了解 Microsoft Entra 同步期間的錯誤
將身分識別資料從 Windows Server Active Directory 同步處理至 Microsoft Entra ID時,可能會發生錯誤。 本文提供不同類型的同步處理錯誤概觀、某些可能導致這些錯誤的案例,以及修正錯誤的可能方式。 本文包含常見的錯誤類型,不一定涵蓋所有可能的錯誤。
本文假設您已熟悉 Microsoft Entra ID 和 Microsoft Entra Connect 的基礎設計概念。
重要
本文嘗試解決最常見的同步處理錯誤。 可惜我們無法在一份文件中涵蓋每一個案例。 如需詳細資訊,包括深入的疑難排解步驟,請參閱 Microsoft Entra 疑難排解文件下的 Microsoft Entra Connect 物件和屬性的端對端疑難排解 和 使用者佈建和同步處理。
使用最新版本的 Microsoft Entra Connect (2016 年 8 月或更高版本),可在 Microsoft Entra 系統管理中心 中取得同步處理錯誤報告,作為 Microsoft Entra Connect Health 以進行同步處理的一部分。
從 2016 年 9 月 1 日開始,Microsoft Entra ID 重複屬性復原 預設會針對所有 新的 Microsoft Entra 租用戶啟用。 這項功能會自動為現有的租用戶啟用。
Microsoft Entra Connect 會從其保持同步的目錄執行三種類型的作業:匯入、同步處理和匯出。 所有三項作業都可能發生錯誤。 本文主要著重於匯出至 Microsoft Entra ID 期間的錯誤。
匯出至 Microsoft Entra ID 期間發生錯誤
下一節說明使用 Microsoft Entra 連接器對 Microsoft Entra ID 進行匯出作業期間,可能發生的同步處理錯誤的不同類型。 您可以利用 contoso.onmicrosoft.com 的名稱格式來識別此連接器。 匯出至 Microsoft Entra ID 期間發生錯誤,表示 Microsoft Entra Connect (同步引擎) 嘗試對 Microsoft Entra ID 進行的新增、更新或刪除等作業失敗。
資料不符錯誤
本節討論資料不符的錯誤。
InvalidHardMatch
描述
在同步處理期間,若嘗試將 Microsoft Entra ID 中的現有物件與具有相同 sourceAnchor 值的新傳入物件 精確比對,但租用戶已啟用 BlockCloudObjectTakeoverThroughHardMatchEnabled 功能時,會發生 InvalidHardMatch 錯誤。
InvalidHardMatch 錯誤的範例案例
- DirSync 會對租用戶重新啟用,且具有相同 sourceAnchor 的物件會再次同步處理,然而 BlockCloudObjectTakeoverThroughHardMatchEnabled 功能會啟用,並防止出現精確比對。
- 使用者已從同步範圍中排除,並從 Microsoft Entra ID 資源回收筒還原。 之後,使用者會重新新增至同步處理範圍,並嘗試根據相同的 sourceAnchor 值接管已存在於Microsoft Entra ID 中的物件,然而 BlockCloudObjectTakeoverThroughHardMatchEnabled 功能會啟用,並防止出現精確比對。
範例案例
- Bob Smith 是 Microsoft Entra ID 中從內部部署 Active Directory contoso.com 同步的使用者。
- 根據預設,“abcdefghijklmnopqrstuv=” 的 SourceAnchor 值是由 Microsoft Entra Connect 使用 Bob Smith 的 MsDs-ConsistencyGUID 属性 (或 ObjectGUID,視組態而定)(來自內部部署的 Active Directory) 計算而得。 這個屬性值是 Microsoft Entra ID 中 Bob Smith 的 immutableId。
- 系統管理員將 Bob Smith 移出同步範圍,Microsoft Entra Connect 會匯出對象的刪除。
