Поделиться через

Понимание ошибок при синхронизации Microsoft Entra

  • Статья

Ошибки могут возникать при синхронизации данных удостоверений из Windows Server Active Directory с идентификатором Microsoft Entra. В этой статье приведены общие сведения о различных типах ошибок синхронизации, некоторые возможные сценарии возникновения этих ошибок, а также возможные способы их устранения. Здесь содержатся сведения о распространенных типах ошибок, возможно, рассматриваются не все возможные ошибки.

В этой статье предполагается, что вы знакомы с основными понятиями проектирования идентификатора Microsoft Entra и Microsoft Entra Connect.

Внимание

В этой статье предпринимается попытка рассмотреть наиболее распространенные ошибки синхронизации. К сожалению, покрытие каждого сценария в одном документе невозможно. Дополнительные сведения, включая подробные действия по устранению неполадок, см. в разделе "Комплексное устранение неполадок объектов и атрибутов Microsoft Entra Connect" и в разделе "Подготовка пользователей и Синхронизация" в документации по устранению неполадок Microsoft Entra.

With the latest version of Microsoft Entra Connect (August 2016 or higher), a Synchronization Errors Report is available in the Microsoft Entra admin center as part of Microsoft Entra Connect Health for sync.

Начиная с 1 сентября 2016 г. устойчивость повторяющихся атрибутов идентификатора Microsoft Entra включена по умолчанию для всех новых клиентов Microsoft Entra. Эта функция автоматически включается для существующих клиентов.

Microsoft Entra Connect выполняет три типа операций из каталогов, которые он сохраняет в синхронизации: импорт, синхронизация и экспорт. Ошибки могут возникать во всех трех операциях. В этой статье главное внимание уделяется ошибкам при экспорте в Microsoft Entra ID.

Ошибки при экспорте в Microsoft Entra ID

В следующем разделе описаны различные типы ошибок синхронизации, которые могут возникать во время операции экспорта в идентификатор Microsoft Entra с помощью соединителя Microsoft Entra. Этот соединитель можно определить по имени в формате contoso.onmicrosoft.com. Ошибки во время экспорта в Microsoft Entra ID указывают на сбой операции, например добавления, обновления или удаления, предпринятой Microsoft Entra Connect (подсистемой синхронизации) в Microsoft Entra ID.

Диаграмма, показывающая обзор ошибок при экспорте.

Ошибки несовпадения данных

В этом разделе обсуждаются ошибки несоответствия данных.

InvalidHardMatch

Описание

An InvalidHardMatch error occurs during synchronization when there’s an attempt to hard match objects present in Microsoft Entra ID with a new incoming object that have the same sourceAnchor value, but BlockCloudObjectTakeoverThroughHardMatchEnabled feature is enabled on the tenant.

Example scenarios for an InvalidHardMatch error

  • DirSync is re-enabled on the tenant and objects with the same sourceAnchor are synchronized again, however BlockCloudObjectTakeoverThroughHardMatchEnabled feature is enabled and prevents the hard match to occur.
  • User was excluded from sync scope and restored from Microsoft Entra ID Recycle Bin. Later, the user is re-added to sync scope and tries to take over the object already present in Microsoft Entra ID based on the same sourceAnchor value, however BlockCloudObjectTakeoverThroughHardMatchEnabled feature is enabled and prevents the hard match from occurring.

