eşitleme hatasıyla sonuçlanır.

Microsoft Entra şeması, iki veya daha fazla nesnenin aşağıdaki özniteliklerle aynı değere sahip olmasını sağlar. Bu liste kapsamlı değildir:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

Microsoft Entra özniteliği yinelenen öznitelik dayanıklılığı](how-to-connect-syncservice-duplicate-attribute-resiliency.md) da Microsoft Entra Id'nin varsayılan davranışı olarak dağıtılıyor. Bu özellik, Microsoft Entra Bağlan ve diğer eşitleme istemcileri tarafından görülen eşitleme hatalarının sayısını azaltır. Microsoft Entra'nın, şirket içi Active Directory ortamlarında bulunan yinelenen proxyAddresses ve userPrincipalName özniteliklerini işleme yönteminde daha dayanıklı olmasını sağlar.

Bu özellik yineleme hatalarını düzeltmediğinden verilerin yine de düzeltilmesi gerekir. Ancak, Microsoft Entra Id'de yinelenen değerler nedeniyle başka türlü sağlanması engellenen yeni nesnelerin sağlanmasına izin verir. Bu özellik, eşitleme istemcisine döndürülen eşitleme hatalarının sayısını da azaltır.

Not

Kiracınız için Microsoft Entra özniteliği yinelenen öznitelik dayanıklılığı etkinleştirildiyse, yeni nesnelerin sağlanması sırasında görülen InvalidSoftMatch eşitleme hatalarını görmezsiniz.

InvalidSoftMatch hatası için örnek senaryolar

  • proxyAddresses özniteliği için aynı değere sahip iki veya daha fazla nesne şirket içi Active Directory. Microsoft Entra Id'de yalnızca biri sağlanıyor.
  • userPrincipalName özniteliği için aynı değere sahip iki veya daha fazla nesne şirket içi Active Directory. Microsoft Entra Id'de yalnızca biri sağlanıyor.
  • şirket içi Active Directory'da proxyAddresses özniteliği için Microsoft Entra Id'deki mevcut nesneyle aynı değere sahip bir nesne eklendi. Şirket içinde eklenen nesne Microsoft Entra Id'de sağlanmıyor.
  • şirket içi Active Directory'de userPrincipalName özniteliği için Microsoft Entra Id'deki bir hesapla aynı değere sahip bir nesne eklendi. Nesne Microsoft Entra Id'de sağlanmıyor.
  • Eşitlenen bir hesap Orman A'dan Orman B'ye taşındı. Microsoft Entra Bağlan (eşitleme altyapısı), sourceAnchor özniteliğini hesaplamak için objectGUID özniteliğini kullanıyordu. Orman taşındıktan sonra sourceAnchor özniteliğinin değeri farklıdır. Orman B'deki yeni nesne, Microsoft Entra Id'deki mevcut nesneyle eşitlenemiyor.
  • Eşitlenen bir nesne yanlışlıkla şirket içi Active Directory silindi ve Microsoft Entra Id'de hesabı silmeden aynı varlık (kullanıcı gibi) için Active Directory'de yeni bir nesne oluşturuldu. Yeni hesap mevcut Microsoft Entra nesnesiyle eşitlenemiyor.
  • Microsoft Entra Bağlan kaldırıldı ve yeniden yüklendi. Yeniden yükleme sırasında sourceAnchor özniteliği olarak farklı bir öznitelik seçildi. Önceden eşitlenen tüm nesneler InvalidSoftMatch hatasıyla eşitlenmeyi durdurur.