- Bob Smith 的物件會在 Microsoft Entra ID 中變成虛刪除,且其 DirSyncEnabled 屬性會切換為 False。 不過,此程序不會將物件轉換成雲端管理,該物件仍被視為是從內部部署的 Active Directory 同步處理的物件。 DirSyncEnabled 值為 False 表示它目前已不再同步,並可再次進行比對。
- 系統管理員將 Bob Smith 重新新增至同步範圍,Microsoft Entra Connect 重新同步處理物件。
- 一般而言,硬式比對會根據相同的 SourceAnchor取代 Microsoft Entra ID 中存在的物件,並將 DirSyncEnabled 屬性切換回 'True’,不過,當 BlockCloudObjectTakeoverThroughHardMatchEnabled 啟用時,不允許此作業,並會擲回 InvalidHardMatch。
修正 InvalidHardMatch 錯誤
我們建議客戶啟用 BlockCloudObjectTakeoverThroughHardMatchEnabled,除非他們需要它接管 Microsoft Entra ID 中現有的帳戶。
如果您需要清除 InvalidHardtMatch 錯誤並成功比對帳戶,您可以再次啟用精確比對,如 精確比對與大致比對 中所述。
InvalidSoftMatch
描述
- 當精確比對找不到任何相符的物件,而大致比對 找到相符物件,但該物件的 immutableId 值與傳入物件的 sourceAnchor 不同時,就會發生 InvalidSoftMatch 錯誤。 這種不符情形表示相符的物是與內部部署 Active Directory 的另一個物件同步。
若要讓大致比對能夠運行,要進行大致比對的物件,其 immutableId 屬性不應具有任何值。 如果任何已設定 immutableId 屬性的物件精確比對失敗,但滿足大致比對準則,則該作業會產生 InvalidSoftMatch 同步處理錯誤。
Microsoft Entra 結構描述不允許兩個或多個物件的下列屬性具有相同的值。 這份清單並不完整:
- proxyAddresses
- userPrincipalName
- onPremisesSecurityIdentifier
- objectId
- immutableId
Microsoft Entra 屬性重複屬性復原](how-to-connect-syncservice-duplicate-attribute-resiliency.md) 也即將推出為 Microsoft Entra ID 的預設行為。 這項功能可減少 Microsoft Entra Connect 和其他同步用戶端看到的同步處理錯誤的數目。 它讓 Microsoft Entra 在處理內部部署的 Active Directory 環境中重複的 proxyAddresses 和 userPrincipalName 屬性時更有彈性。
這項功能不會修正重複的錯誤,所以仍需要修正資料。 但它允許佈建因為 Microsoft Entra ID 中的重複值而無法佈建的新物件。 這項功能也會減少傳回至同步處理用戶端的同步處理錯誤數目。
注意
如果您的租用戶已啟用 Microsoft Entra 屬性重複屬性恢復功能,您在佈建新物件時,將不會看到 InvalidSoftMatch 同步處理錯誤。
InvalidSoftMatch 錯誤的範例案例
- 內部部署 Active Directory 中存在兩個或多個具有相同 proxyAddresses 屬性值的物件。 只有一個會在 Microsoft Entra ID 中佈建。
- 內部部署 Active Directory 中存在兩個或多個具有相同 userPrincipalName 屬性值的物件。 只有一個會在 Microsoft Entra ID 中佈建。
- 在內部部署的 Active Directory 中新增物件,其 proxyAddresses 屬性的值與 Microsoft Entra ID 中現有物件的值相同。 在內部部署中新增的物件不會在 Microsoft Entra ID 中佈建。
- 在內部部署的 Active Directory 中新增物件,其 userPrincipalName 屬性的值與 Microsoft Entra ID 中帳戶的值相同。 物件未在 Microsoft Entra ID 中佈建。
