Condividi tramite


Informazioni sugli errori durante la sincronizzazione di Microsoft Entra

Gli errori possono verificarsi quando i dati di identità vengono sincronizzati da Windows Server Active Directory a Microsoft Entra ID. L'articolo offre una panoramica delle diverse tipologie di errori di sincronizzazione, di alcuni scenari possibili che causano tali errori, e delle possibili soluzioni per correggere questi errori. Questo articolo include tipi di errore comuni e potrebbe non coprire tutti quelli possibili.

Questo articolo presuppone che si abbia familiarità con i sottostanti concetti di progettazione di Microsoft Entra ID e Microsoft Entra Connect.

Importante

Questo articolo tenta di risolvere gli errori di sincronizzazione più frequenti. Sfortunatamente, è impossibile coprire tutti gli scenari in un documento. Per altre informazioni, inclusi i passaggi approfonditi per la risoluzione dei problemi, vedere Risoluzione dei problemi end-to-end di oggetti e attributi di Microsoft Entra Connect e la sezione Provisioning e sincronizzazione dell’utente nella documentazione sulla risoluzione dei problemi di Microsoft Entra.

Con la versione più recente di Microsoft Entra Connect (agosto 2016 o versione successiva) in Interfaccia di amministrazione di Microsoft Entra Connect è disponibile un report degli errori di sincronizzazione come parte di Microsoft Entra Connect Health per la sincronizzazione.

A partire dal 1° settembre 2016, la resilienza degli attributi duplicati di Microsoft Entra ID è abilitata per impostazione predefinita per tutti i nuovi tenant di Microsoft Entra. Questa funzionalità viene abilitata automaticamente per i tenant esistenti.

Microsoft Entra Connect esegue tre tipi di operazioni dalle directory che mantiene sincronizzate: Importazione, sincronizzazione ed esportazione. Gli errori possono verificarsi per tutte le tre operazioni. Questo articolo è incentrato principalmente sugli errori durante l'esportazione in Microsoft Entra ID.

Errori durante l'esportazione in Microsoft Entra ID

La sezione seguente descrive i diversi tipi di errori di sincronizzazione che possono verificarsi durante l'operazione di esportazione in Microsoft Entra ID tramite il connettore Microsoft Entra. Questo connettore è identificabile in base al formato nome contoso.onmicrosoft.com. Gli errori durante l'esportazione in Microsoft Entra ID indicano l’esito negativo di operazioni quali l'aggiunta, l'aggiornamento o l'eliminazione tentate da Microsoft Entra Connect (motore di sincronizzazione) in Microsoft Entra ID.

Diagramma che mostra la panoramica degli errori di esportazione.

Errori di mancata corrispondenza dei dati

Questa sezione esamina gli errori di mancata corrispondenza dei dati.

InvalidHardMatch

Descrizione

Si verifica un errore InvalidHardMatch durante la sincronizzazione quando vi è il tentativo di trovare una corrispondenza rigida degli oggetti presenti in Microsoft Entra ID con un nuovo oggetto in ingresso con lo stesso valore sourceAnchor, ma la funzionalità BlockCloudObjectTakeoverThroughHardMatchEnabled è abilitata nel tenant.

Scenari di esempio per un errore InvalidHardMatch

  • DirSync è riabilitato nel tenant e gli oggetti con stesso sourceAnchor vengono sincronizzati di nuovo. Tuttavia la funzionalità BlockCloudObjectTakeoverThroughHardMatchEnabled è abilitata e impedisce la corrispondenza rigida.
  • L'utente è stato escluso dall'ambito di sincronizzazione e ripristinato dal Cestino di Microsoft Entra ID. Successivamente, l'utente viene aggiunto di nuovo all'ambito di sincronizzazione e tenta di acquisire l'oggetto già presente in Microsoft Entra ID in base allo stesso valore sourceAnchor, ma è abilitata la funzionalità BlockCloudObjectTakeoverThroughHardMatchEnabled e impedisce la corrispondenza rigida.

