Microsoft Entra Připojení Sync: Scheduler

  • Článek

Toto téma popisuje integrovaný plánovač v Microsoft Entra Připojení Sync (synchronizační modul).

Tato funkce byla zavedena s buildem 1.1.105.0 (vydáno v únoru 2016).

Přehled

Microsoft Entra Připojení Sync synchronizuje změny, ke kterým dochází v místním adresáři, pomocí plánovače. Existují dva procesy plánovače, jeden pro synchronizaci hesel a druhý pro úlohy synchronizace objektů/atributů a údržby. Toto téma se věnuje druhému.

V dřívějších verzích byl plánovač pro objekty a atributy externí pro synchronizační modul. K aktivaci procesu synchronizace se použil plánovač úloh Systému Windows nebo samostatná služba Systému Windows. Plánovač je s 1.1 vydanými verzemi integrovanými do synchronizačního modulu a umožňuje určité přizpůsobení. Nová výchozí frekvence synchronizace je 30 minut.

Plánovač zodpovídá za dva úkoly:

  • Synchronizační cyklus. Proces importu, synchronizace a exportu změn.
  • Úlohy údržby. Obnovte klíče a certifikáty pro resetování hesla a službu DRS (Device Registration Service). Vyprázdněte staré položky v protokolu operací.

Samotný plánovač je vždy spuštěný, ale dá se nakonfigurovat tak, aby spouštěl pouze jednu nebo žádnou z těchto úloh. Pokud například potřebujete mít vlastní proces cyklu synchronizace, můžete tuto úlohu zakázat v plánovači, ale přesto spustit úlohu údržby.

Důležité

Ve výchozím nastavení se synchronizační cyklus spustí každých 30 minut. Pokud jste změnili synchronizační cyklus, musíte se ujistit, že je synchronizační cyklus spuštěn alespoň jednou za 7 dní.

  • Rozdílová synchronizace musí proběhnout do 7 dnů od poslední rozdílové synchronizace.
  • Rozdílová synchronizace (po úplné synchronizaci) musí proběhnout do 7 dnů od dokončení poslední úplné synchronizace.

Pokud to neuděláte, může to způsobit problémy se synchronizací, které budou vyžadovat, abyste spustili úplnou synchronizaci, abyste ji vyřešili. To platí také pro servery v pracovním režimu.

Konfigurace plánovače

Pokud chcete zobrazit aktuální nastavení konfigurace, přejděte do PowerShellu a spusťte Get-ADSyncScheduler. Zobrazuje něco jako tento obrázek:

GetSyncScheduler

Pokud se při spuštění této rutiny zobrazí příkaz synchronizace nebo rutina, modul PowerShellu se nenačte. K tomuto problému může dojít, pokud spustíte Microsoft Entra Připojení na řadiči domény nebo na serveru s vyšší úrovní omezení PowerShellu než výchozí nastavení. Pokud se zobrazí tato chyba, spusťte Import-Module ADSync spuštění, aby byla rutina dostupná.

  • AllowedSyncCycleInterval. Nejkratší časový interval mezi synchronizačními cykly povolenými ID Microsoft Entra. Nemůžete synchronizovat častěji, než je toto nastavení, a přesto je podporováno.
  • AktuálněEffectiveSyncCycleInterval. Plán je aktuálně v platnosti. Má stejnou hodnotu jako CustomizedSyncInterval (pokud je nastavená), pokud není častější než AllowedSyncInterval. Pokud používáte build před verzí 1.1.281 a změníte CustomizedSyncCycleInterval, projeví se tato změna po dalším synchronizačním cyklu. Z buildu 1.1.281 se změna projeví okamžitě.
  • CustomizedSyncCycleInterval. Pokud chcete, aby plánovač běžel v jakékoli jiné frekvenci než výchozí 30 minut, nakonfigurujete toto nastavení. Na obrázku výše je plánovač nastavený tak, aby běžel každou hodinu. Pokud toto nastavení nastavíte na hodnotu nižší než AllowedSyncInterval, použije se druhá hodnota.
  • NextSyncCyclePolicyType. Delta nebo Initial. Definuje, jestli by další spuštění mělo zpracovávat pouze rozdílové změny, nebo pokud by další spuštění mělo provést úplný import a synchronizaci. Druhá by také znovu zpracovala všechna nová nebo změněná pravidla.
  • NextSyncCycleStartTimeInUTC. Až plánovač příště spustí další cyklus synchronizace.
  • PurgeRunHistoryInterval. Protokoly časových operací by se měly uchovávat. Tyto protokoly je možné zkontrolovat ve správci synchronizačních služeb. Výchozí možností je uchovávat tyto protokoly po dobu 7 dnů.
  • SyncCycleEnabled. Určuje, jestli plánovač spouští procesy importu, synchronizace a exportu v rámci operace.
  • MaintenanceEnabled. Zobrazuje, jestli je povolený proces údržby. Aktualizuje certifikáty/klíče a vyprázdní protokol operací.
  • StagingModeEnabled. Zobrazuje, jestli je povolený pracovní režim . Pokud je toto nastavení povolené, potlačí exporty spuštěné, ale přesto spusťte import a synchronizaci.
  • SchedulerSuspended. Nastavením Připojení během upgradu dočasně zablokujete spuštění plánovače.