- 同步處理的帳戶已從樹系 A 移到樹系 B。Microsoft Entra Connect (同步處理引擎) 使用 objectGUID 屬性來計算 sourceAnchor 屬性。 在樹系移動之後,sourceAnchor 的屬性值會不同。 來自樹系 B 的新物件無法與 Microsoft Entra ID 中的現有物件同步。
- 同步處理的物件被意外地從內部部署的 Active Directory 中刪除,且在 Active Directory 中針對相同的實體 (例如使用者) 建立了新物件,而不需刪除 Microsoft Entra ID 中的帳戶。 新帳戶無法與現有 Microsoft Entra 物件同步。
- 已解除安裝並重新安裝 Microsoft Entra Connect。 在重新安裝期間,選擇了不同的屬性作為 sourceAnchor 屬性。 發生 InvalidSoftMatch 錯誤時,所有先前同步處理的物件都會停止進行同步處理。
範例案例
- Bob Smith 是 Microsoft Entra ID 中與 contoso.com 的內部部署 Active Directory 同步的使用者。
- Bob Smith 的使用者主體名稱設定為 bobs@contoso.com。
- “abcdefghijklmnopqrstuv=” 的 sourceAnchor 屬性是由 Microsoft Entra Connect 使用 Bob Smith 的 objectGUID 属性 (來自內部部署的 Active Directory) 計算而得。 此屬性是 Microsoft Entra ID 中 Bob Smith 的 immutableId 屬性。
- Bob 也具有 proxyAddresses 屬性的下列值︰
- smtp: bobs@contoso.com
- smtp: bob.smith@contoso.com
- smtp: bob@contoso.com
- 新使用者 Bob Taylor 已新增至內部部署 Active Directory。
- Bob Taylor 的使用者主體名稱已設定為 bobt@contoso.com。
- "abcdefghijkl0123456789==" 的 sourceAnchor 屬性是由 Microsoft Entra Connect 使用 Bob Taylor 的 objectGUID 屬性 (來自內部部署的 Active Directory) 計算而得。
- Bob Taylor 具有 proxyAddresses 屬性的下列值︰
- smtp: bobt@contoso.com
- smtp: bob.taylor@contoso.com
- smtp: bob@contoso.com
- 在同步處理期間,Microsoft Entra Connect 會辨識內部部署的 Active Directory 中已新增 Bob Taylor,並要求 Microsoft Entra ID 進行相同的變更。
- Microsoft Entra 會先執行精確比對。 也就是說,其會搜尋 immutableId 屬性等於 "abcdefghijkl0123456789==" 的任何物件。 精確比對失敗,因為 Microsoft Entra ID 中沒有其他物件具有該 immutableId 屬性。
- 然後 Microsoft Entra ID 會執行軟式比對來尋找 Bob Taylor。 也就是說,其會搜尋是否有任何物件的 proxyAddresses 屬性等於三個值,包括 smtp:bob@contoso.com。
- Microsoft Entra ID 發現 Bob Smith 的物件符合軟式比對準則。 但這個物件的值為 immutableId = "abcdefghijklmnopqrstuv==",這表示此物件已從內部部署 Active Directory 的另一個物件進行同步處理。 Microsoft Entra ID 無法軟式比對這些物件,因此會擲回 InvalidSoftMatch 同步處理錯誤。
修正 InvalidSoftMatch 錯誤
InvalidSoftMatch 錯誤最常見的原因是兩個具有不同 sourceAnchor (immutableId) 屬性的物件具有相同的 proxyAddresses 或 userPrincipalName 屬性值,而對 Microsoft Entra ID 的大致比對程序使用了這兩個物件。 若要修正 InvalidSoftMatch 錯誤:
- 找出造成錯誤的重複 proxyAddresses、userPrincipalName 或其他屬性值。 同時找出哪兩個或多個物件與衝突有關。 Microsoft Entra Connect Health for Sync 所產生的報告可協助您找出這兩個物件。
- 找出哪個物件應該繼續擁有重複的值,以及哪個物件不該如此。
- 移除物件中不該具有該值的重複值。 在物件的來源目錄中進行變更。 在某些情況下,您可能需要刪除其中一個衝突的物件。
- 如果您在內部部署的 Active Directory 中做了變更,請讓 Microsoft Entra Connect 同步進行變更。
Microsoft Entra Connect Health for Sync 的同步錯誤報告會每隔 30 分鐘更新一次,並包含最近同步處理嘗試的錯誤。
注意
ImmutableId 屬性依定義不應該在物件的存留期內變更。 但設定 Microsoft Entra Connect 時,也許並未考慮到上述清單中的某些案例。 在此情況下,Microsoft Entra Connect 可能會計算 Active Directory 物件 sourceAnchor 屬性的不同值,該物件代表您要繼續使用的現有 Microsoft Entra 物件相同實體 (相同使用者、群組或連絡人)。
相關文章
重複或無效的屬性可阻止 Microsoft 365 中的目錄同步處理
ObjectTypeMismatch
描述
當 Microsoft Entra ID 嘗試將兩個物件軟式比對時,可能會有兩個不同「物件類型」的物件,例如使用者、群組或連絡人,對於用來執行軟比對的屬性具有相同的值。 由於 Microsoft Entra ID 中不允許這些屬性重複,因此該作業可能會導致 ObjectTypeMismatch 同步處理錯誤。
ObjectTypeMismatch 錯誤的範例案例
在 Microsoft 365 中建立擁有郵件功能的安全性群組。 系統管理員會使用與 Microsoft 365 群組相同的 proxyAddresses 屬性值,在內部部署的 Active Directory (尚未同步處理至 Microsoft Entra IDD) 中新增使用者或連絡人。
範例案例
- 系統管理員在 Microsoft 365 中針對稅務部門建立擁有郵件功能的新安全性群組,並為其提供電子郵件地址 tax@contoso.com。 將 smtp: tax@contoso.com 的 proxyAddresses 屬性值指派給這個群組。
- 新使用者會加入 Contoso.com,並針對 proxyAddresses 為 smtp: tax@contoso.com 的內部部署使用者建立帳戶。
- Microsoft Entra Connect 同步處理新的使用者帳戶時,會收到 ObjectTypeMismatch 錯誤。
修正 ObjectTypeMismatch 錯誤
ObjectTypeMismatch 錯誤的最常見原因是兩個不同類型 (例如使用者、群組或連絡人) 的物件具有相同的 proxyAddresses 屬性值。 若要修正 ObjectTypeMismatch 錯誤:
- 找出造成錯誤的重複 proxyAddresses (或其他屬性) 值。 同時找出哪兩個或多個物件與衝突有關。 Microsoft Entra Connect Health for Sync 所產生的報告可協助您找出這兩個物件。
- 找出哪個物件應該繼續擁有重複的值,以及哪個物件不該如此。
- 移除物件中不該具有該值的重複值。 在物件的來源目錄中進行變更。 在某些情況下,您可能需要刪除其中一個衝突的物件。
- 如果您在內部部署 AD 中進行了變更,請讓 Microsoft Entra Connect 同步變更。 Microsoft Entra Connect Health 中用於同步處理的的同步錯誤報告每隔 30 分鐘會更新一次。 報告包含最近同步處理嘗試的錯誤。
重複的屬性
本節討論重複屬性錯誤。
AttributeValueMustBeUnique
描述