Caso di esempio

  1. Bob Smith è un utente sincronizzato in Microsoft Entra ID da un'Active Directory locale di contoso.com.
  2. Per impostazione predefinita, il valore SourceAnchor di "abcdefghijklmnopqrstuv==" viene calcolato da Microsoft Entra Connect usando l'attributo MsDs-ConsistencyGUID di Bob Smith (o ObjectGUID a seconda della configurazione) da Active Directory locale. Questo valore dell'attributo è il valore immutableId per Bob Smith in Microsoft Entra ID.
  3. L'amministratore rimuove Bob Smith dall'ambito di sincronizzazione e Microsoft Entra Connect esporta un'eliminazione dell'oggetto.
  4. L'oggetto di Bob Smith viene eliminato temporaneamente in Microsoft Entra ID e il suo attributo DirSyncEnabled viene impostato su Falso. Questo processo, tuttavia, non converte l'oggetto in cloud gestito: viene comunque considerato un oggetto sincronizzato da Active Directory locale. Il valore DirSyncEnabled è Falso per indicare che è attualmente fuori ambito di sincronizzazione ed è di nuovo disponibile per la corrispondenza.
  5. L'amministratore aggiunge nuovamente Bob Smith nell'ambito di sincronizzazione e Microsoft Entra Connect risincronizza l'oggetto.
  6. In genere, una corrispondenza rigida acquisisce l'oggetto presente in Microsoft Entra ID basato sullo stesso attributo SourceAnchor e commuta di nuovo l'attributo DirSyncEnabled su "True". Tuttavia, quando è abilitato BlockCloudObjectTakeoverThroughHardMatchEnabled, questa operazione non è consentita e viene generata un'eccezione InvalidHardMatch.

Correggere l'errore InvalidHardMatch

È consigliabile consentire ai clienti di abilitare BlockCloudObjectTakeoverThroughHardMatchEnabled, a meno che non sia necessario acquisire account esistenti in Microsoft Entra ID.

Se occorre cancellare un errore InvalidHardtMatch e trovare una corrispondenza corretta con l'account, è possibile abilitare di nuovo la corrispondenza rigida, come descritto in Corrispondenza rigida rispetto a corrispondenza flessibile.

InvalidSoftMatch

Descrizione

  • L'errore InvalidSoftMatch si verifica quando la corrispondenza rigida non trova alcun oggetto corrispondente e la corrispondenza flessibile trova un oggetto corrispondente, ma questo ha un valore immutableId diverso rispetto all'oggetto sourceAnchor dell'oggetto in ingresso. Questa mancata corrispondenza suggerisce che l'oggetto corrispondente è stato sincronizzato da un altro oggetto da Active Directory locale.

Per il funzionamento della corrispondenza flessibile, l'oggetto per cui deve essere eseguita non deve avere alcun valore per l'attributo immutableId. L'operazione genera un errore di sincronizzazione InvalidSoftMatch quando l'oggetto con l'attributo immutableId impostato con un valore restituisce errore per la corrispondenza rigida ma soddisfa i criteri di corrispondenza flessibile.

Lo schema di Microsoft Entra non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti. Questo elenco non è esaustivo:

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

la capacità di resilienza degli attributi duplicati di Microsoft Entra viene implementata anche come comportamento predefinito in Microsoft Entra ID. Questa funzionalità riduce il numero di errori di sincronizzazione rilevati da Microsoft Entra Connect e da altri client di sincronizzazione. Questo rende Microsoft Entra più resiliente in termini di gestione degli attributi proxyAddresses e userPrincipalName duplicati presenti negli ambienti Active Directory locali.

Questa funzionalità non corregge gli errori di duplicazione e quindi i dati devono comunque essere corretti. Tuttavia consente il provisioning di nuovi oggetti per i quali è comunque bloccato il provisioning a causa dei valori duplicati in Microsoft Entra ID. Questa funzionalità riduce anche il numero di errori di sincronizzazione restituiti al client di sincronizzazione.

