Microsoft Entra Connect 동기화: userCertificate 속성으로 인한 LargeObject 오류 해결

Microsoft Entra ID는 userCertificate 특성에 인증서 값의 최대 한도를 적용합니다. Microsoft Entra Connect에서 값이 15개 이상인 개체를 Microsoft Entra ID로 내보내는 경우 Microsoft Entra ID는 메시지와 함께 LargeObject 오류를 반환합니다.

프로비전된 객체가 너무 큽니다. 이 개체의 속성 값 수를 줄입니다. 작업은 다음 동기화 주기에서 다시 시도됩니다..."

LargeObject 오류는 다른 AD 특성으로 인해 발생할 수 있습니다. 원인이 userCertificate 특성인지 검증하려면 온-프레미스 AD 또는 Synchronization Service Manager 메타버스 검색에서 개체를 확인합니다.

LargeObject 오류가 있는 테넌트에서 개체 목록을 가져오려면 다음 방법 중 하나를 사용합니다.

• 귀하의 테넌트가 동기화에 대해 Microsoft Entra Connect Health를 사용하도록 설정된 경우, 제공된 동기화 오류 보고서를 참조하는 것이 가능합니다.

• 동기화 서비스 관리자 작업 탭에서 최신 Microsoft Entra로 내보내기 작업을 선택하면 LargeObject 오류가 있는 개체 목록이 표시됩니다.

완화 옵션

LargeObject 오류가 해결될 때까지 동일한 개체에 대한 다른 특성 변경 내용을 Microsoft Entra ID로 내보낼 수 없습니다. 오류를 해결하려면 다음 옵션을 고려할 수 있습니다.

• Microsoft Entra Connect를 1.1.524.0 또는 이후 빌드로 업데이트하세요. Microsoft Entra Connect 빌드 1.1.524.0에서는 특성에 15개 이상의 값이 있는 경우 userCertificate 및 userSMIMECertificate 특성을 내보내지 않도록 기본 동기화 규칙이 업데이트되었습니다. Microsoft Entra Connect를 업그레이드하는 방법에 대한 자세한 내용은 문서 을(를) 참조하세요: Microsoft Entra Connect - 이전 버전에서 최신 버전으로 업그레이드하는.

• 인증서 값이 15개 이상인 개체의 실제 값 대신 null 값을 내보내는 아웃바운드 동기화 규칙 구현합니다. 이 옵션은 15개 이상의 값을 가진 개체에 대해 인증서 값을 Microsoft Entra ID로 내보낼 필요가 없는 경우에 적합합니다. 이 동기화 규칙을 구현하는 방법에 대한 자세한 내용은 userCertificate 특성내보내기를 제한하는 동기화 규칙 구현 다음 섹션을 참조하세요.

• 조직에서 더 이상 사용하지 않는 값을 제거하여 온-프레미스 AD 개체(15개 이하)의 인증서 값 수를 줄입니다. 만료되거나 사용되지 않는 인증서로 인해 특성이 부풀어 오르는 경우에 적합합니다. cmdlet Remove-ADSyncToolsExpiredCertificates 사용하여 온-프레미스 AD에서 만료된 인증서를 찾고, 백업하고, 삭제할 수 있습니다. 인증서를 삭제하기 전에 조직의 공개Key-Infrastructure 관리자에게 확인하는 것이 좋습니다.

• userCertificate 특성을 Microsoft Entra ID로 내보내지 않도록 Microsoft Entra Connect를 구성합니다. 일반적으로 Microsoft Online Services에서 특성을 사용하여 특정 시나리오를 사용하도록 설정할 수 있으므로 이 옵션은 권장하지 않습니다. 특히:

  • User 개체의 userCertificate 특성은 Exchange Online 및 Outlook 클라이언트에서 메시지 서명 및 암호화에 사용됩니다. 이 기능에 대한 자세한 내용은 메시지 서명 및 암호화대한 S/MIME 문서를 참조하세요.

  • 컴퓨터 개체의 userCertificate 특성은 Microsoft Entra ID에서 Windows 10 온-프레미스 도메인 가입 디바이스가 Microsoft Entra ID에 연결할 수 있도록 하는 데 사용됩니다. 이 기능에 대한 자세한 내용은 문서, '도메인 가입 디바이스를 Microsoft Entra ID에 연결하여 Windows 10 경험을 향상시키기'를 참조하세요.

userCertificate 특성의 내보내기를 제한하는 동기화 규칙 구현

userCertificate 특성으로 인한 LargeObject 오류를 해결하려면인증서 값이 15개 이상인 개체의 실제 값 대신 null 값을 내보내는 아웃바운드 동기화 규칙을 Microsoft Entra Connect에서 구현할 수 있습니다. 이 섹션에서는 User 개체에 대한 동기화 규칙을 구현하는 데 필요한 단계를 설명합니다. 이 단계는 Contact 및 Computer 개체에 맞게 조정할 수 있습니다.