Microsoft Entra 結構描述不允許兩個或多個物件的下列屬性具有相同的值。 強制 Microsoft Entra ID 中的每個物件在指定的執行個體具有這些屬性的唯一值:
- 郵件
- proxyAddresses
- signInName
- userPrincipalName
如果 Microsoft Entra Connect 嘗試新增物件,或使用已指派給 Microsoft Entra ID 中另一個物件的上述屬性值更新現有物件,作業會導致發生 AttributeValueMustBeUnique 同步錯誤。
可能的案例
對已同步的物件指派了重複的值,但該物件與另一個同步物件發生衝突。
範例案例
- Bob Smith 是 Microsoft Entra ID 中從內部部署 Active Directory contoso.com 同步的使用者。
- Bob Smith 的內部部署使用者主體名稱已設定為 bobs@contoso.com。
- Bob 也具有 proxyAddresses 屬性的下列值︰
- smtp: bobs@contoso.com
- smtp: bob.smith@contoso.com
- smtp: bob@contoso.com
- 新使用者 Bob Taylor 已新增至內部部署 Active Directory。
- Bob Taylor 的使用者主體名稱已設定為 bobt@contoso.com。
- Bob Taylor 具有 proxyAddresses 屬性的下列值︰
- smtp: bobt@contoso.com
- smtp: bob.taylor@contoso.com
- Bob Taylor 的物件已成功與 Microsoft Entra ID 同步。
- 系統管理員決定使用下列的值更新 Bob Taylor 的 proxyAddresses 屬性︰
- smtp: bob@contoso.com
- Microsoft Entra ID 嘗試使用上述值更新 Microsoft Entra ID 中的 Bob Taylor 物件,但該作業失敗,因為 proxyAddresses 值已分配給 Bob Smith。 結果是 AttributeValueMustBeUnique 錯誤。
修正 AttributeValueMustBeUnique 錯誤
AttributeValueMustBeUnique 錯誤的最常見原因是兩個具有不同 sourceAnchor (immutableId) 屬性的物件具有相同的 proxyAddresses 或 userPrincipalName 屬性值。 若要修正 AttributeValueMustBeUnique 錯誤:
- 找出造成錯誤的重複 proxyAddresses、userPrincipalName 或其他屬性值。 同時找出哪兩個或多個物件與衝突有關。 Microsoft Entra Connect Health for Sync 所產生的報告可協助您找出這兩個物件。
- 找出哪個物件應該繼續擁有重複的值,以及哪個物件不該如此。
- 移除物件中不該具有該值的重複值。 在物件的來源目錄中進行變更。 在某些情況下,您可能需要刪除其中一個衝突的物件。
- 如果您在內部部署 Active Directory 中進行變更,請讓 Microsoft Entra Connect 同步變更以修正錯誤。
相關文章
重複或無效的屬性可阻止 Microsoft 365 中的目錄同步處理
資料驗證失敗
本節討論資料驗證失敗。
IdentityDataValidationFailed
描述
Microsoft Entra ID 會先對資料本身強制執行各種限制,然後才允許該資料寫入目錄中。 這些限制是為了確保終端使用者在使用與此資料相依的應用程式時獲得最佳體驗。
案例
- userPrincipalName 屬性值具有無效或不支援的字元。
- userPrincipalName 屬性不符合所需的格式。
上述案例的結果是 IdentityDataValidationFailed 錯誤。
修正 IdentityDataValidationFailed 錯誤
確定 userPrincipalName 屬性具有支援的字元和所需的格式。
相關文章
準備透過 Microsoft 365 目錄同步作業佈建使用者
刪除存取違規和密碼存取違規錯誤