Nota

Se la resilienza dell'attributo duplicato di Microsoft Entra è abilitata per il tenant, non saranno disponibili gli errori di sincronizzazione InvalidSoftMatch visualizzati durante il provisioning di nuovi oggetti.

Scenari di esempio per l’errore InvalidSoftMatch

  • Due o più oggetti con lo stesso valore per l'attributo proxyAddresses esistono in Active Directory locale. Ne viene effettuato il provisioning solo in Microsoft Entra ID.
  • Due o più oggetti con lo stesso valore per l'attributo userPrincipalName esistono in Active Directory locale. Ne viene effettuato il provisioning solo in Microsoft Entra ID.
  • Un oggetto è stato aggiunto in Active Directory locale con lo stesso valore per l'attributo proxyAddresses di un oggetto esistente in Microsoft Entra ID. Il provisioning dell l'oggetto aggiunto in locale non viene eseguito in Microsoft Entra ID.
  • Un oggetto è stato aggiunto in Active Directory locale con lo stesso valore per l'attributo userPrincipalName di quello di un account in Microsoft Entra ID. Il provisioning dell'oggetto non viene eseguito in Microsoft Entra ID.
  • Un account sincronizzato è stato spostato dalla foresta A alla foresta B. Microsoft Entra Connect (motore di sincronizzazione) usava l'attributo objectGUID per calcolare l'attributo sourceAnchor. Dopo lo spostamento della foresta, il valore dell'attributo sourceAnchor è diverso. Il nuovo oggetto della foresta B non riesce a eseguire la sincronizzazione con l'oggetto esistente in Microsoft Entra ID.
  • Un oggetto sincronizzato è stato eliminato accidentalmente da Active Directory locale e un nuovo oggetto è stato creato in Active Directory per la stessa entità (ad esempio utente) senza eliminare l'account in Microsoft Entra ID. Il nuovo account non viene sincronizzato con l'oggetto Microsoft Entra esistente.
  • Microsoft Entra Connect è stato disinstallato e reinstallato. Durante la reinstallazione, per sourceAnchor è stato scelto un attributo diverso. Tutti gli oggetti sincronizzati in precedenza interrompono la sincronizzazione con l'errore InvalidSoftMatch.

Caso di esempio

  1. Bob Smith è un utente sincronizzato in Microsoft Entra ID dalla Active Directory locale di contoso.com.
  2. Il nome dell'entità utente di Bob Smith è impostato come bobs@contoso.com.
  3. L'attributo sourceAnchor di "abcdefghijklmnopqrstuv==" viene calcolato da Microsoft Entra Connect usando l'attributo objectGUID di Bob Smith dalla Active Directory locale. Questo è l'attributo immutableId per Bob Smith in Microsoft Entra ID.
  4. Bob dispone anche dei seguenti valori per l'attributo proxyAddresses:
    • SMTP: bobs@contoso.com
    • SMTP: bob.smith@contoso.com
    • SMTP: bob@contoso.com
  5. Un nuovo utente, Bob Taylor, viene aggiunto ad Active Directory locale.
  6. Il nome utente principale di Bob Taylor viene configurato come bobt@contoso.com.
  7. L'attributo sourceAnchor di "abcdefghijkl0123456789==" viene calcolato da Microsoft Entra Connect usando l'attributo objectGUID di Bob Taylor dalla Active Directory locale.
  8. Per l'attributo proxyAddresses, Bob Taylor dispone dei valori seguenti:
    • SMTP: bobt@contoso.com
    • SMTP: bob.taylor@contoso.com
    • SMTP: bob@contoso.com
  9. Durante la sincronizzazione, Microsoft Entra Connect riconosce l'aggiunta di Bob Taylor in Active Directory locale e chiede a Microsoft Entra ID di apportare la stessa modifica.
  10. Microsoft Entra esegue prima una corrispondenza rigida. In altre parole, cerca qualsiasi oggetto con attributo immutableId uguale a "abcdefghijkl0123456789==". La corrispondenza rigida restituisce esito negativo perché nessun altro oggetto in Microsoft Entra ID ha tale attributo immutableId.
  11. Quindi Microsoft Entra ID esegue una corrispondenza flessibile per trovare Bob Taylor. In altre parole, la ricerca avviene se è presente un oggetto con attributi proxyAddresses uguali ai tre valori, tra cui smtp: bob@contoso.com.
  12. Microsoft Entra ID trova l'oggetto di Bob Smith in modo che corrisponda ai criteri di corrispondenza flessibile. Tuttavia, questo oggetto ha il valore di immutableId = "abcdefghijklmnopqrstuv==", che indica che questo oggetto è stato sincronizzato da un altro oggetto dalla Active Directory locale. Microsoft Entra ID non può eseguire la corrispondenza flessibili per questi oggetti e quindi viene generato un errore di sincronizzazione InvalidSoftMatch.

