Microsoft Entra eşitlemesi sırasındaki hataları anlama
Makale
Kimlik verileri Windows Server Active Directory'den Microsoft Entra Id'ye eşitlendiğinde hatalar oluşabilir. Bu makalede farklı eşitleme hataları türlerine, bu hatalara neden olan olası senaryolardan bazılarına ve hataları düzeltmenin olası yollarına genel bir bakış sağlanmaktadır. Bu makale yaygın hata türlerini içerir ve tüm olası hataları kapsamayabilir.
Bu makalede, Microsoft Entra Id ve Microsoft Entra Connect'in temel tasarım kavramlarını bildiğiniz varsayılır.
Microsoft Entra Connect'in en son sürümüyle (Ağustos 2016 veya üzeri), Eşitleme için Microsoft Entra Connect Health'in bir parçası olarak Microsoft Entra yönetim merkezinde bir Eşitleme Hataları Raporu sağlanır.
1 Eylül 2016'dan itibaren Microsoft Entra ID yinelenen öznitelik dayanıklılığı , tüm yeni Microsoft Entra kiracıları için varsayılan olarak etkindir. Bu özellik mevcut kiracılar için otomatik olarak etkinleştirilir.
Microsoft Entra Connect, eşitlenmiş durumda tuttuğu dizinlerden üç tür işlem gerçekleştirir: İçeri Aktarma, Eşitleme ve Dışarı Aktarma. Üç işlemde de hatalar oluşabilir. Bu makale temel olarak Microsoft Entra Id'ye dışarı aktarma sırasındaki hatalara odaklanır.
Microsoft Entra Id'ye dışarı aktarma sırasında oluşan hatalar
Aşağıdaki bölümde, Microsoft Entra bağlayıcısı kullanılarak Microsoft Entra Id'ye dışarı aktarma işlemi sırasında oluşabilecek farklı eşitleme hataları açıklanmaktadır. Bu bağlayıcıyı contoso ad biçimiyle tanımlayabilirsiniz.onmicrosoft.com.
Microsoft Entra Id'ye dışarı aktarma sırasında oluşan hatalar, Microsoft Entra Connect (eşitleme altyapısı) tarafından Microsoft Entra Kimliği'ne ekleme, güncelleştirme veya silme gibi bir işlemin başarısız olduğunu gösterir.
Veri uyuşmazlığı hataları
Bu bölümde veri uyuşmazlığı hataları ele alınmaktadır.
InvalidHardMatch
Açıklama
Microsoft Entra Kimliği'nde bulunan nesneleri aynı sourceAnchor değerine sahip yeni bir gelen nesneyle sabit eşleştirme girişimi olduğunda eşitleme sırasında InvalidHardMatch hatası oluşur, ancak kiracıda BlockCloudObjectTakeoverThroughHardMatchEnabled özelliği etkinleştirilir.
InvalidHardMatch hatası için örnek senaryolar
DirSync kiracıda yeniden etkinleştirilir ve aynı sourceAnchor'a sahip nesneler yeniden eşitlenir, ancak BlockCloudObjectTakeoverThroughHardMatchEnabled özelliği etkinleştirilir ve sabit eşleşmenin gerçekleşmesini önler.
Kullanıcı eşitleme kapsamından dışlandı ve Microsoft Entra Id Geri Dönüşüm Kutusu'ndan geri yüklendi. Daha sonra, kullanıcı eşitleme kapsamına yeniden eklenir ve aynı sourceAnchor değerine göre Microsoft Entra ID'de zaten mevcut olan nesneyi devralmaya çalışır, ancak BlockCloudObjectTakeoverThroughHardMatchEnabled özelliği etkinleştirilir ve sabit eşleşmenin oluşmasını önler.
Örnek olay seti
Bob Smith, contoso.com şirket içi Active Directory'sinden Microsoft Entra ID'de eşitlenmiş bir kullanıcıdır.
Varsayılan olarak, "abcdefghijklmnopqrstuv==" SourceAnchor değeri, Microsoft Entra Connect tarafından Bob Smith'in msds-consistencyGUID özniteliği (veya yapılandırmaya bağlı olarak ObjectGUID) şirket içi Active Directory kullanılarak hesaplanır. Bu öznitelik değeri, Microsoft Entra Id içindeki Bob Smith için sabitid değeridir.
