Sincronizzazione di Microsoft Entra Connect Sync: gestione degli errori LargeObject causati dall'attributo userCertificate
Microsoft Entra ID applica un limite massimo di 15 valori del certificato nell'attributo userCertificate. Se Microsoft Entra Connect esporta un oggetto con più di 15 valori in Microsoft Entra ID, Microsoft Entra ID restituisce un errore LargeObject con il messaggio:
"L'oggetto di cui è stato eseguito il provisioning presenta dimensioni troppo elevate. Ridurre il numero di valori attributo dell'oggetto. L'operazione sarà ritentata durante il successivo ciclo di sincronizzazione...."
L'errore LargeObject può essere causato da altri attributi di AD. Per verificare che sia effettivamente causato dall'attributo userCertificate, è necessario confrontarlo con l'oggetto in AD locale o in Ricerca metaverse di Synchronization Service Manager.
Per ottenere l'elenco di oggetti nel tenant con gli errori LargeObject, usare uno dei metodi seguenti:
Se il tuo tenant è abilitato per la sincronizzazione di Microsoft Entra Connect Health, puoi fare riferimento al Report degli errori di sincronizzazione indicato.
La scheda Synchronization Service Manager Operations mostra l'elenco degli oggetti con gli errori LargeObject se scegli l'esportazione più recente per il funzionamento di Microsoft Entra.
Opzioni di mitigazione
Finché l'errore LargeObject non viene risolto, non è possibile esportare altre modifiche dell'attributo allo stesso oggetto in Microsoft Entra ID. Per risolvere l'errore, è possibile considerare le seguenti opzioni:
Aggiorna Microsoft Entra Connect alla build 1.1.524.0 o successiva. Nella build 1.1.524.0 di Microsoft Entra Connect, le regole di sincronizzazione predefinite sono state aggiornate in modo da non esportare gli attributi userCertificate e userSMIMECertificate se gli attributi hanno più di 15 valori. Per informazioni dettagliate sull’aggiornamento di Microsoft Entra Connect, vedi l'articolo Microsoft Entra Connect: Eseguire l'aggiornamento da una versione precedente alla versione più recente.
Implementa una regola di sincronizzazione in uscita in Microsoft Entra Connect che esporta un valore Null anziché i valori effettivi per gli oggetti con più di 15 valori di certificato. Questa opzione è appropriata se non è necessario esportare uno dei valori del certificato in Microsoft Entra ID per gli oggetti con più di 15 valori. Per informazioni dettagliate su come implementare questa regola di sincronizzazione, fare riferimento alla sezione successiva Implementing sync rule to limit export of userCertificate attribute (Implementare la regola di sincronizzazione per limitare l'esportazione dell'attributo userCertificate).
Ridurre il numero di valori del certificato nell'oggetto AD locale, a 15 o a un numero inferiore, rimuovendo i valori che non sono usati dall'organizzazione. Questa operazione è adeguata se il software boat dell'attributo è dovuto a certificati scaduti o non usati. Puoi usare il cmdlet Remove-ADSyncToolsExpiredCertificates per trovare, eseguire il backup ed eliminare i certificati scaduti nella tua Active Directory locale. Prima di eliminare i certificati, è consigliabile confrontarsi con gli amministratori dell'infrastruttura a chiave pubblica dell'organizzazione.
Configura Microsoft Entra Connect per escludere l'attributo userCertificate dall'esportazione in Microsoft Entra ID. In generale, si sconsiglia questa opzione perché l'attributo potrebbe essere usato da Microsoft Online Services per abilitare scenari specifici. In particolare:
L'attributo userCertificate nell'oggetto Utente viene usato da Exchange Online e dai client di Outlook per la crittografia e la firma dei messaggi. Per altre informazioni su questa funzionalità, vedere l'articolo S/MIME per la crittografia e firma dei messaggi.
L'attributo userCertificate sull'oggetto Computer viene usato da Microsoft Entra ID per consentire ai dispositivi locali aggiunti a un dominio di Windows 10 di connettersi a Microsoft Entra ID. Per saperne di più su questa funzionalità, fai riferimento all'articolo Connettere dispositivi aggiunti a un dominio a Microsoft Entra ID in ambiente Windows 10.
Implementazione della regola di sincronizzazione per limitare l'esportazione dell'attributo userCertificate
Per risolvere l'errore LargeObject causato dall'attributo userCertificate, puoi implementare una regola di sincronizzazione in uscita in Microsoft Entra Connect che esporta un valore null anziché i valori effettivi per gli oggetti con più di 15 valori per certificato. In questa sezione viene descritta la procedura necessaria per implementare la regola di sincronizzazione per l'oggetto Utente. La procedura può essere adattata per gli oggetti Contatto e Computer.
Importante
L'esportazione di un valore null rimuove i valori del certificato esportati precedentemente in modo corretto in Microsoft Entra ID.