Correggere l'errore InvalidSoftMatch

L’errore più comune dell'errore InvalidSoftMatch è costituito da due oggetti con attributi sourceAnchor diversi (immutableId) che hanno lo stesso valore per gli attributi proxyAddresses o userPrincipalName, usati durante il processo di corrispondenza flessibile in Microsoft Entra ID. Per correggere l'errore InvalidSoftMatch:

  1. Identificare il valore duplicato degli attributi proxyAddresses, userPrincipalName o un altro valore di attributo che causa l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
  2. Identificare quale oggetto deve continuare ad avere il valore duplicato e quale no.
  3. Rimuovere il valore duplicato dall'oggetto che non deve avere tale valore. Apportare la modifica nella directory da cui l'oggetto è originato. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.
  4. Se la modifica è stata apportata in Active Directory locale, consentire a Microsoft Entra Connect Sync di eseguirla.

Le segnalazioni degli errori di sincronizzazione all'interno di Microsoft Entra Connect Health per la sincronizzazione vengono aggiornate ogni 30 minuti e includono gli errori del tentativo di sincronizzazione più recente.

Nota

L'attributo ImmutableId, per definizione, non deve cambiare nella durata dell'oggetto. Però potrebbe accadere che Microsoft Entra Connect non sia stato configurato per alcuni degli scenari descritti nell'elenco precedente. In tal caso, Microsoft Entra Connect potrebbe calcolare un valore diverso dell'attributo sourceAnchor per l'oggetto Active Directory che rappresenta la stessa entità (stesso utente, gruppo o contatto) che ha un oggetto Microsoft Entra esistente che si desidera continuare a usare.

Articolo correlato

Gli attributi duplicati o non validi impediscono la sincronizzazione delle directory in Microsoft 365

ObjectTypeMismatch

Descrizione

Quando Microsoft Entra ID tenta una corrispondenza flessibile tra due oggetti, è possibile che due oggetti di “tipo oggetto” diversi, ad esempio utente, gruppo o contatto, abbiano gli stessi valori per gli attributi usati per eseguire tale corrispondenza. Poiché la duplicazione di questi attributi non è consentita in Microsoft Entra ID, l'operazione può generare un errore di sincronizzazione ObjectTypeMismatch.

Scenario di esempio per un errore ObjectTypeMismatch

In Microsoft 365 viene creato un gruppo di sicurezza abilitato alla posta elettronica. L'amministratore aggiunge un nuovo utente o contatto in Active Directory locale che non è ancora sincronizzato con Microsoft Entra ID con lo stesso valore per l'attributo proxyAddresses del gruppo Microsoft 365.

Caso di esempio

  1. Un amministratore crea un nuovo gruppo di sicurezza abilitato alla posta elettronica in Microsoft 365 per il reparto addetto alle imposte e fornisce un indirizzo di posta elettronica come tax@contoso.com. A questo gruppo è assegnato il valore dell'attributo proxyAddresses di smtp: tax@contoso.com.
  2. Un nuovo utente entra in Contoso.com, per il quale viene creato un account per l'utente locale con l'attributo proxyAddresses come smtp: tax@contoso.com.
  3. Quando Microsoft Entra Connect sincronizza il nuovo account utente, ottiene l'errore ObjectTypeMismatch.