Yönetici, Bob Smith'i eşitleme kapsamından kaldırır ve Microsoft Entra Connect nesnenin silinmesini dışarı aktarır.
Bob Smith'in nesnesi Microsoft Entra ID'de geçici olarak silinir ve DirSyncEnabled özniteliği False'a geçer. Ancak bu işlem nesneyi bulut tarafından yönetilen bir nesneye dönüştürmez, yine de şirket içi Active Directory eşitlenmiş bir nesne olarak kabul edilir. DirSyncEnabled değeri, şu anda eşitleme kapsamı dışında olduğunu ve yeniden eşleştirilmeye uygun olduğunu belirtmek için False değeridir.
Yönetici, Bob Smith'i eşitleme kapsamına yeniden ekler ve Microsoft Entra Connect nesneyi yeniden eşitler.
Normalde, aynı SourceAnchor'u temel alarak Microsoft Entra Id'de bulunan nesneyi sabit eşleşme devralır ve DirSyncEnabled özniteliğini 'True' olarak değiştirir, ancak BlockCloudObjectTakeoverThroughHardMatchEnabled etkinleştirildiğinde bu işleme izin verilmez ve InvalidHardMatch oluşturulur.
InvalidHardMatch hatasını düzeltme
Müşterilerin Microsoft Entra ID'deki mevcut hesapları devralmalarına gerek kalmadıkça BlockCloudObjectTakeoverThroughHardMatchEnabled'ı etkinleştirmelerini öneririz.
InvalidHardtMatch hatasını temizlemeniz ve hesabı başarıyla eşleştirmeniz gerekiyorsa, Sabit eşleşme ile Soft-match arasında açıklandığı gibi sabit eşleşmeyi yeniden etkinleştirebilirsiniz.
InvalidSoftMatch
Açıklama
InvalidSoftMatch hatası, sabit eşleşme eşleşen bir nesne bulamadıysa veyumuşak eşleşme eşleşen bir nesne bulduğunda, ancak bu nesne gelen nesnenin sourceAnchor değerinden farklı bir sabitId değerine sahip olduğunda oluşur. Bu uyuşmazlık, eşleşen nesnenin şirket içi Active Directory başka bir nesneden eşitlendiğini gösterir.
Geçici eşleşmenin çalışması için, yazılımla eşleştirilecek nesnenin immutableId özniteliği için herhangi bir değeri olmamalıdır. immutableId özniteliğine sahip nesne bir değerle ayarlandığında, sabit eşleşme başarısız olduğunda ancak yumuşak eşleşme ölçütlerini karşıladığında işlem InvalidSoftMatch eşitleme hatasıyla sonuçlanır.
Microsoft Entra şeması, iki veya daha fazla nesnenin aşağıdaki özniteliklerle aynı değere sahip olmasını sağlar. Bu liste kapsamlı değildir:
proxyAddresses
userPrincipalName
onPremisesSecurityIdentifier
objectId
immutableId
Microsoft Entra özniteliği tekrarlanan öznitelik dayanıklılığı özelliği, Microsoft Entra ID'nin varsayılan davranışı olarak da sunulmaktadır. Bu özellik, Microsoft Entra Connect ve diğer eşitleme istemcileri tarafından görülen eşitleme hatalarının sayısını azaltır. Microsoft Entra'nın, şirket içi Active Directory ortamlarında bulunan yinelenen proxyAddresses ve userPrincipalName özniteliklerini işleme yönteminde daha dayanıklı olmasını sağlar.
Bu özellik yineleme hatalarını düzeltmediğinden verilerin yine de düzeltilmesi gerekir. Ancak, Microsoft Entra Id'de yinelenen değerler nedeniyle başka türlü sağlanması engellenen yeni nesnelerin sağlanmasına izin verir. Bu özellik, eşitleme istemcisine döndürülen eşitleme hatalarının sayısını da azaltır.