Örnek olay seti

  1. Bob Smith, contoso.com şirket içi Active Directory Microsoft Entra Id'de eşitlenmiş bir kullanıcıdır.
  2. Bob Smith'in kullanıcı asıl adı olarak bobs@contoso.comayarlanır.
  3. "abcdefghijklmnopqrstuv==" sourceAnchor özniteliği, Microsoft Entra Bağlan tarafından Bob Smith'in şirket içi Active Directory objectGUID özniteliği kullanılarak hesaplanır. Bu öznitelik, Microsoft Entra Id içindeki Bob Smith için immutableId özniteliğidir.
  4. Bob ayrıca proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  5. yeni bir kullanıcı, Bob Taylor, şirket içi Active Directory eklenir.
  6. Bob Taylor'ın kullanıcı asıl adı bobt@contoso.com olarak ayarlanır.
  7. "abcdefghijkl0123456789==" sourceAnchor özniteliği, Microsoft Entra Bağlan tarafından Bob Taylor'ın şirket içi Active Directory objectGUID özniteliği kullanılarak hesaplanır.
  8. Bob Taylor proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
    • Smtp: bob@contoso.com
  9. Eşitleme sırasında Microsoft Entra Bağlan, şirket içi Active Directory Bob Taylor'ın eklenmesini tanır ve Microsoft Entra Id'den aynı değişikliği yapmasını ister.
  10. Microsoft Entra ilk olarak bir sabit eşleşme gerçekleştirir. Yani, "abcdefghijkl0123456789==" değerine eşit immutableId özniteliğine sahip herhangi bir nesneyi arar. Microsoft Entra ID'deki başka hiçbir nesne bu sabitId özniteliğine sahip olmadığından sabit eşleşme başarısız oluyor.
  11. Microsoft Entra Id daha sonra Bob Taylor'ı bulmak için bir yazılım eşleşmesi gerçekleştirir. Diğer bir ifadeyle, smtp de dahil olmak üzere üç değere eşit proxyAddresses özniteliklerine sahip bir nesne olup olmadığını arar. bob@contoso.com
  12. Microsoft Entra Id, Bob Smith'in yumuşak eşleşme ölçütlerine uyacak nesnesini bulur. Ancak bu nesnenin değeri immutableId = "abcdefghijklmnoprstuv==", bu nesnenin başka bir nesneden şirket içi Active Directory eşitlendiğini gösterir. Microsoft Entra Id bu nesnelerle uyumlu olmadığından InvalidSoftMatch eşitleme hatası oluştu.

InvalidSoftMatch hatasını düzeltme

InvalidSoftMatch hatasının en yaygın nedeni, Microsoft Entra Id'de yazılım eşleştirme işlemi sırasında kullanılan proxyAddresses veya userPrincipalName öznitelikleri için aynı değere sahip farklı sourceAnchor (immutableId) özniteliklerine sahip iki nesnedir. InvalidSoftMatch hatasını düzeltmek için:

  1. Yinelenen proxyAddresses, userPrincipalName veya hataya neden olan diğer öznitelik değerini belirleyin. Ayrıca çakışmaya neden olan iki veya daha fazla nesneyi de tanımlayın. Eşitleme için Microsoft Entra Bağlan Health tarafından oluşturulan rapor, iki nesneyi tanımlamanıza yardımcı olabilir.
  2. Hangi nesnenin yinelenen değere sahip olması gerektiğini ve hangi nesnenin sahip olmaması gerektiğini belirleyin.
  3. Bu değere sahip olmaması gereken nesneden yinelenen değeri kaldırın. Değişikliği nesnenin kaynağı olan dizinden yapın. Bazı durumlarda çakışmaya konu olan nesnelerden birini silmeniz gerekebilir.
  4. değişikliği şirket içi Active Directory yaptıysanız Microsoft Entra Bağlan Değişikliği eşitle'ye izin verin.

Eşitleme için Microsoft Entra Bağlan Health içindeki eşitleme hata raporları her 30 dakikada bir güncelleştirilir ve en son eşitleme girişimindeki hataları içerir.

Not

Tanımına göre ImmutableId özniteliği nesnenin ömründe değişmemelidir. Ancak microsoft Entra Bağlan yukarıdaki listeden bazı senaryolar göz önünde bulundurularak yapılandırılmamış olabilir. Bu durumda, Microsoft Entra Bağlan, kullanmaya devam etmek istediğiniz mevcut bir Microsoft Entra nesnesine sahip aynı varlığı (aynı kullanıcı, grup veya kişi) temsil eden Active Directory nesnesi için sourceAnchor özniteliğinin farklı bir değerini hesaplayabilir.