Correggere l'errore ObjectTypeMismatch

La causa più comune dell'errore ObjectTypeMismatch è che due oggetti di tipo differente, quale utente, gruppo o contatto, hanno lo stesso valore per l'attributo proxyAddresses. Per correggere l'errore ObjectTypeMismatch:

  1. Identificare il valore duplicato dell'attributo proxyAddresses (o altro attributo) che causa l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
  2. Identificare quale oggetto deve continuare ad avere il valore duplicato e quale no.
  3. Rimuovere il valore duplicato dall'oggetto che non deve avere tale valore. Apportare la modifica nella directory da cui l'oggetto è originato. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.
  4. Se è stata apportata la modifica in AD locale, consentire a Microsoft Entra Connect di sincronizzare la modifica. Il report degli errori di sincronizzazione in Microsoft Entra Connect Health per la sincronizzazione viene aggiornato ogni 30 minuti. e include gli errori del tentativo di sincronizzazione più recente.

Attributi duplicati

In questa sezione, vengono illustrati gli errori di attributo duplicati.

AttributeValueMustBeUnique

Descrizione

Lo schema di Microsoft Entra non consente a due o più oggetti di avere lo stesso valore degli attributi seguenti. Ogni oggetto in Microsoft Entra ID è obbligato ad avere un valore univoco di questi attributi a una determinata istanza.

  • mail
  • proxyAddresses
  • signInName
  • userPrincipalName

Se Microsoft Entra Connect tenta di aggiungere un nuovo oggetto o di aggiornare un oggetto esistente con un valore degli attributi indicati sopra che è già stato assegnato a un altro oggetto in Microsoft Entra ID, l'operazione restituisce l'errore di sincronizzazione AttributeValueMustBeUnique.

Scenario possibile

Un valore duplicato viene assegnato a un oggetto già sincronizzato, che entra in conflitto con un altro oggetto sincronizzato.

Caso di esempio

  1. Bob Smith è un utente sincronizzato in Microsoft Entra ID da un'Active Directory locale di contoso.com.
  2. Il nome utente principale di Bob Smith in locale è configurato come bobs@contoso.com.
  3. Bob dispone anche dei seguenti valori per l'attributo proxyAddresses:
    • SMTP: bobs@contoso.com
    • SMTP: bob.smith@contoso.com
    • SMTP: bob@contoso.com
  4. Un nuovo utente, Bob Taylor, viene aggiunto in Active Directory locale.
  5. Il nome utente principale di Bob Taylor viene configurato come bobt@contoso.com.
  6. Per l'attributo proxyAddresses, Bob Taylor dispone dei valori seguenti:
    • SMTP: bobt@contoso.com
    • SMTP: bob.taylor@contoso.com
  7. L'oggetto di Bob Taylor è stato sincronizzato correttamente con l'ID Microsoft Entra.
  8. L'amministratore ha deciso di aggiornare l'attributo proxyAddresses di Bob Taylor con il seguente valore:
    • SMTP: bob@contoso.com
  9. Microsoft Entra ID tenta di aggiornare l'oggetto di Bob Taylor in Microsoft Entra ID con il valore precedente, ma l'operazione non ha esito positivo perché il valore proxyAddresses è già assegnato a Bob Smith. Il risultato è un errore AttributeValueMustBeUnique.