Not
Kiracınız için Microsoft Entra özniteliği yinelenen öznitelik dayanıklılığı etkinleştirildiyse, yeni nesnelerin sağlanması sırasında görülen InvalidSoftMatch eşitleme hatalarını görmezsiniz.
InvalidSoftMatch hatası için örnek senaryolar
proxyAddresses özniteliği için aynı değere sahip iki veya daha fazla nesne şirket içi Active Directory. Microsoft Entra Id'de yalnızca biri sağlanıyor.
userPrincipalName özniteliği için aynı değere sahip iki veya daha fazla nesne şirket içi Active Directory. Microsoft Entra Id'de yalnızca biri sağlanıyor.
şirket içi Active Directory'da proxyAddresses özniteliği için Microsoft Entra Id'deki mevcut nesneyle aynı değere sahip bir nesne eklendi. Şirket içinde eklenen nesne Microsoft Entra Id'de sağlanmıyor.
şirket içi Active Directory'de userPrincipalName özniteliği için Microsoft Entra Id'deki bir hesapla aynı değere sahip bir nesne eklendi. Nesne Microsoft Entra Id'de sağlanmıyor.
Eşitlenmiş bir hesap Orman A'dan Orman B'ye taşındı. Microsoft Entra Connect (eşitleme altyapısı), sourceAnchor özniteliğini hesaplamak için objectGUID özniteliğini kullanıyordu. Orman taşındıktan sonra sourceAnchor özniteliğinin değeri farklıdır. Orman B'deki yeni nesne, Microsoft Entra Id'deki mevcut nesneyle eşitlenemiyor.
Eşitlenen bir nesne yanlışlıkla şirket içi Active Directory silindi ve Microsoft Entra Id'de hesabı silmeden aynı varlık (kullanıcı gibi) için Active Directory'de yeni bir nesne oluşturuldu. Yeni hesap mevcut Microsoft Entra nesnesiyle eşitlenemiyor.
Microsoft Entra Connect kaldırıldı ve yeniden yüklendi. Yeniden yükleme sırasında sourceAnchor özniteliği olarak farklı bir öznitelik seçildi. Önceden eşitlenen tüm nesneler InvalidSoftMatch hatasıyla eşitlenmeyi durdurur.
Örnek olay seti
Bob Smith, contoso.com şirket içi Active Directory Microsoft Entra Id'de eşitlenmiş bir kullanıcıdır.
Bob Smith'in kullanıcı asıl adı olarak bobs@contoso.comayarlanır.
"abcdefghijklmnopqrstuv==" sourceAnchor özniteliği, Microsoft Entra Connect tarafından Bob Smith'in şirket içi Active Directory objectGUID özniteliği kullanılarak hesaplanır. Bu öznitelik, Microsoft Entra Id içindeki Bob Smith için immutableId özniteliğidir.
Bob ayrıca proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:
Smtp: bobs@contoso.com
Smtp: bob.smith@contoso.com
Smtp: bob@contoso.com
yeni bir kullanıcı, Bob Taylor, şirket içi Active Directory eklenir.
Bob Taylor'ın kullanıcı asıl adı bobt@contoso.com olarak ayarlanır.
"abcdefghijkl0123456789==" sourceAnchor özniteliği, Microsoft Entra Connect tarafından Bob Taylor'ın şirket içi Active Directory objectGUID özniteliği kullanılarak hesaplanır.
Bob Taylor proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:
Smtp: bobt@contoso.com
Smtp: bob.taylor@contoso.com
Smtp: bob@contoso.com
Eşitleme sırasında Microsoft Entra Connect, şirket içi Active Directory Bob Taylor'ın eklenmesini tanır ve Microsoft Entra Id'den aynı değişikliği yapmasını ister.
Microsoft Entra ilk olarak bir sabit eşleşme gerçekleştirir. Yani, "abcdefghijkl0123456789==" değerine eşit immutableId özniteliğine sahip herhangi bir nesneyi arar. Microsoft Entra ID'deki başka hiçbir nesne bu sabitId özniteliğine sahip olmadığından sabit eşleşme başarısız oluyor.