Пример случая

  1. Bob Smith is a synced user in Microsoft Entra ID from the on-premises Active Directory of contoso.com.
  2. By default, the SourceAnchor value of "abcdefghijklmnopqrstuv==" is calculated by Microsoft Entra Connect by using Bob Smith's MsDs-ConsistencyGUID attribute (or ObjectGUID depending on the configuration) from on-premises Active Directory. Это значение атрибута — immutableId для Боба Смита в Microsoft Entra ID.
  3. Администратор удаляет Боба Смита из области синхронизации, а Microsoft Entra Connect экспортирует удаление объекта.
  4. Объект Боба Смита мягко удаляется в идентификаторе Microsoft Entra ID, а его атрибут DirSyncEnabled становится false. Однако этот процесс не преобразует объект в управляемый облаком, он по-прежнему считается объектом, синхронизированным из локальной службы Active Directory. Параметр DirSyncEnabled имеет значение False, чтобы показать, что он в настоящее время не находится в области синхронизации и доступен для повторного сопоставления.
  5. Администратор повторно добавляет Боба Смита в область синхронизации, а Microsoft Entra Connect повторно синхронизирует объект.
  6. Normally, a hard match takes over the object present in Microsoft Entra ID based on the same SourceAnchor and switches DirSyncEnabled attribute back to 'True’, however, when BlockCloudObjectTakeoverThroughHardMatchEnabled is enabled, this operation isn't allowed and an InvalidHardMatch is thrown.

Fix the InvalidHardMatch error

We advise customers to enable BlockCloudObjectTakeoverThroughHardMatchEnabled unless they need it to take over existent accounts in Microsoft Entra ID.

If you need to clear an InvalidHardMatch error and match the account successfully, you can enable hard match again as described in Hard-match vs Soft-match.

InvalidSoftMatch

Описание

  • Ошибка InvalidSoftMatch возникает, когда жесткое совпадение не находит соответствующий объект и обратимое совпадение находит соответствующий объект, но этот объект имеет значение immutableId, отличное от значения sourceAnchor входящего объекта. Это несоответствие предполагает, что соответствующий объект был синхронизирован из другого объекта из локальной Active Directory.

For the soft match to work, the object to be soft-matched with shouldn't have any value for the immutableId attribute. The operation results in an InvalidSoftMatch synchronization error when the object with the immutableId attribute set with a value, fails the hard match but satisfies the soft match criteria.

В схеме Microsoft Entra запрещено использовать для нескольких объектов одинаковые значения приведенных ниже атрибутов. Этот список не является исчерпывающим.

  • прокси-адреса
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

Microsoft Entra attribute duplicate attribute resiliency is also being rolled out as the default behavior of Microsoft Entra ID. Эта функция уменьшает количество ошибок синхронизации, которые видят Microsoft Entra Connect и другие клиенты синхронизации. Она повышает устойчивость Microsoft Entra в том, как система обрабатывает повторяющиеся атрибуты proxyAddresses и userPrincipalName, присутствующие в локальных средах службы Active Directory.

Эта функция не устраняет ошибки дублирования, поэтому данные все равно необходимо исправить. Но это позволяет подготавливать новые объекты, которые в противном случае заблокированы из-за повторяющихся значений в идентификаторе Microsoft Entra. Эта возможность также уменьшает количество ошибок синхронизации, возвращаемых клиенту синхронизации.

Примечание.

If Microsoft Entra attribute duplicate attribute resiliency is enabled for your tenant, you won't see the InvalidSoftMatch synchronization errors seen during provisioning of new objects.

Example scenarios for an InvalidSoftMatch error

  • В локальном каталоге AD есть несколько объектов с одинаковым значением атрибута proxyAddresses. Only one is getting provisioned in Microsoft Entra ID.
  • В локальном каталоге AD есть несколько объектов с одинаковым значением атрибута userPrincipalName. Only one is getting provisioned in Microsoft Entra ID.
  • Объект был добавлен в локальный Active Directory с тем же значением атрибута proxyAddresses, что и существующий объект в Microsoft Entra ID. The object added on-premises isn't getting provisioned in Microsoft Entra ID.
  • Объект был добавлен в локальную службу Active Directory с тем же значением атрибута userPrincipalName, что и для учетной записи в Microsoft Entra ID. The object isn't getting provisioned in Microsoft Entra ID.
  • Синхронизированная учетная запись была перемещена из леса A в лес B. Microsoft Entra Connect (подсистема синхронизации) использовала атрибут objectGUID для вычисления атрибута sourceAnchor . After the forest move, the value of the sourceAnchor attribute is different. Новый объект из Forest B не может синхронизироваться с существующим объектом в идентификаторе Microsoft Entra.
  • Синхронизированный объект был случайно удален из локального домена Active Directory, а новый объект был создан в Active Directory для той же сущности (например, пользователя) без удаления той же учетной записи в Microsoft Entra ID. Новая учетная запись не синхронизируется с существующим объектом Microsoft Entra.
  • Microsoft Entra Connect был удален и переустановлен. При переустановке вместо атрибута sourceAnchor выбран другой атрибут. Все ранее синхронизированные объекты перестают синхронизироваться с ошибкой InvalidSoftMatch.