La procedura può essere riepilogata nel modo seguente:
- Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non ci sia alcuna sincronizzazione in corso.
- Trovare la regola di sincronizzazione in uscita esistente per l'attributo userCertificate.
- Creare la regola di sincronizzazione in uscita necessaria.
- Verificare la nuova regola di sincronizzazione in un oggetto esistente con errore LargeObject.
- Applicare la nuova regola di sincronizzazione agli oggetti restanti con errore LargeObject.
- Verifica che non siano presenti modifiche impreviste in attesa di esportazione in Microsoft Entra ID.
- Esportare le modifiche in Microsoft Entra ID.
- Riattivare l'utilità di pianificazione della sincronizzazione.
Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non ci sia alcuna sincronizzazione in corso
Verifica che non venga eseguita alcuna sincronizzazione durante l'implementazione di una nuova regola di sincronizzazione per evitare l'esportazione di modifiche accidentali in Microsoft Entra ID. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:
Avvia una sessione di PowerShell nel server di Microsoft Entra Connect.
Disabilitare la sincronizzazione pianificata eseguendo di cmdlet:
Set-ADSyncScheduler -SyncCycleEnabled $false
Nota
I passaggi precedenti sono applicabili solo alle versioni più recenti (1.1.xxx.x) di Microsoft Entra Connect con l'utilità di pianificazione integrata. Se stai usando versioni precedenti (1.0.xxx.x) di Microsoft Entra Connect che usano il servizio Utilità di pianificazione di Windows o se stai usando l'utilità di pianificazione personalizzata (non comune) per attivare la sincronizzazione periodica, devi disabilitarle di conseguenza.
Avviare Synchronization Service Manager passando ad AVVIA → Servizio di sincronizzazione.
Andare nella scheda Operazioni e verificare che nessuna operazione presenti lo stato "in corso".
Passaggio 2: trova la regola di sincronizzazione in uscita esistente per l'attributo userCertificate
Una regola di sincronizzazione esistente dovrebbe essere abilitata e configurata per l'esportazione dell'attributo userCertificate per gli oggetti Utente in Microsoft Entra ID. Individuare questa regola di sincronizzazione per scoprirne la configurazione precedente e il filtro ambito:
Avviare l'editor per le regole di sincronizzazione passando ad AVVIA → Synchronization Rules Editor (Editor per le regole di sincronizzazione).
Configurare i filtri della ricerca con i valori seguenti:
Attributo valore Direzione In uscita MV Object Type Persona Connector Nomina il tuo connettore Microsoft Entra Connector Object Type user MV attribute userCertificate Se stai usando le regole di sincronizzazione predefinite (out-of-box OOB) nel connettore Microsoft Entra per esportare l'attributo userCertificate per gli oggetti Utente, dovresti ritornare alla regola "Out to Microsoft Entra ID – User ExchangeOnline".
Annotare il valore precedence della regola di sincronizzazione.
Selezionare la regola di sincronizzazione e fare clic su Modifica.
Nel finestra di dialogo popup "Edit Reserved Rule Confirmation" (Modifica la conferma di regola riservata) fare clic su No. Non apportata alcuna modifica a questa regola di sincronizzazione.
Nella schermata di modifica, selezionare la scheda Scoping filter (Filtro ambito).
Annotare la configurazione del filtro ambito. Se si usa la regola di sincronizzazione predefinita, devono essere presenti esattamente un gruppo di filtri ambito contenente due clausole, tra cui:
Attributo Operatore Valore sourceObjectType EQUAL User cloudMastered NOTEQUAL Vero
Passaggio 3: crea la regola di sincronizzazione in uscita necessaria
La nuova regola di sincronizzazione deve avere lo stesso filtro ambito e la stessa priorità elevata della regola di sincronizzazione esistente. Ciò garantisce che la nuova regola di sincronizzazione si applichi allo stesso set di oggetti della regola di sincronizzazione esistente e sostituisca la regola di sincronizzazione esistente per l'attributo userCertificate. Per creare la regola di sincronizzazione:
Nell'editor per le regole di sincronizzazione, fare clic sul pulsante Aggiungi nuova regola.
Nella scheda Descrizione, inserire la configurazione seguente:
Attributo valore Details Nome Specificare un nome Ad esempio "Out to Microsoft Entra ID - Esegue l'override personalizzato per userCertificate” Descrizione Inserire una descrizione Ad esempio "Se l'attributo userCertificate contiene più di 15 valori, esportare NULL". Connected System Seleziona il connettore Microsoft Entra Connected System Object Type user Metaverse Object Type person Tipo di collegamento Join. Precedenza Scegliere un numero compreso tra 1 e 99 Il numero scelto non deve essere usato da una regola di sincronizzazione esistente e deve avere un valore inferiore, e pertanto priorità più alta, rispetto alla regola di sincronizzazione esistente. Andare nella scheda Filtro ambito e implementare lo stesso filtro ambito che usa la regola di sincronizzazione esistente.