Correggere l'errore AttributeValueMustBeUnique

Il motivo più comune dell'errore AttributeValueMustBeUnique è che due oggetti con attributi sourceAnchor diversi (immutableId) hanno lo stesso valore per gli attributi proxyAddresses o userPrincipalName. Per correggere l'errore AttributeValueMustBeUnique:

  1. Identificare il valore duplicato degli attributi proxyAddresses, userPrincipalName o un altro valore di attributo che causa l'errore. Identificare anche i due o più oggetti coinvolti nel conflitto. Il report generato da Microsoft Entra Connect Health per la sincronizzazione consente di identificare i due oggetti.
  2. Identificare quale oggetto deve continuare ad avere il valore duplicato e quale no.
  3. Rimuovere il valore duplicato dall'oggetto che non deve avere tale valore. Apportare la modifica nella directory da cui l'oggetto è originato. In alcuni casi, potrebbe essere necessario eliminare uno degli oggetti in conflitto.
  4. Se si apporta la modifica nell'Active Directory locale, consentire a Microsoft Entra Connect Sync la modifica per correggere l'errore.

Articolo correlato

Gli attributi duplicati o non validi impediscono la sincronizzazione delle directory in Microsoft 365

Errori di convalida dei dati

Questa sezione esamina gli errori di convalida dei dati.

IdentityDataValidationFailed

Descrizione

Microsoft Entra ID applica varie restrizioni sui dati prima di consentire la scrittura dei dati nella directory. Queste restrizioni assicurano che gli utenti finali possano beneficiare della migliore esperienza possibile durante l'uso delle applicazioni dipendenti da questi dati.

Scenari

  • Il valore dell'attributo userPrincipalName contiene caratteri non validi o non supportati.
  • L'attributo userPrincipalName non segue il formato richiesto.

Il risultato degli scenari precedenti è l’errore IdentityDataValidationFailed.

Correggere l'errore IdentityDataValidationFailed

Assicurarsi che l'attributo userPrincipalName contenga caratteri supportati e rispetti il formato richiesto.

Articolo correlato

Preparare il provisioning degli utenti tramite la sincronizzazione della directory a Microsoft 365

Errori di violazione di accesso per l'eliminazione e di violazione di accesso per le password

Microsoft Entra ID protegge gli oggetti solo cloud dall'aggiornamento tramite Microsoft Entra Connect. Anche se non è possibile aggiornare questi oggetti tramite Microsoft Entra Connect, è possibile effettuare chiamate direttamente al back-end Microsoft Entra per tentare di modificare gli oggetti solo cloud. In questo caso, è possibile che si verifichino gli errori seguenti:

  • Questa operazione di sincronizzazione, Elimina, non è valida. Contattare il team di supporto (tipo di errore 114).
  • Impossibile elaborare questo aggiornamento perché nella richiesta corrente è incluso uno o più aggiornamenti di credenziali degli utenti solo cloud.
  • L'eliminazione di un oggetto solo cloud non è supportata. Contattare l’Assistenza Clienti Microsoft.
  • La richiesta di modifica della password non può essere eseguita perché contiene modifiche per uno o più oggetti utente solo cloud, che non sono supportati. Contattare l’Assistenza Clienti Microsoft.

Risolvere l'eliminazione di DeletingCloudOnlyObjectNotAllowed (tipo di errore 114)

Questa sezione esamina le possibili cause e soluzioni per risolvere l'errore DeletingCloudOnlyObjectNotAllowed (tipo di errore 114).

Microsoft consiglia alle organizzazioni di avere due account di accesso di emergenza solo cloud assegnati in modo permanente al ruolo di amministratore globale. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Gli account sono limitati a scenari di emergenza critici, in cui gli account normali non possono essere usati o tutti gli altri amministratori vengono accidentalmente bloccati. Questi account devono essere creati seguendo le raccomandazioni per l'account di accesso di emergenza.

Descrizione

Si tratta di uno scenario in cui un cliente desidera eseguire la migrazione da ibrido a solo cloud. L'amministratore avvia una chiamata a Microsoft Entra Connect nel tentativo di spostare gli utenti fuori dall’ambito, ma Microsoft Entra Connect restituisce l'errore DeletingCloudOnlyObjectNotAllowed (o Tipo di errore 114): "Questa operazione di sincronizzazione, Elimina, non è valida. Contattare il Team di supporto Microsoft”.