İlgili makale

Yinelenen veya geçersiz öznitelikler Microsoft 365'te dizin eşitlemesini engelliyor

ObjectTypeMismatch

Açıklama

Microsoft Entra Id iki nesneyi geçici olarak eşleştirmeye çalıştığında kullanıcı, grup veya kişi gibi farklı "nesne türünde" iki nesnenin, yumuşak eşleşmeyi gerçekleştirmek için kullanılan öznitelikler için aynı değerlere sahip olması mümkündür. Microsoft Entra Id'de bu özniteliklerin çoğaltilmesine izin verilmediğinden, işlem ObjectTypeMismatch eşitleme hatasına neden olabilir.

ObjectTypeMismatch hatası için örnek senaryo

Microsoft 365'te posta etkin bir güvenlik grubu oluşturulur. Yönetici, şirket içi Active Directory henüz Microsoft Entra Id ile eşitlenmemiş olan ve proxyAddresses özniteliği için Microsoft 365 grubuyla aynı değere sahip yeni bir kullanıcı veya kişi ekler.

Örnek olay seti

  1. Yönetici, Vergi departmanı için Microsoft 365'te posta özellikli yeni bir güvenlik grubu oluşturur ve olarak tax@contoso.combir e-posta adresi sağlar. Bu gruba smtp proxyAddresses öznitelik değeri atanır: tax@contoso.com.
  2. Yeni bir kullanıcı Contoso.com katılır ve şirket içi kullanıcı için proxyAddresses özniteliği smtp: olarak bir hesap oluşturulur. tax@contoso.com
  3. Microsoft Entra Bağlan yeni kullanıcı hesabını eşitlediğinde ObjectTypeMismatch hatası alır.

ObjectTypeMismatch hatasını düzeltme

ObjectTypeMismatch hatasının en yaygın nedeni, kullanıcı, grup veya kişi gibi farklı türde iki nesnenin proxyAddresses özniteliği için aynı değere sahip olmasıdır. ObjectTypeMismatch hatasını düzeltmek için:

  1. Hataya neden olan yinelenen proxyAddresses (veya başka bir öznitelik) değerini belirleyin. Ayrıca çakışmaya neden olan iki veya daha fazla nesneyi de tanımlayın. Eşitleme için Microsoft Entra Bağlan Health tarafından oluşturulan rapor, iki nesneyi tanımlamanıza yardımcı olabilir.
  2. Hangi nesnenin yinelenen değere sahip olması gerektiğini ve hangi nesnenin sahip olmaması gerektiğini belirleyin.
  3. Bu değere sahip olmaması gereken nesneden yinelenen değeri kaldırın. Nesnenin kaynaklandığı dizinde değişikliği yapın. Bazı durumlarda çakışmaya konu olan nesnelerden birini silmeniz gerekebilir.
  4. Değişikliği şirket içi AD'de yaptıysanız Microsoft Entra Bağlan Değişikliği eşitlemesine izin verin. Eşitleme için Microsoft Entra Bağlan Health'teki eşitleme hata raporu her 30 dakikada bir güncelleştirilir. Rapor, en son eşitleme girişimindeki hataları içerir.

Yinelenen öznitelikler

Bu bölümde yinelenen öznitelik hataları ele alınmaktadır.

AttributeValueMustBeUnique

Açıklama

Microsoft Entra şeması, iki veya daha fazla nesnenin aşağıdaki özniteliklerle aynı değere sahip olmasını sağlar. Microsoft Entra ID'deki her nesne, belirli bir örnekte bu özniteliklerin benzersiz bir değerine sahip olmaya zorlanır:

  • posta
  • proxyAddresses
  • signInName
  • userPrincipalName

Microsoft Entra Connect yeni bir nesne eklemeye veya mevcut bir nesneyi Microsoft Entra ID'de zaten başka bir nesneye atanmış olan önceki öznitelikler için bir değerle güncelleştirmeye çalışırsa işlem AttributeValueMustBeUnique eşitleme hatasıyla sonuçlanır.