Ignora la scheda Join rules (Regole di unione).
Andare nella scheda Trasformazioni per aggiungere una nuova trasformazione tramite la configurazione seguente:
Attributo valore Tipo di flusso Expression Target Attribute userCertificate Attributo di origine usare l'espressione seguente: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))
Per creare la regola di sincronizzazione, fare clic sul pulsante Aggiungi.
Passaggio 4: verifica la nuova regola di sincronizzazione in un oggetto esistente con errore LargeObject
Si tratta di verificare che la regola di sincronizzazione creata funzioni correttamente in un oggetto di AD esistente con errore LargeObject prima di applicarla ad altri oggetti:
- Passare alla scheda Operazioni in Synchronization Service Manager.
- Seleziona l'operazione di esportazione più recente in Microsoft Entra e clicca su uno degli oggetti con errori LargeObject.
- Nella schermata di popup Connector Space Object Properties (Proprietà dell'oggetto spazio connettore) fare clic sul pulsante Anteprima.
- Nella schermata di popup Anteprima selezionare Sincronizzazione completa e fare clic su Anteprima commit.
- Chiudere la schermata Anteprima e la schermata Connector Space Object Properties (Proprietà dell'oggetto spazio connettore).
- Passare alla scheda Connettori in Synchronization Service Manager.
- Clicca con il pulsante destro del mouse sul connettore Microsoft Entra ID e seleziona Esegui...
- Nella finestra popup Run Connector (Esegui connettore) selezionare il passaggio Esporta e fare clic su OK.
- Attendi il completamento dell'esportazione in Microsoft Entra ID e conferma che non siano presenti altri errori LargeObject in questo oggetto specifico.
Passaggio 5: applica la nuova regola di sincronizzazione agli oggetti restanti con errore LargeObject
Dopo aver aggiunto la regola di sincronizzazione, è necessario eseguire un passaggio di sincronizzazione completa per il connettore AD:
- Passare alla scheda Connettori in Synchronization Service Manager.
- Fare clic con il tasto destro del mouse sul connettore AD e selezionare Esegui...
- Nella finestra popup Run Connector (Esegui connettore) selezionare il passaggio Sincronizzazione completa e fare clic su OK.
- Attendere il completamento del passaggio Sincronizzazione completa.
- Ripetere i passaggi precedenti per i connettori AD restanti se si dispone di più connettori AD. In genere, sono necessari più connettori se si dispone di più directory locali.
Passaggio 6: verifica che non siano presenti modifiche impreviste in attesa di esportazione in Microsoft Entra ID
- Passare alla scheda Connettori in Synchronization Service Manager.
- Clicca con il pulsante destro del mouse sul connettore Microsoft Entra ID e seleziona Cerca spazio connettore.
- Nella finestra popup Search Connector Space (Spazio connettore di ricerca):
- Impostare Ambito su Pending Export (Esportazione in sospeso).
- Selezionare tutte e 3 le caselle di controllo, tra cui Aggiungi, Modifica ed Elimina.
- Clicca sul pulsante Cerca per restituire tutti gli oggetti con modifiche in attesa di essere esportati in Microsoft Entra ID.
- Verificare che non siano presenti modifiche impreviste. Per esaminare le modifiche per un determinato oggetto, fare doppio clic sull'oggetto.
Passaggio 7: esporta le modifiche in Microsoft Entra ID
Per esportare le modifiche in Microsoft Entra ID:
- Passare alla scheda Connettori in Synchronization Service Manager.
- Clicca con il pulsante destro del mouse sul connettore Microsoft Entra ID e seleziona Esegui...
- Nella finestra popup Run Connector (Esegui connettore) selezionare il passaggio Esporta e fare clic su OK.
- Attendi il completamento dell'esportazione in Microsoft Entra ID e conferma che non siano presenti altri errori LargeObject.
Passaggio 8: Riattiva l'utilità di pianificazione della sincronizzazione
Dopo aver risolto il problema, abilitare nuovamente l'utilità di pianificazione della sincronizzazione predefinita:
- Avviare una sessione di PowerShell.
- Riabilitare la sincronizzazione pianificata eseguendo di cmdlet:
Set-ADSyncScheduler -SyncCycleEnabled $true
Nota
I passaggi precedenti sono applicabili solo alle versioni più recenti (1.1.xxx.x) di Microsoft Entra Connect con l'utilità di pianificazione integrata. Se stai usando versioni precedenti (1.0.xxx.x) di Microsoft Entra Connect che usano il servizio Utilità di pianificazione di Windows o se stai usando l'utilità di pianificazione personalizzata (non comune) per attivare la sincronizzazione periodica, devi disabilitarle di conseguenza.
Passaggi successivi
Scopri di più su Integrazione delle tue identità locali con Microsoft Entra ID.