단계는 다음과 같이 요약할 수 있습니다.

1. 동기화 스케줄러를 사용하지 않도록 설정하고 진행 중인 동기화가 없는지 확인합니다.
2. userCertificate 특성에 대한 기존 아웃바운드 동기화 규칙을 찾습니다.
3. 필요한 아웃바운드 동기화 규칙을 만듭니다.
4. LargeObject 오류가 있는 기존 개체에서 새 동기화 규칙을 확인합니다.
5. LargeObject 오류가 있는 나머지 개체에 새 동기화 규칙을 적용합니다.
6. Microsoft Entra ID로 내보내기를 기다리는 예기치 않은 변경 내용이 없는지 확인합니다.
7. 변경 내용을 Microsoft Entra ID로 내보냅니다.
8. 동기화 스케줄러를 다시 사용하도록 설정합니다.

1단계: 동기화 스케줄러를 사용하지 않도록 설정하고 진행 중인 동기화가 없는지 확인

Microsoft Entra ID로 의도하지 않은 변경 내용을 내보내지 않도록 새 동기화 규칙을 구현하는 동안 동기화가 수행되지 않도록 합니다. 기본 제공 동기화 스케줄러를 사용하지 않도록 설정하려면 다음을 수행합니다.

1. Microsoft Entra Connect 서버에서 PowerShell 세션을 시작합니다.

2. cmdlet을 실행하여 예약된 동기화를 사용하지 않도록 설정합니다. Set-ADSyncScheduler -SyncCycleEnabled $false

1. START → 동기화 서비스로 이동하여 동기화 서비스 관리자를 시작합니다.

2. 작업 탭으로 이동하여 상태가 "진행 중"작업이 없는지 확인합니다."

2단계: userCertificate 특성에 대한 기존 아웃바운드 동기화 규칙 찾기

User 개체의 userCertificate 특성을 Microsoft Entra ID로 내보내도록 활성화되고 구성된 동기화 규칙이 있어야 합니다. 이 동기화 규칙을 찾아 그 우선 순위와 범위 지정 필터 구성을 확인하십시오.

1. 동기화 규칙 편집기를 → 시작하여 동기화 규칙 편집기를 시작합니다.

2. 다음 값을 사용하여 검색 필터를 구성합니다.

   속성	값
   방향	아웃바운드
   MV 개체 형식	사람
   커넥터	Microsoft Entra 커넥터 이름
   연결기 객체 형식	사용자
   MV 특성	userCertificate

3. OOB(Out-of-Box, 기본 제공) 동기화 규칙을 Microsoft Entra 커넥터에 사용하여 사용자 개체의 userCertificate 특성을 내보내는 경우, "Microsoft Entra ID로 내보내기 - User ExchangeOnline" 동기화 규칙을 다시 확보해야 합니다.

4. 이 동기화 규칙의 우선 순위 값을 적어둡니다.

5. 동기화 규칙을 선택하고 편집을 선택합니다.

6. "예약된 규칙 편집 확인" 팝업 대화 상자에서 아니오를 선택합니다. (걱정하지 마세요. 이 동기화 규칙을 변경하지 않습니다.)

7. 편집 화면에서 범위 지정 필터 탭을 선택합니다.

8. 범위 지정 필터 구성을 적어둡니다. OOB 동기화 규칙을 사용하는 경우 다음을 포함하여두 개의 절을 포함하는 범위 지정 필터 그룹이 정확히 합니다.

   속성	연산자	값
   소스오브젝트타입 (sourceObjectType)	같다	사용자
   cloudMastered	NOTEQUAL	진실

3단계: 필요한 아웃바운드 동기화 규칙 만들기

새 동기화 규칙은 기존 동기화 규칙과 동일한 범위 지정 필터 를 가져야 하며, 우선 순위는 로 더 높아야 합니다. 이렇게 하면 새 동기화 규칙이 기존 동기화 규칙과 동일한 개체 집합에 적용되고 userCertificate 특성에 대한 기존 동기화 규칙을 재정의합니다. 동기화 규칙을 만들려면 다음을 수행합니다.

1. 동기화 규칙 편집기에서 새 규칙 추가 단추를 선택합니다.

2. 설명 탭에 다음 구성을 입력하십시오.

   속성	값	세부 정보
   이름	이름을 제공하십시오	예를 들어 "Microsoft Entra ID로 내보내기 – 사용자 지정 userCertificate 재정의"
   묘사	설명 제공	예를 들어 "userCertificate 특성에 15개 이상의 값이 있는 경우 NULL을 내보냅니다."
   연결된 시스템	Microsoft Entra Connector를 선택
   연결된 시스템 개체 형식	사용자
   메타버스 개체 형식	사람
   링크 유형	조인
   우선 순위	1에서 99 사이의 숫자를	선택한 숫자는 기존 동기화 규칙에서 사용해서는 안 되며 기존 동기화 규칙보다 낮은 값(따라서 높은 우선 순위)을 가지면 안 됩니다.