Пример случая

  1. Боб Смит является синхронизированным пользователем в Microsoft Entra ID из локальной службы Active Directory contoso.com.
  2. Имя учётной записи пользователя Боба Смита установлено как [email protected].
  3. The sourceAnchor attribute of "abcdefghijklmnopqrstuv==" is calculated by Microsoft Entra Connect by using Bob Smith's objectGUID attribute from on-premises Active Directory. Этот атрибут является атрибутом immutableId для Боба Смита в идентификаторе Microsoft Entra.
  4. Боб также имеет следующие значения для атрибута proxyAddresses :
  5. В локальный Active Directory добавлен новый пользователь, Боб Тейлор.
  6. Имя основной учетной записи пользователя Боба Тейлора установлено как [email protected].
  7. Атрибут sourceAnchor объекта abcdefghijkl0123456789==" вычисляется Microsoft Entra Connect с использованием атрибута objectGUID Боба Тейлора из локальной службы Active Directory.
  8. Боб Тейлор имеет следующие значения для атрибута proxyAddresses :
  9. Во время синхронизации Microsoft Entra Connect распознает добавление Боба Тейлора в локальную службу Active Directory и запрашивает Microsoft Entra ID, чтобы внести тот же самый изменение.
  10. Microsoft Entra first performs a hard match. То есть он выполняет поиск любого объекта с атрибутом immutableId, равным "abcdefghijkl0123456789==". The hard match fails because no other object in Microsoft Entra ID has that immutableId attribute.
  11. Microsoft Entra ID then performs a soft match to find Bob Taylor. То есть он ищет объект с атрибутами proxyAddresses, равными трем значениям, включая SMTP: [email protected].
  12. Microsoft Entra ID finds Bob Smith's object to match the soft-match criteria. Но этот объект имеет значение immutableId = "abcdefghijklmnopqrstuv==", которое указывает, что этот объект был синхронизирован из другого объекта из локального каталога Active Directory. Microsoft Entra ID can't soft match these objects so an InvalidSoftMatch sync error is thrown.

Fix the InvalidSoftMatch error

Наиболее распространенной причиной ошибки InvalidSoftMatch является наличие двух объектов, у которых разные атрибуты sourceAnchor (immutableId), но одинаковое значение для атрибутов proxyAddresses или userPrincipalName, которые используются в процессе soft-match в Microsoft Entra ID. To fix the InvalidSoftMatch error:

  1. Определите повторяющееся значение атрибута proxyAddresses, userPrincipalName или другого атрибута, вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Connect Health для синхронизации , может помочь определить два объекта.
  2. Определите, какой объект должен продолжать иметь дублированное значение и какой объект не должен.
  3. Удалите из объекта повторяющееся значение, если этот объект не должен иметь такое значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если вы внесли изменения в локальная служба Active Directory, позвольте Microsoft Entra Connect синхронизировать изменения.

Отчеты об ошибках синхронизации в Microsoft Entra Connect Health для синхронизации обновляются каждые 30 минут и включают ошибки из последней попытки синхронизации.

Примечание.

По сути атрибут immutableId не должен изменяться в течение времени существования объекта. Возможно, Microsoft Entra Connect не был настроен с учётом некоторых сценариев из предыдущего списка. В этом случае Microsoft Entra Connect может вычислить другое значение атрибута sourceAnchor для объекта Active Directory, представляющего ту же сущность (одного пользователя, группы или контакта), которая имеет существующий объект Microsoft Entra, который вы хотите продолжить использовать.