Alcune cause possibili di questo errore sono:

  • La chiamata da Microsoft Entra Connect non ha un UPN, un GUID nuovo o univoco, o altre informazioni necessarie.
  • Microsoft Entra Connect sta tentando di esportare i dati, ma DirSyncEnabled è impostato su Falso.
  • Microsoft Entra Connect sta tentando di eliminare un utente ripristinato o un altro oggetto. Questo in genere è dovuto al fatto che un utente o altro riferimento a un oggetto è stato spostato dall'ambito di sincronizzazione o nel contenitore Lost &Found.

Scenari possibili

Il client Microsoft Entra Connect non riesce a eliminare gli utenti durante la migrazione, solo da ibrido a cloud, con conseguente errore di tipo 114.

I possibili motivi per cui gli utenti non devono essere eliminati sono:

  • La regola creata dal cliente per spostare gli utenti dall'ambito si basa sull'attributo Admin.
  • Il tipo di errore 114 viene restituito durante la sincronizzazione (Azure AD Sync), causando un errore di eliminazione degli utenti.
  • La sincronizzazione non va a buon fine per funzionalità specifiche e la conseguenza è che gli utenti non sono eliminati correttamente.

Esempio di errore

Esempio di errore di esportazione:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

Correggere l'errore

Per risolvere il problema:

  1. Identificare il riferimento oggetto del problema.
  2. Usare PowerShell per eseguire l’eliminazione temporanea dell'account cloud:
  3. Eseguire Start-ADSyncSyncCycle -PolicyType Delta che deve importare correttamente l'eliminazione dell'account.
  4. Confermare che l’eliminazione sia stata completata correttamente.
  5. Ripristinare l'utente dal Cestino.
  6. Eseguire Start-ADSyncSyncCycle -PolicyType Delta nel server per confermare che l'errore non si verifichi di nuovo.

Avviso

Quando un utente viene escluso dall'ambito di sincronizzazione, l'oggetto viene eliminato temporaneamente in Microsoft Entra ID e il suo attributo DirSyncEnabled viene commutato su Falso. Questo processo, tuttavia, non converte l'oggetto nel cloud gestito, perché contiene ancora attributi e valori sincronizzati da Active Directory locale, che non possono essere gestiti nel cloud. Il valore DirSyncEnabled è Falso per indicare che è attualmente fuori ambito di sincronizzazione ed è di nuovo disponibile per la corrispondenza.

LargeObject o ExceededAllowedLength

Questa sezione esamina gli errori LargeObject o ExceededAllowedLength.

Descrizione

Quando un attributo supera i limiti di dimensioni consentite, di lunghezza o di conteggio impostato dallo schema di Microsoft Entra, la sincronizzazione genera un errore di sincronizzazione LargeObject o ExceededAllowedLength. In genere questo errore si verifica per gli attributi seguenti:

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Microsoft Entra ID non impone limiti per attributo, ad eccezione di un limite hardcoded di 15 certificati nell'attributo userCertificate, e fino a 100 attributi per le estensioni della directory con un massimo di 250 caratteri per ciascuna. Esiste un limite di dimensioni per l'intero oggetto. Quando Microsoft Entra Connect tenta di sincronizzare un oggetto che supera questo limite di dimensioni, viene generato un errore di esportazione.

Tutti gli attributi contribuiscono alle dimensioni finali dell'oggetto. Alcuni attributi hanno moltiplicatori di peso diversi a causa di un sovraccarico di elaborazione aggiuntiva. Un esempio è dato dai valori indicizzati. Inoltre, diversi servizi cloud, piani di servizio e licenze potrebbero essere assegnati all'account, usando ancora più attributi e contribuendo alla dimensione complessiva dell'oggetto.

Non è possibile determinare in modo esatto il numero di voci che un attributo può contenere in Microsoft Entra ID, ad esempio quanti indirizzi SMTP possono rientrare nell'attributo proxyAddresses. La quantità dipende dalle dimensioni e dai fattori moltiplicazione di tutti gli attributi popolati nell'oggetto.