Olası senaryo

Eşitlenmiş başka bir nesneyle çakışan, zaten eşitlenmiş bir nesneye yinelenen bir değer atanır.

Örnek olay seti

  1. Bob Smith, contoso.com şirket içi Active Directory'sinden Microsoft Entra ID'de eşitlenmiş bir kullanıcıdır.
  2. Bob Smith'in şirket içi kullanıcı asıl adı bobs@contoso.com olarak ayarlanır.
  3. Bob ayrıca proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:
    • Smtp: bobs@contoso.com
    • Smtp: bob.smith@contoso.com
    • Smtp: bob@contoso.com
  4. şirket içi Active Directory yeni bir kullanıcı, Bob Taylor eklenir.
  5. Bob Taylor'ın kullanıcı asıl adı bobt@contoso.com olarak ayarlanır.
  6. Bob Taylor proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:
    • Smtp: bobt@contoso.com
    • Smtp: bob.taylor@contoso.com
  7. Bob Taylor'ın nesnesi Microsoft Entra Kimliği ile başarıyla eşitlendi.
  8. Yönetici Bob Taylor'ın proxyAddresses özniteliğini aşağıdaki değerle güncelleştirmeye karar verdi:
    • Smtp: bob@contoso.com
  9. Microsoft Entra ID, Bob Taylor'ın Microsoft Entra ID'deki nesnesini önceki değerle güncelleştirmeye çalışır ancak proxyAddresses değeri Bob Smith'e zaten atanmış olduğundan bu işlem başarısız olur. Sonuç bir AttributeValueMustBeUnique hatasıdır.

AttributeValueMustBeUnique hatasını düzeltme

AttributeValueMustBeUnique hatasının en yaygın nedeni, farklı sourceAnchor (immutableId) özniteliklerine sahip iki nesnenin proxyAddresses veya userPrincipalName öznitelikleri için aynı değere sahip olmasıdır. AttributeValueMustBeUnique hatasını düzeltmek için:

  1. Yinelenen proxyAddresses, userPrincipalName veya hataya neden olan diğer öznitelik değerini belirleyin. Ayrıca çakışmaya neden olan iki veya daha fazla nesneyi de tanımlayın. Eşitleme için Microsoft Entra Bağlan Health tarafından oluşturulan rapor, iki nesneyi tanımlamanıza yardımcı olabilir.
  2. Hangi nesnenin yinelenen değere sahip olması gerektiğini ve hangi nesnenin sahip olmaması gerektiğini belirleyin.
  3. Bu değere sahip olmaması gereken nesneden yinelenen değeri kaldırın. Değişikliği nesnenin kaynağı olan dizinden yapın. Bazı durumlarda çakışmaya konu olan nesnelerden birini silmeniz gerekebilir.
  4. Değişikliği şirket içi Active Directory'de yaptıysanız hatanın düzeltilmesi için Microsoft Entra ID Connect Eşitleme'nin değişikliği eşitlemesine izin verin.

İlgili makale

Yinelenen veya geçersiz öznitelikler Microsoft 365'te dizin eşitlemesini engelliyor

Veri doğrulama hataları

Bu bölümde veri doğrulama hataları açıklanmıştır.

IdentityDataValidationFailed

Açıklama

Microsoft Entra ID, verilerin dizine yazılmasına izin vermeden önce birçok farklı kısıtlama uygular. Bu kısıtlamalar, son kullanıcıların bu verilere bağımlı uygulamaları kullanırken mümkün olan en iyi deneyimi elde etmelerini sağlamaktır.

Senaryolar

  • userPrincipalName öznitelik değeri geçersiz veya desteklenmeyen karakterler içeriyor.
  • userPrincipalName özniteliği gerekli biçimi izlemez.