Связанная статья

Запрет синхронизации службы каталогов в Microsoft 365 из-за повторяющихся или недопустимых атрибутов

НесоответствиеТипаОбъекта

Описание

Если идентификатор Microsoft Entra пытается выполнить мягкое сопоставление двух объектов, возможно, что два объекта разных типов, таких как пользователь, группа или контакт, имеют одинаковые значения атрибутов, используемых для выполнения мягкого сопоставления. Так как дублирование этих атрибутов не разрешено в идентификаторе Microsoft Entra, операция может привести к ошибке синхронизации ObjectTypeMismatch.

Примеры сценариев ошибки ObjectTypeMismatch

В Microsoft 365 создана группа безопасности с поддержкой почты. Администратор добавляет нового пользователя или контакт в локальной службе Active Directory, который еще не синхронизирован с Microsoft Entra ID, но с тем же значением для атрибута proxyAddresses, что и у группы Microsoft 365.

Пример случая

  1. Администратор создал для налогового департамента в Microsoft 365 группу безопасности, поддерживающую почту, а в качестве адреса электронной почты указал [email protected]. Этой группе назначается значение атрибута ProxyAddressesSMTP: [email protected].
  2. На сайт Contoso.com присоединился новый пользователь, и для этого пользователя в локальной системе создается учетная запись с атрибутом proxyAddresses, которому присвоено значение smtp: [email protected].
  3. Когда Microsoft Entra Connect синхронизирует новую учетную запись пользователя, она получает ошибку ObjectTypeMismatch.

Исправьте ошибку ObjectTypeMismatch

Чаще всего причина ошибки ObjectTypeMismatch заключается в наличии двух объектов разных типов (например, пользователь, группа или контакт), у которых одинаковое значение атрибута proxyAddresses. Чтобы устранить ошибку ObjectTypeMismatch:

  1. Определите повторяющееся значение атрибута proxyAddresses (или другого атрибута), вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Connect Health для синхронизации , может помочь определить два объекта.
  2. Определите, какой объект должен продолжать иметь дублированное значение и какой объект не должен.
  3. Удалите из объекта повторяющееся значение, если этот объект не должен иметь такое значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если вы внесли изменения в локальную AD, позвольте Microsoft Entra Connect синхронизировать изменения. Отчет об ошибке синхронизации в Microsoft Entra Connect Health для синхронизации обновляется каждые 30 минут. Отчет содержит ошибки, связанные с последней попыткой синхронизации.

повторяющиеся атрибуты

В этом разделе рассматриваются ошибки повторяющихся атрибутов.

Значение атрибута должно быть уникальным

Описание

В схеме Microsoft Entra запрещено использовать для нескольких объектов одинаковые значения приведенных ниже атрибутов. У каждого объекта в Microsoft Entra ID должно быть уникальное значение для этих атрибутов в любой момент времени.

  • почта
  • прокси-адреса
  • Имя для входа
  • userPrincipalName

Если Microsoft Entra Connect пытается добавить новый объект или обновить указанные выше атрибуты имеющегося объекта, добавив для них значения, назначенные другому объекту в Microsoft Entra ID, то операция завершится ошибкой синхронизации AttributeValueMustBeUnique.

Возможный сценарий

Повторяющееся значение назначено синхронизированному объекту, конфликтующему с другим синхронизированным объектом.