Microsoft Entra Id daha sonra Bob Taylor'ı bulmak için bir yazılım eşleşmesi gerçekleştirir. Diğer bir ifadeyle, smtp de dahil olmak üzere üç değere eşit proxyAddresses özniteliklerine sahip bir nesne olup olmadığını arar. bob@contoso.com
Microsoft Entra Id, Bob Smith'in yumuşak eşleşme ölçütlerine uyacak nesnesini bulur. Ancak bu nesnenin değeri immutableId = "abcdefghijklmnoprstuv==", bu nesnenin başka bir nesneden şirket içi Active Directory eşitlendiğini gösterir. Microsoft Entra Id bu nesnelerle uyumlu olmadığından InvalidSoftMatch eşitleme hatası oluştu.
InvalidSoftMatch hatasını düzeltme
InvalidSoftMatch hatasının en yaygın nedeni, Microsoft Entra Id'de yazılım eşleştirme işlemi sırasında kullanılan proxyAddresses veya userPrincipalName öznitelikleri için aynı değere sahip farklı sourceAnchor (immutableId) özniteliklerine sahip iki nesnedir. InvalidSoftMatch hatasını düzeltmek için:
Yinelenen proxyAddresses, userPrincipalName veya hataya neden olan diğer öznitelik değerini belirleyin. Ayrıca çakışmaya neden olan iki veya daha fazla nesneyi de tanımlayın. Eşitleme için Microsoft Entra Connect Health tarafından oluşturulan rapor, iki nesneyi tanımlamanıza yardımcı olabilir.
Hangi nesnenin yinelenen değere sahip olması gerektiğini ve hangi nesnenin sahip olmaması gerektiğini belirleyin.
Bu değere sahip olmaması gereken nesneden yinelenen değeri kaldırın. Değişikliği nesnenin kaynağı olan dizinden yapın. Bazı durumlarda çakışmaya konu olan nesnelerden birini silmeniz gerekebilir.
değişikliği şirket içi Active Directory yaptıysanız Microsoft Entra Connect'in değişikliği eşitlemesine izin verin.
Eşitleme için Microsoft Entra Connect Health içindeki eşitleme hata raporları her 30 dakikada bir güncelleştirilir ve en son eşitleme girişimindeki hataları içerir.
Not
Tanımına göre ImmutableId özniteliği nesnenin ömründe değişmemelidir. Ancak microsoft Entra Connect, önceki listeden bazı senaryolar göz önünde bulundurularak yapılandırılmamış olabilir. Bu durumda, Microsoft Entra Connect, kullanmaya devam etmek istediğiniz mevcut bir Microsoft Entra nesnesine sahip aynı varlığı (aynı kullanıcı, grup veya kişi) temsil eden Active Directory nesnesi için sourceAnchor özniteliğinin farklı bir değerini hesaplayabilir.
Microsoft Entra Id iki nesneyi geçici olarak eşleştirmeye çalıştığında kullanıcı, grup veya kişi gibi farklı "nesne türünde" iki nesnenin, yumuşak eşleşmeyi gerçekleştirmek için kullanılan öznitelikler için aynı değerlere sahip olması mümkündür. Microsoft Entra Id'de bu özniteliklerin çoğaltilmesine izin verilmediğinden, işlem ObjectTypeMismatch eşitleme hatasına neden olabilir.
ObjectTypeMismatch hatası için örnek senaryo
Microsoft 365'te posta etkin bir güvenlik grubu oluşturulur. Yönetici, şirket içi Active Directory henüz Microsoft Entra Id ile eşitlenmemiş olan ve proxyAddresses özniteliği için Microsoft 365 grubuyla aynı değere sahip yeni bir kullanıcı veya kişi ekler.
Örnek olay seti
Yönetici, Vergi departmanı için Microsoft 365'te posta özellikli yeni bir güvenlik grubu oluşturur ve olarak tax@contoso.combir e-posta adresi sağlar. Bu gruba smtp proxyAddresses öznitelik değeri atanır: tax@contoso.com.
Yeni bir kullanıcı Contoso.com katılır ve şirket içi kullanıcı için proxyAddresses özniteliği smtp: olarak bir hesap oluşturulur. tax@contoso.com
Microsoft Entra Connect yeni kullanıcı hesabını eşitlediğinde ObjectTypeMismatch hatası alır.