Microsoft Entra ID 會保護僅限雲端的物件,防止透過 Microsoft Entra Connect 進行更新。 雖然無法透過 Microsoft Entra Connect 來更新這些物件,但您可以直接對 Microsoft Entra 後端進行呼叫,以嘗試變更僅限雲端的物件。 當您這樣做時,可能會傳回下列錯誤:
- 此同步處理作業 (刪除) 無效。 請連絡技術支援人員 (錯誤類型 114)。
- 因為目前的要求中包含一或多個僅限雲端使用者的認證更新,所以無法處理此更新。
- 不支援刪除僅限雲端的物件。 請連絡 Microsoft 客戶支援。
- 無法執行密碼變更要求,因為它包含一或多個僅限雲端使用者物件的變更,但不支援該操作。 請連絡 Microsoft 客戶支援。
解決 DeletingCloudOnlyObjectNotAllowed (錯誤類型 114)
本節討論 DeletingCloudOnlyObjectNotAllowed 錯誤 (錯誤類型 114) 的可能原因和解決該錯誤的解決方案。
Microsoft 建議組織擁有兩個僅限雲端,且永久指派為 全域管理員 角色的緊急存取帳戶。 這些帳戶具有高度特殊權限,不會指派給特定個人。 這些帳戶僅限於無法使用一般帳戶或所有其他系統管理員均遭意外鎖在系統外的緊急或「打破玻璃」案例。這些帳戶應遵循 緊急存取帳戶建議 來建立。
描述
這是客戶想要從混合式移轉至僅限雲端的情況。 系統管理員會啟動呼叫 Microsoft Entra Connect,嘗試將使用者移出範圍,但 Microsoft Entra Connect 傳回 DeletingCloudOnlyObjectNotAllowed 錯誤 (或錯誤類型 114):「此同步處理作業 Delete 無效。 請連絡技術支持人員。」
可能導致本錯誤的原因包括:
- 來自 Microsoft Entra Connect 的呼叫沒有 UPN、新的或唯一的 GUID 或其他必要資訊。
- Microsoft Entra Connect 嘗試匯出資料,但
DirSyncEnabled
設為 False。 - Microsoft Entra Connect 嘗試刪除已還原的使用者或其他物件。 這通常是因為使用者或其他物件參考已移出同步範圍或被移到失物招領容器。
可能的案例
Microsoft Entra Connect 用戶端在從混合式移轉至雲端期間無法刪除使用者,導致錯誤類型 114。
使用者不刪除的潛在原因包括:
- 由客戶建立,將使用者移出範圍的規則是以
Admin
屬性為基礎。 - 同步處理 (Azure AD 同步) 作業期間傳回錯誤類型 114,導致刪除使用者失敗。
- 特定功能的同步處理會失敗,導致使用者因此無法刪除。
錯誤範例
匯出錯誤的範例:
TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}
修正錯誤
若要解決此問題:
- 找出有問題的物件參考。
- 使用 PowerShell 來虛刪除雲端帳戶:
- 執行應該成功匯入帳戶刪除的
Start-ADSyncSyncCycle -PolicyType Delta
。 - 確認刪除成功。
- 從資源回收筒還原使用者。
- 在伺服器上執行
Start-ADSyncSyncCycle -PolicyType Delta
以確認錯誤不會再次發生。
警告
當使用者從同步範圍中排除時,物件會在 Microsoft Entra ID 中變成虛刪除,且其 DirSyncEnabled 屬性會切換為 False。 不過,此程式不會將物件轉換成雲端管理,因為它仍然包含從內部部署的 Active Directory 同步處理的屬性和值,該屬性和值無法在雲端中管理。 DirSyncEnabled 值為 False 表示它目前已不再同步,並可再次進行比對。
LargeObject 或 ExceededAllowedLength
本節討論 LargeObject 或 ExceededAllowedLength 錯誤。
描述
當屬性超過 Microsoft Entra 結構描述所設定的允許大小限制、長度限制或計數限制時,同步處理作業會產生 LargeObject 或 ExceededAllowedLength 同步處理錯誤。 此錯誤通常會發生於下列屬性:
- userCertificate
- userSMIMECertificate
- thumbnailPhoto
- proxyAddresses