Пример случая

  1. Bob Smith is a synced user in Microsoft Entra ID from the on-premises Active Directory of contoso.com.
  2. Bob Smith's user principal name on-premises is set as [email protected].
  3. Боб также имеет следующие значения для атрибута proxyAddresses :
  4. В локальный Active Directory добавлен новый пользователь, Боб Тейлор.
  5. Имя основной учетной записи пользователя Боба Тейлора установлено как [email protected].
  6. Боб Тейлор имеет следующие значения для атрибута proxyAddresses :
  7. Синхронизация объекта Боба Тейлора с Microsoft Entra ID выполнена успешно.
  8. Администратор решил обновить атрибут proxyAddresses Боба Тейлора со следующим значением:
  9. Microsoft Entra ID выполнит попытку обновить объект Боба Тейлора в Microsoft Entra ID, добавив в него предыдущее значение, но эта операция завершится ошибкой, потому что такое значение proxyAddresses уже назначено Бобу Смиту. В результате отобразится ошибка AttributeValueMustBeUnique.

Fix the AttributeValueMustBeUnique error

Чаще всего причина ошибки AttributeValueMustBeUnique заключается в наличии двух объектов с разными атрибутами sourceAnchor (immutableId), но одинаковым значением атрибутов proxyAddresses или userPrincipalName. Чтобы исправить ошибку AttributeValueMustBeUnique:

  1. Определите повторяющееся значение атрибута proxyAddresses, userPrincipalName или другого атрибута, вызвавшее ошибку. Кроме того, определите два или несколько объектов, участвующих в конфликте. Отчет, созданный Microsoft Entra Connect Health для синхронизации , может помочь определить два объекта.
  2. Определите, какой объект должен продолжать иметь дублированное значение и какой объект не должен.
  3. Удалите из объекта повторяющееся значение, если этот объект не должен иметь такое значение. Эти изменения необходимо вносить в каталоге, из которого происходит объект. В некоторых случаях может потребоваться удалить один из объектов, участвующих в конфликте.
  4. Если изменения внесены в локальном каталоге Active Directory, выполните их синхронизацию c Microsoft Entra Connect. Это позволит устранить ошибку.

Связанная статья

Запрет синхронизации службы каталогов в Microsoft 365 из-за повторяющихся или недопустимых атрибутов

Сбой проверки данных

В этом разделе рассматриваются ошибки проверки данных.

Ошибка проверки данных удостоверения личности

Описание

Перед записью данных в каталог Microsoft Entra ID применяет к ним разные ограничения. Эти ограничения позволяют конечным пользователям получить наилучший интерфейс при использовании приложений, которые зависят от этих данных.

Сценарии

  • Значение атрибута userPrincipalName содержит недопустимые или неподдерживаемые символы.
  • Атрибут userPrincipalName не соответствует требуемому формату.

Результатом выполнения приведенных выше сценариев является ошибка IdentityDataValidationFailed.

Fix the IdentityDataValidationFailed error

Убедитесь, что для значения атрибута userPrincipalName указаны поддерживаемые символы и значение соответствует требуемому формату.

Связанная статья

Подготовка к обеспечению пользователей через синхронизацию каталогов с Microsoft 365

Deletion access violation and password access violation errors

Идентификатор Microsoft Entra защищает облачные объекты от обновления с помощью Microsoft Entra Connect. Хотя невозможно обновить эти объекты с помощью Microsoft Entra Connect, вызовы можно выполнять непосредственно в серверной части Microsoft Entra, чтобы попытаться изменить объекты только в облаке. При этом могут возвращаться следующие ошибки:

  • Эта операция синхронизации ("Удалить") недопустима. Обратитесь в службу технической поддержки (тип ошибки 114).
  • Не удалось обработать это обновление, так как в текущий запрос включено обновление учетных данных одного или нескольких пользователей только для облака.
  • Удаление объекта только для облака не поддерживается. Обратитесь в службу поддержки пользователей Майкрософт.
  • Невозможно выполнить запрос на изменение пароля, так как он содержит изменения в одном или нескольких облачных пользовательских объектах, которые не поддерживаются. Обратитесь в службу поддержки пользователей Майкрософт.

Разрешение проблемы удаления только облачных объектов невозможно (тип ошибки 114)

В этом разделе рассматриваются потенциальные причины и решения для устранения ошибки DeleteCloudOnlyObjectNotAllowed (тип ошибки 114).