Önceki senaryoların sonucu bir IdentityDataValidationFailed hatasıdır.

IdentityDataValidationFailed hatasını düzeltme

userPrincipalName özniteliğinin desteklenen karakterlere ve gerekli biçime sahip olduğundan emin olun.

İlgili makale

Microsoft 365'e dizin eşitlemesi aracılığıyla kullanıcıları sağlamaya hazırlanma

Silme erişimi ihlali ve parola erişimi ihlali hataları

Microsoft Entra Id, yalnızca bulut nesnelerinin Microsoft Entra Bağlan aracılığıyla güncelleştirilmesini engeller. Bu nesneleri Microsoft Entra Bağlan aracılığıyla güncelleştirmek mümkün olmasa da, yalnızca bulut nesnelerini değiştirmeye çalışmak için doğrudan Microsoft Entra arka ucuna çağrılar yapılabilir. Bunu yaparken aşağıdaki hatalar döndürülebilir:

  • Bu eşitleme işlemi (Delete) geçerli değil. Teknik Desteğe başvurun (Hata Türü 114).
  • Geçerli isteğe bir veya daha fazla yalnızca bulut kullanıcısının kimlik bilgisi güncelleştirmesi eklendiğinden bu güncelleştirme işlenemedi.
  • Yalnızca bulut nesnesinin silinmesi desteklenmez. Microsoft Müşteri Desteği'ne başvurun.
  • Parola değiştirme isteği, desteklenmeyen bir veya daha fazla yalnızca bulut kullanıcı nesnesinde değişiklik içerdiğinden yürütülemiyor. Microsoft Müşteri Desteği'ne başvurun.

SilmeCloudOnlyObjectNotAllowed'ı Çözme (Hata Türü 114)

Bu bölümde, DeletingCloudOnlyObjectNotAllowed (Hata Türü 114) hatasını çözmenin olası nedenleri ve çözümleri açıklanmıştır.

Uyarı

Microsoft, müşterilerin Microsoft Entra Bağlan'da oturum açmadan önce bir kesme camı hesabı ayarlamalarını önerir. Daha fazla bilgi için bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.

Açıklama

Bu, müşterinin hibritten yalnızca buluta geçiş yapmak istediği bir senaryodur. Yönetici, kullanıcıları kapsamın dışına taşımak için Microsoft Entra Bağlan çağrısı başlatır, ancak Microsoft Entra Bağlan DeleteCloudOnlyObjectNotAllowed (veya Hata Türü 114) hatasını döndürür: "Bu eşitleme işlemi, Sil geçerli değil. Teknik Desteğe başvurun."

Bu hatanın olası nedenleri şunlardır:

  • Microsoft Entra Bağlan çağrısında UPN, yeni veya benzersiz BIR GUID veya diğer gerekli bilgiler yoktur.
  • Microsoft Entra Bağlan verileri dışarı aktarmaya çalışıyor, ancak DirSyncEnabled False olarak ayarlandı.
  • Microsoft Entra Bağlan geri yüklenen bir kullanıcıyı veya başka bir nesneyi silmeye çalışıyor. Bunun nedeni genellikle bir kullanıcı veya başka bir nesne başvurusunun eşitleme kapsamı dışına veya Kayıp ve Bulunan kapsayıcısına taşınmasıdır.

Olası senaryolar

Microsoft Entra Bağlan istemcisi yalnızca karmadan buluta geçiş sırasında kullanıcıları silemez ve hata türü 114'e neden olur.

Kullanıcıların silinmemesi için olası nedenler şunlardır:

  • Müşteri tarafından kullanıcıları kapsam dışına taşımak için oluşturulan kural özniteliğini Admin temel alır.
  • Eşitleme (Azure AD Eşitleme) işlemi sırasında 114 hata türü döndürülüyor ve bu da kullanıcıların silinmesine neden oluyor.
  • Eşitleme belirli özellikler için başarısız olur ve kullanıcıların buna göre silinmemesiyle sonuçlanır.