Scenari possibili

  • L'attributo userCertificate di Bob archivia troppi certificati assegnati a Bob. alcuni dei quali possono essere scaduti o meno recenti. Il limite rigido consente 15 certificati. Per altre informazioni su come gestire gli errori LargeObject con l'attributo userCertificate, vedere Gestione degli errori LargeObject causati dall'attributo userCertificate.
  • L'attributo userSMIMECertificate di Bob archivia troppi certificati assegnati a Bob. alcuni dei quali possono essere scaduti o meno recenti. Il limite rigido consente 15 certificati.
  • L'attributo thumbnailPhoto di Bob impostato in Active Directory è troppo grande per essere sincronizzato in Microsoft Entra ID.
  • Durante la raccolta automatica dell'attributo proxyAddresses in Active Directory, a un oggetto sono stati assegnati troppi elementi ProxyAddresses.

Gli esempi seguenti mostrano i diversi pesi degli attributi, ad esempio userCertificate e proxyAddresses:

  • Un utente sincronizzato che non dispone di attributi popolati diversi da quelli obbligatori di Active Directory e Mail, potrebbe essere in grado di sincronizzare fino a 332 indirizzi proxy.
  • Per un utente sincronizzato con attributo mailNickName più 10 certificati utente, il numero massimo di indirizzi proxy si riduce a 329.
  • Se un utente sincronizzato simile con 10 certificati utente più, ad esempio, 4 sottoscrizioni assegnate (con tutti i piani di servizio abilitati), il numero massimo di indirizzi proxy si riduce a 311.
  • Si prenda ora l'utente precedente, che contiene già il numero massimo di indirizzi proxy, e si supponga di dover aggiungere un altro indirizzo SMTP. Per ottenere 312 indirizzi proxy, è necessario rimuovere almeno tre certificati utente (a seconda delle dimensioni del certificato).

Nota

Questi numeri possono variare leggermente. Come regola generale, è più sicuro presupporre che il limite di indirizzi SMTP nell'attributo proxyAddresses sia di circa 300 indirizzi, così da lasciare spazio per la futura crescita dell'oggetto e dei relativi attributi popolati.

Correggere l'errore LargeObject o ExceededAllowedLength

Esaminare le proprietà utente e rimuovere i valori degli attributi che potrebbero non essere più necessari. Gli esempi includono certificati revocati o scaduti e gli indirizzi obsoleti o non necessari, ad esempio SMTP, X.400, X.500, MSMail e CcMail.

Conflitto tra ruoli di amministratore esistenti

Descrizione

Si verifica un errore di sincronizzazione dei conflitti del ruolo di amministratore esistente in un oggetto utente durante la sincronizzazione, quando tale oggetto ha:

  • Autorizzazioni amministrative.
  • Lo stesso attributo userPrincipalName di un oggetto Microsoft Entra esistente.

Microsoft Entra Connect non è autorizzato a stabilire una corrispondenza flessibile con un oggetto utente da AD locale, con un oggetto utente in Microsoft Entra ID a cui è assegnato un ruolo amministrativo. Per altre informazioni, vedere Raccolta userPrincipalName di Microsoft Entra.

Screenshot che mostra il numero di errori di sincronizzazione dei conflitti del ruolo amministratore esistente.

Correggere l'errore di conflitto del ruolo amministratore esistente

Per risolvere il problema:

  1. Rimuovere l'account Microsoft Entra (proprietario) da tutti i ruoli di amministratore.
  2. Eliminare definitivamente l'oggetto in quarantena nel cloud.
  3. Il ciclo di sincronizzazione successivo si occuperà della corrispondenza flessibile dell'utente locale con l'account cloud perché l'utente cloud non è più un amministratore di un’identità ibrida.
  4. Ripristinare le appartenenze ai ruoli per il proprietario.

Nota

Sarà possibile assegnare di nuovo il ruolo amministrativo all'oggetto utente esistente una volta terminata la corrispondenza flessibile tra l'oggetto utente locale e l'oggetto utente Microsoft Entra.