Корпорация Майкрософт рекомендует организациям постоянно назначать роль глобального администратора двум учетным записям экстренного доступа, предназначенным исключительно для облака. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничены сценариями аварийного доступа или экстренных ситуаций, когда обычные учетные записи не могут быть использованы, или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями по созданию учетных записей аварийного доступа.

Описание

Это сценарий, когда клиент хочет перейти из гибридной среды в облако. Администратор инициирует вызов Microsoft Entra Connect при попытке переместить пользователей за пределы области действия, но Microsoft Entra Connect возвращает ошибку DeletingCloudOnlyObjectNotAllowed (или тип ошибки 114): "Эта операция синхронизации, удаление, не является допустимой." Обратитесь в службу технической поддержки".

Возможные причины этой ошибки:

  • The call from Microsoft Entra Connect has no UPN, a new or unique GUID, or other required information.
  • Microsoft Entra Connect пытается экспортировать данные, но параметр DirSyncEnabled установлен в значение False.
  • Microsoft Entra Connect пытается удалить восстановленного пользователя или другого объекта. Обычно это связано с тем, что пользователь или другая ссылка на объекты была перемещена из области синхронизации или в контейнер Lost &Found.

Возможные сценарии

Клиент Microsoft Entra Connect не удаляет пользователей во время миграции из гибридной среды в облако, что приводит к ошибке типа 114.

Возможные причины, по которым пользователей нельзя удалить:

  • Правило, созданное клиентом для вывода пользователей за рамки, основано на атрибуте Admin.
  • Тип ошибки 114 возвращается во время операции синхронизации (синхронизации Azure AD), что приводит к сбою удаления пользователей.
  • Synchronization fails for specific features, resulting in users not being deleted accordingly.

Пример ошибки

Пример ошибки экспорта:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Исправление ошибки

Для разрешения этой проблемы:

  1. Определите ссылку на объект проблемы.
  2. Используйте PowerShell для обратимого удаления облачной учетной записи:
  3. Выполните Start-ADSyncSyncCycle -PolicyType Delta команду, которая должна успешно импортировать удаление учетной записи.
  4. Убедитесь, что удаление выполнено успешно.
  5. Restore the user from the Recycle Bin.
  6. Запустите Start-ADSyncSyncCycle -PolicyType Delta на сервере, чтобы убедиться, что ошибка не возникает снова.

Предупреждение

Если пользователь исключен из области синхронизации, объект становится обратимо удаленным в идентификаторе Microsoft Entra, а его атрибут DirSyncEnabled переключится на False. Однако этот процесс не преобразует объект в управляемый облаком, так как он по-прежнему содержит атрибуты и значения, синхронизированные из локальной Active Directory, которыми нельзя управлять в облаке. Параметр DirSyncEnabled имеет значение False, чтобы показать, что он в настоящее время не находится в области синхронизации и доступен для повторного сопоставления.

БольшойОбъект или ПревышенаДопустимаяДлина

В этом разделе обсуждаются ошибки LargeObject или ExceededAllowedLength.

Описание

Если атрибут превышает допустимое ограничение размера, ограничение длины или ограничение количества, заданное схемой Microsoft Entra, операция синхронизации приводит к ошибке синхронизации LargeObject или ExceededAllowedLength. Как правило, эта ошибка возникает со следующими атрибутами:

  • Пользовательский сертификат
  • userSMIMECertificate
  • thumbnailPhoto
  • прокси-адреса

Идентификатор Microsoft Entra ID не накладывает ограничения для каждого атрибута, за исключением жестко заданного ограничения в 15 сертификатов в атрибуте userCertificate и до 100 атрибутов для расширений каталогов с максимумом 250 символов для каждого расширения каталога. Существует ограничение на размер для целого объекта. Если Microsoft Entra Connect попытается синхронизировать объект с превышением ограничения на размер объекта, возникнет ошибка экспорта.