ObjectTypeMismatch hatasını düzeltme
ObjectTypeMismatch hatasının en yaygın nedeni, kullanıcı, grup veya kişi gibi farklı türde iki nesnenin proxyAddresses özniteliği için aynı değere sahip olmasıdır. ObjectTypeMismatch hatasını düzeltmek için:
Hataya neden olan yinelenen proxyAddresses (veya başka bir öznitelik) değerini belirleyin. Ayrıca çakışmaya neden olan iki veya daha fazla nesneyi de tanımlayın. Eşitleme için Microsoft Entra Connect Health tarafından oluşturulan rapor, iki nesneyi tanımlamanıza yardımcı olabilir.
Hangi nesnenin yinelenen değere sahip olması gerektiğini ve hangi nesnenin sahip olmaması gerektiğini belirleyin.
Bu değere sahip olmaması gereken nesneden yinelenen değeri kaldırın. Nesnenin kaynaklandığı dizinde değişikliği yapın. Bazı durumlarda çakışmaya konu olan nesnelerden birini silmeniz gerekebilir.
Değişikliği şirket içi AD'de yaptıysanız, Microsoft Entra Connect'in değişikliği eşitlemesine izin verin. Eşitleme için Microsoft Entra Connect Health'teki eşitleme hata raporu her 30 dakikada bir güncelleştirilir. Rapor, en son eşitleme girişimindeki hataları içerir.
Yinelenen öznitelikler
Bu bölümde yinelenen öznitelik hataları ele alınmaktadır.
AttributeValueMustBeUnique
Açıklama
Microsoft Entra şeması, iki veya daha fazla nesnenin aşağıdaki özniteliklerle aynı değere sahip olmasını sağlar. Microsoft Entra ID'deki her nesne, belirli bir örnekte bu özniteliklerin benzersiz bir değerine sahip olmaya zorlanır:
posta
proxyAddresses
signInName
userPrincipalName
Microsoft Entra Connect yeni bir nesne eklemeye veya mevcut bir nesneyi Microsoft Entra ID'de zaten başka bir nesneye atanmış olan önceki öznitelikler için bir değerle güncelleştirmeye çalışırsa işlem AttributeValueMustBeUnique eşitleme hatasıyla sonuçlanır.
Olası senaryo
Eşitlenmiş başka bir nesneyle çakışan, zaten eşitlenmiş bir nesneye yinelenen bir değer atanır.
Örnek olay seti
Bob Smith, contoso.com şirket içi Active Directory'sinden Microsoft Entra ID'de eşitlenmiş bir kullanıcıdır.
Bob Smith'in şirket içi kullanıcı asıl adı bobs@contoso.com olarak ayarlanır.
Bob ayrıca proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:
Smtp: bobs@contoso.com
Smtp: bob.smith@contoso.com
Smtp: bob@contoso.com
şirket içi Active Directory yeni bir kullanıcı, Bob Taylor eklenir.
Bob Taylor'ın kullanıcı asıl adı bobt@contoso.com olarak ayarlanır.
Bob Taylor proxyAddresses özniteliği için aşağıdaki değerlere sahiptir:
Smtp: bobt@contoso.com
Smtp: bob.taylor@contoso.com
Bob Taylor'ın nesnesi Microsoft Entra Kimliği ile başarıyla eşitlendi.
Yönetici Bob Taylor'ın proxyAddresses özniteliğini aşağıdaki değerle güncelleştirmeye karar verdi:
Smtp: bob@contoso.com
Microsoft Entra ID, Bob Taylor'ın Microsoft Entra ID'deki nesnesini önceki değerle güncelleştirmeye çalışır ancak proxyAddresses değeri Bob Smith'e zaten atanmış olduğundan bu işlem başarısız olur. Sonuç bir AttributeValueMustBeUnique hatasıdır.