Některá z těchto nastavení můžete změnit pomocí Set-ADSyncSchedulerfunkce . Můžete upravit následující parametry:

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

V dřívějších buildech microsoft Entra Připojení byl v set-ADSyncScheduler zpřístupněn isStagingModeEnabled. Tuto vlastnost není podporováno . Vlastnost SchedulerSuspended by měla být změněna pouze Připojení. Nastavení pomocí PowerShellu není podporováno přímo.

Konfigurace plánovače je uložena v Microsoft Entra ID. Pokud máte přípravný server, má jakákoli změna na primárním serveru vliv také na pracovní server (s výjimkou IsStagingModeEnabled).

CustomizedSyncCycleInterval

Syntaxe: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dny, HH - hodiny, mm - minuty, ss - sekundy

Příklad: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Změní plánovač tak, aby běžel každých 3 hodiny.

Příklad: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Změní plánovač tak, aby běžel každý den.

Zakázání plánovače

Pokud potřebujete provést změny konfigurace, pak chcete plánovač zakázat. Například při konfiguraci filtrování nebo provádění změn pravidel synchronizace.

Pokud chcete plánovač zakázat, spusťte Set-ADSyncScheduler -SyncCycleEnabled $falsepříkaz .

Disable the scheduler

Po provedení změn nezapomeňte plánovač znovu povolit pomocí Set-ADSyncScheduler -SyncCycleEnabled $truenástroje .

Spuštění plánovače

Plánovač se standardně spouští každých 30 minut. V některých případech můžete chtít spustit synchronizační cyklus mezi plánovanými cykly nebo potřebujete spustit jiný typ.

Rozdílový cyklus synchronizace

Rozdílový cyklus synchronizace zahrnuje následující kroky:

  • Rozdílový import u všech Připojení orů
  • Rozdílová synchronizace u všech Připojení orů
  • Export u všech Připojení orů

Úplný cyklus synchronizace

Úplný cyklus synchronizace zahrnuje následující kroky:

  • Úplný import u všech Připojení orů
  • Úplná synchronizace u všech Připojení orů
  • Export u všech Připojení orů

Může se stát, že máte okamžitou změnu, která se musí okamžitě synchronizovat, a proto potřebujete cyklus spustit ručně.

Pokud potřebujete ručně spustit synchronizační cyklus, spusťte z PowerShellu Start-ADSyncSyncCycle -PolicyType Delta.

Pokud chcete zahájit úplný cyklus synchronizace, spusťte Start-ADSyncSyncCycle -PolicyType Initial ho z příkazového řádku PowerShellu.

Spuštění úplného cyklu synchronizace může být velmi časově náročné, přečtěte si další část, kde se dozvíte, jak tento proces optimalizovat.

Kroky synchronizace vyžadované pro různé změny konfigurace

Různé změny konfigurace vyžadují různé kroky synchronizace, aby se zajistilo, že se změny správně použijí na všechny objekty.

  • Přidání dalších objektů nebo atributů, které se mají importovat ze zdrojového adresáře (přidáním nebo úpravou pravidel synchronizace)
    • V Připojení oru pro tento zdrojový adresář se vyžaduje úplný import.
  • Provedli jsme změny pravidel synchronizace.
    • U Připojení oru pro změněná pravidla synchronizace se vyžaduje úplná synchronizace.
  • Změna filtrování tak, aby se měl zahrnout jiný počet objektů
    • Úplný import se vyžaduje na Připojení oru pro každý Připojení or AD, POKUD nepoužíváte filtrování založené na atributech na základě atributů, které se už importují do synchronizačního modulu.

Přizpůsobení cyklu synchronizace spustí správnou kombinaci kroků rozdílové a úplné synchronizace.