3. 범위 지정 필터 탭으로 이동하여 기존 동기화 규칙이 사용하는 것과 동일한 범위 지정 필터를 구현합니다.

4. 조인 규칙 탭을 건너뛰세요.

5. 변환 탭으로 이동하여 다음 구성을 사용하여 새 변환을 추가합니다.

   속성	값
   흐름 유형	식
   대상 특성	userCertificate
   원본 특성	다음 식사용하십시오: IIF(IsNullOrEmpty([userCertificate]), NULL, IIF((Count([userCertificate])> 15),AuthoritativeNull,[userCertificate]))

6. 추가 단추를 선택하여 동기화 규칙을 만듭니다.

4단계: LargeObject 오류가 있는 기존 개체의 새 동기화 규칙 확인

이는 만든 동기화 규칙이 다른 개체에 적용하기 전에 LargeObject 오류가 있는 기존 AD 개체에서 제대로 작동하는지 확인하는 것입니다.

1. 동기화 서비스 관리자의 작업 탭으로 이동합니다.
2. 가장 최근에 Microsoft Entra로 내보낸 작업을 선택한 후 LargeObject 오류가 있는 개체 중에서 하나를 선택합니다.
3. 커넥터 공간 개체 속성 팝업 화면에서 미리 보기 단추를 선택합니다.
4. 미리 보기 팝업 화면에서 전체 동기화을 선택하고, 커밋 미리 보기를 선택합니다.
5. 미리 보기 화면과 커넥터 공간 개체 속성 화면을 닫습니다.
6. 동기화 서비스 관리자의 커넥터 탭으로 이동합니다.
7. Microsoft Entra ID 커넥터에서 마우스 오른쪽 단추를 선택하고 실행을 선택합니다...
8. 커넥터 실행 팝업에서 내보내기 단계를 선택하고 확인을 선택합니다.
9. Microsoft Entra ID로 내보내기가 완료되기를 기다렸다가 이 특정 개체에 더 이상 LargeObject 오류가 없는지 확인합니다.

5단계: LargeObject 오류가 있는 나머지 개체에 새 동기화 규칙 적용

동기화 규칙이 추가되면 AD 커넥터에서 전체 동기화 단계를 실행해야 합니다.

1. 동기화 서비스 관리자의 커넥터 탭으로 이동합니다.
2. AD 커넥터에서 마우스 오른쪽 단추를 선택하고 실행을 선택합니다...
3. 커넥터 실행 팝업에서 전체 동기화 단계를 선택한 후 확인을 선택합니다.
4. 전체 동기화 단계가 완료되기를 기다립니다.
5. 둘 이상의 AD 커넥터가 있는 경우 나머지 AD 커넥터에 대해 위의 단계를 반복합니다. 일반적으로 여러 온-프레미스 디렉터리를 사용하는 경우 여러 커넥터가 필요합니다.

6단계: Microsoft Entra ID로 내보내기를 기다리는 예기치 않은 변경 내용이 없는지 확인합니다.

1. 동기화 서비스 관리자의 커넥터 탭으로 이동합니다.
2. Microsoft Entra ID 커넥터 를 마우스 오른쪽 클릭하고 검색 커넥터 공간을 선택합니다.
3. 검색 커넥터 공간 팝업에서:
   1. 범위를 로 설정하여 내보내기를로 보류하세요.
   2. 추가, 수정,삭제 등 3개의 확인란을 모두 선택합니다.
   3. 검색 단추를 선택하여 변경 내용을 Microsoft Entra ID로 내보내기 위해 대기 중인 모든 개체를 반환합니다.
   4. 예기치 않은 변경 내용이 없는지 확인합니다. 지정된 개체의 변경 내용을 검사하려면 개체를 두 번 선택합니다.

7단계: Microsoft Entra ID로 변경 내용 내보내기

Microsoft Entra ID로 변경 내용을 내보내려면 다음을 수행합니다.

1. 동기화 서비스 관리자의 커넥터 탭으로 이동합니다.
2. Microsoft Entra ID 커넥터에서 마우스 오른쪽 단추를 선택하고 실행을 선택합니다...
3. 커넥터 실행 팝업에서 내보내기 단계를 선택하고 확인을 선택합니다.
4. Microsoft Entra ID로 내보내기가 완료되기를 기다렸다가 더 이상 LargeObject 오류가 없는지 확인합니다.

8단계: 동기화 스케줄러 다시 사용

이제 문제가 해결되었으므로 기본 제공 동기화 스케줄러를 다시 사용하도록 설정합니다.

1. PowerShell 세션을 시작합니다.
2. cmdlet을 실행하여 예약된 동기화를 다시 사용하도록 설정합니다. Set-ADSyncScheduler -SyncCycleEnabled $true

다음 단계

Microsoft Entra ID에 온-프레미스 ID를 통합하는 방법에 대해 자세히 알아봅니다.