AttributeValueMustBeUnique hatasını düzeltme
AttributeValueMustBeUnique hatasının en yaygın nedeni, farklı sourceAnchor (immutableId) özniteliklerine sahip iki nesnenin proxyAddresses veya userPrincipalName öznitelikleri için aynı değere sahip olmasıdır. AttributeValueMustBeUnique hatasını düzeltmek için:
Yinelenen proxyAddresses, userPrincipalName veya hataya neden olan diğer öznitelik değerini belirleyin. Ayrıca çakışmaya neden olan iki veya daha fazla nesneyi de tanımlayın. Eşitleme için Microsoft Entra Connect Health tarafından oluşturulan rapor, iki nesneyi tanımlamanıza yardımcı olabilir.
Hangi nesnenin yinelenen değere sahip olması gerektiğini ve hangi nesnenin sahip olmaması gerektiğini belirleyin.
Bu değere sahip olmaması gereken nesneden yinelenen değeri kaldırın. Değişikliği nesnenin kaynağı olan dizinden yapın. Bazı durumlarda çakışmaya konu olan nesnelerden birini silmeniz gerekebilir.
Değişikliği şirket içi Active Directory'de yaptıysanız hatanın düzeltilmesi için Microsoft Entra ID Connect Eşitleme'nin değişikliği eşitlemesine izin verin.
Microsoft Entra ID, verilerin dizine yazılmasına izin vermeden önce birçok farklı kısıtlama uygular. Bu kısıtlamalar, son kullanıcıların bu verilere bağımlı uygulamaları kullanırken mümkün olan en iyi deneyimi elde etmelerini sağlamaktır.
Senaryolar
userPrincipalName öznitelik değeri geçersiz veya desteklenmeyen karakterler içeriyor.
userPrincipalName özniteliği gerekli biçimi izlemez.
Önceki senaryoların sonucu bir IdentityDataValidationFailed hatasıdır.
IdentityDataValidationFailed hatasını düzeltme
userPrincipalName özniteliğinin desteklenen karakterlere ve gerekli biçime sahip olduğundan emin olun.
Silme erişimi ihlali ve parola erişimi ihlali hataları
Microsoft Entra Id, yalnızca bulut nesnelerinin Microsoft Entra Connect aracılığıyla güncelleştirilmesini engeller. Bu nesneleri Microsoft Entra Connect aracılığıyla güncelleştirmek mümkün olmasa da, yalnızca bulut nesnelerini değiştirmeye çalışmak için doğrudan Microsoft Entra arka ucuna çağrı yapılabilir. Bunu yaparken aşağıdaki hatalar döndürülebilir:
Bu eşitleme işlemi (Delete) geçerli değil. Teknik Desteğe başvurun (Hata Türü 114).
Geçerli isteğe bir veya daha fazla yalnızca bulut kullanıcısının kimlik bilgisi güncelleştirmesi eklendiğinden bu güncelleştirme işlenemedi.
Yalnızca bulut nesnesinin silinmesi desteklenmez. Microsoft Müşteri Desteği'ne başvurun.
Parola değiştirme isteği, desteklenmeyen bir veya daha fazla yalnızca bulut kullanıcı nesnesinde değişiklik içerdiğinden yürütülemiyor. Microsoft Müşteri Desteği'ne başvurun.
SilmeCloudOnlyObjectNotAllowed'ı Çözme (Hata Türü 114)
Bu bölümde, DeletingCloudOnlyObjectNotAllowed (Hata Türü 114) hatasını çözmenin olası nedenleri ve çözümleri açıklanmıştır.
Microsoft, kuruluşların genel yönetici rolüne kalıcı olarak atanmış iki yalnızca bulut acil durum erişim hesabına sahip olması önerilir. Bu hesaplar yüksek ayrıcalıklıdır ve belirli kişilere atanmamışlardır. Hesaplar, normal hesapların kullanılamadığı veya diğer tüm yöneticilerin yanlışlıkla kilitlendiği acil durum veya "kırılan" senaryolarla sınırlıdır. Bu hesaplar, acil durum erişim hesabı önerilerine göre oluşturulmalıdır.
Açıklama
Bu, müşterinin hibritten yalnızca buluta geçiş yapmak istediği bir senaryodur. Yönetici, kullanıcıları kapsam dışına taşımak için Microsoft Entra Connect'e bir çağrı başlatır, ancak Microsoft Entra Connect DeleteCloudOnlyObjectNotAllowed (veya Hata Türü 114) hatasını döndürür: "Bu eşitleme işlemi, Sil geçerli değil. Teknik Desteğe başvurun."
