Azure AD Connect : résoudre l’erreur « stopped-deletion-threshold-exceeded »
I. Présentation
Lorsque l'outil Azure AD Connect est installé et configuré au sein d'une infrastructure, c'est un outil relativement stable et discret qui demande peu de maintenance. Néanmoins, si vous effectuez d'importantes modifications sur le contenu de votre annuaire, notamment au niveau des objets synchronisés, vous pourriez avoir quelques ennuis...
En effet, Azure AD Connect intègre une sécurité qui va permettre d'empêcher la synchronisation s'il y a 500+ d'objets à supprimer : de quoi éviter la catastrophe si cela n'est pas volontaire.
Sur le serveur où est installé l'outil de synchronisation, le message d'erreur "ID 906 Directory Synchronization" sera généré dans le cas où cela se produit : "Failure while provisioning entries to Windows Azure Active Directory. More details at.... Unable to process this synchronization cycle in Azure Active Directory because the object deletion threshold was met or exceeded."
Si l'on ouvre l'application "Synchronization Service" afin de regarder plus précisément les logs d'Azure AD Connect, on peut voir que le statut "stopped-deletion-threshold-exceeded" s'affiche.
L'option DeletionPrevention est activée par défaut, nous allons la désactiver temporairement :
Disable-ADSyncExportDeletionThreshold
Bien sûr, ceci est à réaliser en connaissance de cause et seulement si vous souhaitez réellement supprimer les objets de la synchronisation. Vous verrez également l'option ThresholdCount à 500 : la valeur par défaut mentionnée ci-dessus.
Maintenant que la sécurité est désactivée, profitons-en pour relancer une synchronisation :
Start-ADSyncSyncCycle
On peut voir qu'il y a eu beaucoup de modifications... 821 objets supprimés suite à la dernière synchronisation. En tout cas, la synchronisation est de nouveau active alors qu'elle était en standby avant que l'option soit désactivée.
Il ne reste plus qu'à réactiver l'option et éventuellement d'adapter le seuil d'alerte grâce au paramètre DeletionThreshold. En fonction du nombre d'objets que vous gérez, il peut être intéressant d'adapter le seuil : à vous de juger.
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 500
Vous voilà rassuré : la synchronisation Azure AD Connect fonctionne à nouveau et en plus vous avez découvert une nouvelle option ?