Hata örneği

Dışarı aktarma hatası örneği:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {2819A5C8-BE27-EC11-A970-000D3A1B4EEE}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Hatayı düzeltme

Bu sorunu çözmek için:

  1. Sorun nesnesi başvuruyu tanımlayın.
  2. Bulut hesabını geçici olarak silmek için PowerShell'i kullanın:
  3. Hesap silme işlemini başarıyla içeri aktarması gereken komutunu çalıştırın Start-ADSyncSyncCycle -PolicyType Delta .
  4. Silme işleminin başarılı olduğunu onaylayın.
  5. Kullanıcıyı Geri Dönüşüm Kutusu'ndan geri yükleyin.
  6. Hatanın yeniden oluşmadığından emin olmak için sunucuda komutunu çalıştırın Start-ADSyncSyncCycle -PolicyType Delta .

Uyarı

Kullanıcı eşitleme kapsamının dışında bırakıldığında, nesne Microsoft Entra Id'de geçici olarak silinir ve DirSyncEnabled özniteliği False'a geçirilir. Ancak bu işlem, bulutta yönetilmeyen şirket içi Active Directory eşitlenen öznitelikleri ve değerleri içerdiğinden, nesneyi bulut tarafından yönetilen nesneye dönüştürmez. DirSyncEnabled değeri, şu anda eşitleme kapsamı dışında olduğunu ve yeniden eşleştirilmeye uygun olduğunu belirtmek için False değeridir.

LargeObject veya ExceededAllowedLength

Bu bölümde LargeObject veya ExceededAllowedLength hataları açıklanmıştır.

Açıklama

Bir öznitelik Microsoft Entra şeması tarafından ayarlanan izin verilen boyut sınırını, uzunluk sınırını veya sayım sınırını aştığında, eşitleme işlemi bir LargeObject veya ExceededAllowedLength eşitleme hatasıyla sonuçlanır. Bu hata genellikle aşağıdaki öznitelikler için oluşur:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Microsoft Entra Id, userCertificate özniteliğinde sabit kodlanmış 15 sertifika sınırı ve her dizin uzantısı için en fazla 250 karakter içeren Dizin uzantıları için en fazla 100 öznitelik dışında öznitelik başına sınır getirmez. Nesnenin tamamı için boyut sınırı vardır. Microsoft Entra Connect bu nesne boyutu sınırını aşan bir nesneyi eşitlemeye çalıştığında dışarı aktarma hatası oluşturulur.

Tüm öznitelikler birleşerek nesnenin son boyutunu oluşturur. Bazı öznitelikler, ek işlem yükü nedeniyle farklı ağırlık çarpanlarına sahiptir. Dizine alınan değerler örnek olarak verilmiştir. Ayrıca hesaba farklı bulut hizmetleri, hizmet planları ve lisanslar atanabilir ve bu da daha fazla öznitelik tüketir ve nesnenin genel boyutuna katkıda bulunur.

Bir özniteliğin, ProxyAddresses özniteliğine kaç SMTP adresinin sığabileceği gibi Microsoft Entra Id'de tam olarak kaç giriş barındırabileceğini belirlemek mümkün değildir. Miktar, nesnede doldurulan tüm özniteliklerin boyutuna ve çarpma faktörlerine bağlıdır.

Olası senaryolar

  • Bob'un userCertificate özniteliği Bob'a atanmış çok fazla sertifika depoluyor. Bu sertifikaların arasında eski ve süresi dolmuş sertifikalar olabilir. Sabit sınır 15 sertifikadır. userCertificate özniteliğiyle LargeObject hatalarını işleme hakkında daha fazla bilgi için bkz. userCertificate özniteliğinin neden olduğu LargeObject hatalarını işleme.
  • Bob'un userSMIMECertificate özniteliği Bob'a atanmış çok fazla sertifika depoluyor. Bu sertifikaların arasında eski ve süresi dolmuş sertifikalar olabilir. Sabit sınır 15 sertifikadır.
  • Bob'ın Active Directory'de ayarlanan thumbnailPhoto özniteliği, Microsoft Entra Id'de eşitlenemeyecek kadar büyük.
  • Active Directory'de proxyAddresses özniteliğinin otomatik popülasyonu sırasında, bir nesnenin atanmış çok fazla proxyAddresses özniteliği vardır.