Все атрибуты вносят вклад в окончательный размер объекта. Некоторые атрибуты имеют разные множители из-за дополнительных затрат на обработку. Примером являются индексированные значения. Кроме того, учетной записи могут быть назначены разные облачные службы, планы служб и лицензии, которые используют еще больше атрибутов, увеличивающих общий размер объекта.

Невозможно определить, сколько записей атрибут может храниться в идентификаторе Microsoft Entra, например сколько SMTP-адресов может быть в атрибуте proxyAddresses . Объем зависит от размера и коэффициентов умножения всех атрибутов в объекте.

Возможные сценарии

  • Атрибут userCertificate хранит слишком много сертификатов, назначенных Бобу. В их числе могут быть старые и устаревшие сертификаты. Жесткий предел — 15 сертификатов. Дополнительные сведения о том, как обрабатывать ошибки LargeObject с атрибутом userCertificate, см. в статье Обработка ошибок LargeObject, вызванных атрибутом userCertificate.
  • Атрибут userSMIMECertificate хранит слишком много сертификатов, назначенных Бобу. В их числе могут быть старые и устаревшие сертификаты. Жесткий предел — 15 сертификатов.
  • Атрибут Bob `thumbnailPhoto`, установленный в Active Directory, слишком велик для синхронизации в Microsoft Entra ID.
  • При автоматическом заполнении атрибута proxyAddresses в Active Directory объекту назначено слишком много атрибутов proxyAddresses.

Ниже приведены примеры, которые демонстрируют разный вес атрибутов, например UserCertificate и ProxyAddresses:

  • Синхронизированный пользователь, который не имеет внесенных атрибутов, кроме обязательных атрибутов Active Directory и почты, может синхронизировать до 332 прокси-адресов.
  • Аналогичный синхронизированный пользователь с атрибутом mailNickname и 10 сертификатами пользователей может синхронизировать не более 329 прокси-адресов.
  • Для аналогичного синхронизированного пользователя с 10 сертификатами пользователей и 4 назначенными подписками (со всеми включенными планами служб) максимальное число прокси-адресов уменьшается до 311.
  • Теперь рассмотрим предыдущего пользователя, который уже имеет максимальное количество прокси-адресов, и предположим, что нужно добавить еще один SMTP-адрес. Чтобы число прокси-адресов равнялось 312, необходимо удалить хотя бы три сертификата пользователя (в зависимости от размера сертификата).

Примечание.

Эти значения могут немного отличаться. Как правило, надежнее предположить, что лимит SMTP-адресов в атрибуте ProxyAddresses приблизительно равен 300. Это позволит в будущем увеличить размер объекта и количество заполненных атрибутов.

Fix the LargeObject or ExceededAllowedLength error

Проверьте свойства пользователя и удалите значения атрибутов, которые больше не нужны. Например, отозванные или просроченные сертификаты, а также устаревшие или ненужные адреса, такие как SMTP, X.400, X.500, MSMail и CcMail.

Existing Admin Role Conflict

Описание

An Existing Admin Role Conflict sync error occurs on a user object during synchronization when that user object has:

  • Разрешения администратора.
  • Тот же атрибут userPrincipalName , что и существующий объект Microsoft Entra.

Microsoft Entra Connect не допускает мягкого сопоставления пользовательского объекта из локальной AD с объектом пользователя в идентификаторе Microsoft Entra ID, которому назначена административная роль. For more information, see Microsoft Entra userPrincipalName population.

Screenshot that shows the number of Existing Admin Role Conflict sync errors.

Исправьте ошибку "Конфликт существующей роли администратора"

Для разрешения этой проблемы:

  1. Удалите учетную запись Microsoft Entra (владелец) из всех ролей администратора.
  2. Hard delete the quarantined object in the cloud.
  3. The next sync cycle will take care of soft-matching the on-premises user to the cloud account because the cloud user is now no longer a Hybrid Identity Administrator.
  4. Restore the role memberships for the owner.

Примечание.

Можно снова назначить административную роль существующему объекту пользователя после завершения мягкого сопоставления между локальным объектом пользователя и объектом пользователя Microsoft Entra.