Bu hatanın olası nedenleri şunlardır:
Microsoft Entra Connect'ten yapılan çağrıda UPN, yeni veya benzersiz GUID ya da diğer gerekli bilgiler yok.
Microsoft Entra Connect verileri dışarı aktarmaya çalışıyor ancak DirSyncEnabled False olarak ayarlandı.
Microsoft Entra Connect, geri yüklenen bir kullanıcıyı veya başka bir nesneyi silmeye çalışıyor. Bunun nedeni genellikle bir kullanıcı veya başka bir nesne başvurusunun eşitleme kapsamı dışına veya Kayıp ve Bulunan kapsayıcısına taşınmasıdır.
Olası senaryolar
Microsoft Entra Connect istemcisi yalnızca karmadan buluta geçiş sırasında kullanıcıları silemez ve hata türü 114'e neden olur.
Kullanıcıların silinmemesi için olası nedenler şunlardır:
Müşteri tarafından kullanıcıları kapsam dışına taşımak için oluşturulan kural özniteliğini Admin temel alır.
Eşitleme (Azure AD Eşitleme) işlemi sırasında 114 hata türü döndürülüyor ve bu da kullanıcıların silinmesine neden oluyor.
Eşitleme belirli özellikler için başarısız olur ve kullanıcıların buna göre silinmemesiyle sonuçlanır.
Hata örneği
Dışarı aktarma hatası örneği:
TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}
Hatayı düzeltme
Bu sorunu çözmek için:
Sorun nesnesi başvuruyu tanımlayın.
Bulut hesabını geçici olarak silmek için PowerShell'i kullanın:
Hesap silme işlemini başarıyla içeri aktarması gereken komutunu çalıştırın Start-ADSyncSyncCycle -PolicyType Delta .
Silme işleminin başarılı olduğunu onaylayın.
Kullanıcıyı Geri Dönüşüm Kutusu'ndan geri yükleyin.
Hatanın yeniden oluşmadığından emin olmak için sunucuda komutunu çalıştırın Start-ADSyncSyncCycle -PolicyType Delta .
Uyarı
Kullanıcı eşitleme kapsamının dışında bırakıldığında, nesne Microsoft Entra Id'de geçici olarak silinir ve DirSyncEnabled özniteliği False'a geçirilir. Ancak bu işlem, bulutta yönetilmeyen şirket içi Active Directory eşitlenen öznitelikleri ve değerleri içerdiğinden, nesneyi bulut tarafından yönetilen nesneye dönüştürmez. DirSyncEnabled değeri, şu anda eşitleme kapsamı dışında olduğunu ve yeniden eşleştirilmeye uygun olduğunu belirtmek için False değeridir.
LargeObject veya ExceededAllowedLength
Bu bölümde LargeObject veya ExceededAllowedLength hataları açıklanmıştır.
Açıklama
Bir öznitelik Microsoft Entra şeması tarafından ayarlanan izin verilen boyut sınırını, uzunluk sınırını veya sayım sınırını aştığında, eşitleme işlemi bir LargeObject veya ExceededAllowedLength eşitleme hatasıyla sonuçlanır. Bu hata genellikle aşağıdaki öznitelikler için oluşur:
Tüm öznitelikler birleşerek nesnenin son boyutunu oluşturur. Bazı öznitelikler, ek işlem yükü nedeniyle farklı ağırlık çarpanlarına sahiptir. Dizine alınan değerler örnek olarak verilmiştir. Ayrıca hesaba farklı bulut hizmetleri, hizmet planları ve lisanslar atanabilir ve bu da daha fazla öznitelik tüketir ve nesnenin genel boyutuna katkıda bulunur.
Bir özniteliğin, ProxyAddresses özniteliğine kaç SMTP adresinin sığabileceği gibi Microsoft Entra Id'de tam olarak kaç giriş barındırabileceğini belirlemek mümkün değildir. Miktar, nesnede doldurulan tüm özniteliklerin boyutuna ve çarpma faktörlerine bağlıdır.