Abyste se vyhnuli spuštění úplného cyklu synchronizace, můžete pomocí následujících rutin označit konkrétní Připojení ory ke spuštění úplného kroku.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Příklad: Pokud jste provedli změny pravidel synchronizace pro Připojení or "doménová struktura AD A", které nevyžadují import žádných nových atributů, spustíte následující rutiny, abyste spustili rozdílový synchronizační cyklus, který pro tento Připojení or provedl také krok Úplné synchronizace.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Příklad: Pokud jste provedli změny pravidel synchronizace pro Připojení or "Doménová struktura AD A", aby teď vyžadovaly import nového atributu, spustili byste následující rutiny pro spuštění rozdílového cyklu synchronizace, který také provedl úplný import, krok Úplné synchronizace pro tento Připojení or.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Zastavení plánovače

Pokud plánovač aktuálně spouští synchronizační cyklus, možná ho budete muset zastavit. Pokud například spustíte průvodce instalací a zobrazí se tato chyba:

Screenshot shows Cannot change configuration error message.

Když je spuštěný cyklus synchronizace, nemůžete provádět změny konfigurace. Můžete počkat, až plánovač dokončí proces, ale můžete ho také zastavit, abyste mohli změny provést okamžitě. Zastavení aktuálního cyklu není škodlivé a čekající změny se zpracovávají s dalším spuštěním.

  1. Začněte tím, že plánovači řeknete, aby zastavil aktuální cyklus pomocí rutiny Stop-ADSyncSyncCyclePowerShellu .

  2. Pokud používáte sestavení před verzí 1.1.281, zastavení plánovače nezastaví aktuální Připojení or z aktuální úlohy. Pokud chcete vynutit zastavení Připojení, proveďte následující akce:

    Screenshot shows Synchronization Service Manager with Connectors selected and a running connector highlighted with the Stop action selected.

    • Spusťte synchronizační službu z nabídky Start. Přejděte na Připojení or, zvýrazněte Připojení or se stavem Spuštěno a vyberte Zastavit z akcí.

Plánovač je stále aktivní a začne znovu při další příležitosti.

Vlastní plánovač

Rutiny popsané v této části jsou k dispozici pouze v buildu 1.1.130.0 a novějším.

Pokud integrovaný plánovač nesplňuje vaše požadavky, můžete pomocí PowerShellu naplánovat Připojení ory.

Invoke-ADSyncRunProfile

Profil pro Připojení or můžete spustit tímto způsobem:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Názvy, které se mají použít pro názvy Připojení orů a názvy profilů spuštění, najdete v uživatelském rozhraní Správce synchronizačních služeb.

Invoke Run Profile

Rutina Invoke-ADSyncRunProfile je synchronní, tj. nevrací řízení, dokud Připojení or operaci nedokončí, a to buď úspěšně, nebo s chybou.

Při plánování Připojení orů doporučujeme je naplánovat v následujícím pořadí:

  1. (Full/Delta) Import z místních adresářů, například ze služby Active Directory
  2. (Full/Delta) Import z Microsoft Entra ID
  3. (Full/Delta) Synchronizace z místních adresářů, například ze služby Active Directory
  4. (Full/Delta) Synchronizace z Microsoft Entra ID
  5. Export do Microsoft Entra ID
  6. Export do místních adresářů, jako je například Active Directory

Toto pořadí určuje, jak integrovaný plánovač spouští Připojení ory.

Get-ADSync Připojení orRunStatus

Synchronizační modul můžete také monitorovat a zjistit, jestli je zaneprázdněný nebo nečinný. Tato rutina vrátí prázdný výsledek, pokud je synchronizační modul nečinný a nespouštět Připojení or. Pokud je spuštěný Připojení or, vrátí název Připojení oru.

Get-ADSyncConnectorRunStatus

Connector Run Status
Na obrázku výše je první řádek ze stavu, ve kterém je synchronizační modul nečinný. Druhý řádek od spuštění nástroje Microsoft Entra Připojení or.

Průvodce plánovačem a instalací

Pokud spustíte průvodce instalací, plánovač je dočasně pozastavený. Toto chování je způsobeno tím, že se předpokládá, že provádíte změny konfigurace a tato nastavení nelze použít, pokud synchronizační modul aktivně běží. Z tohoto důvodu nenechávejte průvodce instalací otevřený, protože zastaví synchronizační modul v provádění jakýchkoli akcí synchronizace.

Další kroky

Přečtěte si další informace o konfiguraci Microsoft Entra Připojení Sync.

Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.