Microsoft Entra ID 不會對每個屬性施加限制,除了 userCertificate 屬性中硬式編碼的 15 個憑證,以及 目錄擴充 最多 100 個屬性 (每個目錄擴充最多 250 個字元) 的限制。 整個物件具有大小限制。 當 Microsoft Entra Connect 嘗試同步處理超過此物件大小限制的物件時,就會擲回匯出錯誤。
所有屬性都會影響物件的最終大小。 某些屬性會因為額外的處理負荷而有不同的加權乘數。 例如索引值。 此外,您可能會將不同的雲端服務、服務方案和授權指派給帳戶,這樣會取用更多屬性,並影響物件的整體大小。
您無法確切判斷在 Microsoft Entra ID 中屬性可以保存多少個項目,例如,在 proxyAddresses 屬性中可以容納多少個 SMTP 位址。 此數量取決於物件中所填入所有屬性的大小和乘數。
可能的案例
- Bob 的 userCertificate 屬性儲存太多指派給 Bob 的憑證。 這些憑證可能包含較舊且過期的憑證。 固定限制為 15 個憑證。 如需有關如何處理 userCertificate 屬性所引起 LargeObject 錯誤的詳細資訊,請參閱處理 userCertificate 屬性所造成的 LargeObject 錯誤一文。
- Bob 的 userSMIMECertificate 屬性儲存太多指派給 Bob 的憑證。 這些憑證可能包含較舊且過期的憑證。 固定限制為 15 個憑證。
- Active Directory 中為 Bob 設定的 thumbnailPhoto 屬性太大,無法在 Microsoft Entra ID 中同步處理。
- 在 Active Directory 中自動填入 proxyAddresses 屬性期間,一個物件被指派太多 proxyAddresses 屬性。
下列範例示範不同的屬性權數,例如 userCertificate 和 proxyAddresses:
- 任何屬性未填入強制 Active Directory 屬性和郵件的同步處理使用者,最多可以同步至 332 個 Proxy 位址。
- 對於具有 mailNickName 屬性的類似已同步處理使用者,加上 10 個使用者憑證,Proxy 位址的數目上限會減少為 329。
- 例如,如果具有 10 個使用者憑證的類似已同步處理使用者加上所指派的 4 個訂用帳戶 (並且已啟用所有服務方案),則 proxy 位址的數目上限會減少為 311。
- 現在讓我們來看看先前的使用者 (已保存 Proxy 位址的數目上限),並假設您需要多新增一個 SMTP 位址。 若要達到 312 個 Proxy 位址,您需要移除至少三個使用者憑證 (視憑證的大小而定)。
注意
這些數字可能稍有不同。 根據經驗法則,更安全的假設是 proxyAddresses 屬性中的 SMTP 位址限制大約是 300 個位址,以保留空間供物件的未來成長和其所填入的屬性使用。
修正 LargeObject 或 ExceededAllowedLength 錯誤
檢閱使用者屬性,並移除可能不再需要的屬性值。 範例包括已撤銷或過期的憑證,以及過期或不必要的位址,例如 SMTP、X.400、X.500、MSMail 和 CcMail。
現有的系統管理員角色衝突
描述
當使用者物件符合下列條件時,使用者物件在同步處理期間就會發生「現有的系統管理員角色衝突」同步處理錯誤:
- 系統管理權限。
- 與現有 Microsoft Entra 物件相同的 userPrincipalName 屬性。
Microsoft Entra Connect 不允許將內部部署 AD 中的使用者物件與 Microsoft Entra ID 中獲指派系統管理角色的的使用者物件進行大致比對。 如需詳細資訊,請參閱 Microsoft Entra userPrincipalName 填入。
修正「現有的系統管理員角色衝突」錯誤
若要解決此問題:
- 從所有管理員角色中移除 Microsoft Entra 帳戶 (擁有者)。
- 實刪除雲端中的 Quarantined 物件。
- 下一個同步週期會負責將內部部署使用者與雲端帳戶進行大致比對,因為雲端使用者現在不再是混合式身分識別管理員。
- 還原擁有者的角色成員資格。
注意
內部部署使用者物件與現有 Microsoft Entra 使用者物件進行大致比對之後,您可以再次將系統管理角色指派給現有使用者物件。