Bob'un userSMIMECertificate özniteliği Bob'a atanmış çok fazla sertifika depoluyor. Bu sertifikaların arasında eski ve süresi dolmuş sertifikalar olabilir. Sabit sınır 15 sertifikadır.
Bob'ın Active Directory'de ayarlanan thumbnailPhoto özniteliği, Microsoft Entra Id'de eşitlenemeyecek kadar büyük.
Active Directory'de proxyAddresses özniteliğinin otomatik popülasyonu sırasında, bir nesnenin atanmış çok fazla proxyAddresses özniteliği vardır.
Aşağıdaki örneklerde userCertificate ve proxyAddresses gibi özniteliklerin farklı ağırlıkları gösterilmektedir:
Zorunlu Active Directory öznitelikleri ve Posta dışında hiçbir özniteliği doldurulmayan eşitlenmiş bir kullanıcı en fazla 332 proxy adresi eşitleyebiliyor olabilir.
MailNickName özniteliğine ve 10 kullanıcı sertifikasına sahip benzer eşitlenmiş bir kullanıcı için, en fazla proxy adresi sayısı 329'a düşer.
Örneğin, 10 kullanıcı sertifikası ve 4 abonelik atanmış benzer bir eşitlenmiş kullanıcı varsa (tüm hizmet planları etkinken), en fazla proxy adresi sayısı 311'e düşer.
Şimdi, zaten en fazla proxy adresi sayısını tutan önceki kullanıcıyı alalım ve bir SMTP adresi daha eklemeniz gerektiğini söyleyelim. 312 proxy adresi elde etmek için en az üç kullanıcı sertifikasını kaldırmanız gerekir (sertifikanın boyutuna bağlı olarak).
Not
Bu sayılar biraz farklılık gösterebilir. Temel kural olarak, proxyAddresses özniteliğindeki SMTP adreslerinin sınırının nesnenin ve doldurulan özniteliklerinin gelecekteki büyümesine yer açmak için yaklaşık 300 adres olduğunu varsaymak daha güvenlidir.
LargeObject veya ExceededAllowedLength hatasını düzeltme
Kullanıcı özelliklerini gözden geçirin ve artık gerekli olmayabilecek öznitelik değerlerini kaldırın. Örnek olarak iptal edilmiş veya süresi dolmuş sertifikalar ve SMTP, X.400, X.500, MSMail ve CcMail gibi güncel olmayan veya gereksiz adresler verilebilir.
Mevcut Yönetici Rolü Çakışması
Açıklama
Eşitleme sırasında bir kullanıcı nesnesinde mevcut yönetici rolü çakışması eşitleme hatası oluşuyor, bu kullanıcı nesnesi şu durumlarda:
Yönetim izinleri.
Mevcut bir Microsoft Entra nesnesiyle aynı userPrincipalName özniteliği.
Microsoft Entra Connect'in şirket içi AD'deki bir kullanıcı nesnesini, kendisine atanmış bir yönetici rolü olan Microsoft Entra Id'deki bir kullanıcı nesnesiyle geçici olarak eşleştirmesine izin verilmez. Daha fazla bilgi için bkz . Microsoft Entra userPrincipalName population.
Mevcut Yönetici Rolü Çakışması hatasını düzeltme
Bu sorunu çözmek için:
Microsoft Entra hesabını (sahip) tüm yönetici rollerinden kaldırın.
Bulutta karantinaya alınan nesneyi kesin silme.
Bulut kullanıcısı artık Karma Kimlik Yöneticisi olmadığından, bir sonraki eşitleme döngüsü şirket içi kullanıcının bulut hesabıyla geçici olarak eşleşmesini sağlar.
Sahip için rol üyeliklerini geri yükleyin.
Not
Şirket içi kullanıcı nesnesi ile Microsoft Entra kullanıcı nesnesi arasındaki geçici eşleşme tamamlandıktan sonra yönetim rolünü mevcut kullanıcı nesnesine yeniden atayabilirsiniz.
This learning path examines how organizations should plan for and implement identity synchronization in a hybrid Microsoft 365 deployment. You learn how to implement Microsoft Entra Connect Sync and Microsoft Entra Cloud Sync, and how to manage synchronized identities.