Aşağıdaki örneklerde userCertificate ve proxyAddresses gibi özniteliklerin farklı ağırlıkları gösterilmektedir:

  • Zorunlu Active Directory öznitelikleri ve Posta dışında hiçbir özniteliği doldurulmayan eşitlenmiş bir kullanıcı en fazla 332 proxy adresi eşitleyebiliyor olabilir.
  • MailNickName özniteliğine ve 10 kullanıcı sertifikasına sahip benzer eşitlenmiş bir kullanıcı için, en fazla proxy adresi sayısı 329'a düşer.
  • Örneğin, 10 kullanıcı sertifikası ve 4 abonelik atanmış benzer bir eşitlenmiş kullanıcı varsa (tüm hizmet planları etkinken), en fazla proxy adresi sayısı 311'e düşer.
  • Şimdi, zaten en fazla proxy adresi sayısını tutan önceki kullanıcıyı alalım ve bir SMTP adresi daha eklemeniz gerektiğini söyleyelim. 312 proxy adresi elde etmek için en az üç kullanıcı sertifikasını kaldırmanız gerekir (sertifikanın boyutuna bağlı olarak).

Not

Bu sayılar biraz farklılık gösterebilir. Temel kural olarak, proxyAddresses özniteliğindeki SMTP adreslerinin sınırının nesnenin ve doldurulan özniteliklerinin gelecekteki büyümesine yer açmak için yaklaşık 300 adres olduğunu varsaymak daha güvenlidir.

LargeObject veya ExceededAllowedLength hatasını düzeltme

Kullanıcı özelliklerini gözden geçirin ve artık gerekli olmayabilecek öznitelik değerlerini kaldırın. Örnek olarak iptal edilmiş veya süresi dolmuş sertifikalar ve SMTP, X.400, X.500, MSMail ve CcMail gibi güncel olmayan veya gereksiz adresler verilebilir.

Mevcut Yönetici Rolü Çakışması

Açıklama

Eşitleme sırasında bir kullanıcı nesnesinde mevcut Yönetici Rol Çakışması eşitleme hatası oluşuyor. Bu kullanıcı nesnesi şu durumlarda:

  • Yönetici istrative izinleri.
  • Mevcut bir Microsoft Entra nesnesiyle aynı userPrincipalName özniteliği.

Microsoft Entra Bağlan'nin şirket içi AD'deki bir kullanıcı nesnesini, kendisine atanmış bir yönetici rolüne sahip Microsoft Entra Id'deki bir kullanıcı nesnesiyle geçici olarak eşleştirmesine izin verilmez. Daha fazla bilgi için bkz . Microsoft Entra userPrincipalName population.

Mevcut Yönetici Rol Çakışması eşitleme hatalarının sayısını gösteren ekran görüntüsü.

Mevcut Yönetici Rolü Çakışması hatasını düzeltme

Bu sorunu çözmek için:

  1. Microsoft Entra hesabını (sahip) tüm yönetici rollerinden kaldırın.
  2. Bulutta karantinaya alınan nesneyi kesin silme.
  3. Bulut kullanıcısı artık Karma Kimlik Yönetici istrator olmadığından, bir sonraki eşitleme döngüsü şirket içi kullanıcının bulut hesabıyla geçici olarak eşleşmesini sağlayacaktır.
  4. Sahip için rol üyeliklerini geri yükleyin.

Not

Şirket içi kullanıcı nesnesi ile Microsoft Entra kullanıcı nesnesi arasındaki geçici eşleşme tamamlandıktan sonra yönetim rolünü mevcut kullanıcı nesnesine yeniden atayabilirsiniz.