Import a export nastavení konfigurace Microsoft Entra Připojení

  • Článek

Nasazení Microsoft Entra Připojení se liší od instalace režimu Express s jednou doménovou strukturou až po složitá nasazení, která se synchronizují mezi více doménovými strukturami pomocí vlastních synchronizačních pravidel. Vzhledem k velkému počtu možností a mechanismů konfigurace je důležité pochopit, jaká nastavení se projeví a jak rychle nasadit server se stejnou konfigurací. Tato funkce představuje možnost katalogovat konfiguraci daného synchronizačního serveru a importovat nastavení do nového nasazení. Snímky různých nastavení synchronizace je možné porovnat a snadno vizualizovat rozdíly mezi dvěma servery nebo stejným serverem v průběhu času.

Při každé změně konfigurace z průvodce Microsoft Entra Připojení se automaticky exportuje nový soubor nastavení JSON s časovým razítkem do složky %ProgramData%\AAD Připojení. Název souboru nastavení je ve formátu Applied-SynchronizationPolicy-*. JSON, kde poslední část názvu souboru je časové razítko.

Důležité

Automaticky se exportují jenom změny provedené Připojení Microsoft Entra. Všechny změny provedené pomocí PowerShellu, Správce synchronizační služby nebo editoru synchronizačních pravidel musí být exportovány na vyžádání podle potřeby, aby se zachovala aktuální kopie. Export na vyžádání lze také použít k umístění kopie nastavení do zabezpečeného umístění pro účely zotavení po havárii.

Poznámka:

Tuto funkci nelze použít, pokud byla instalace microsoft Entra Připojení upravena tak, aby zahrnovala konektor G-SQL nebo konektor G-LDAP.

Poznámka:

Tuto funkci nelze kombinovat s použitím existující databáze ADSync. Použití konfigurace importu/exportu a použití existující databáze se vzájemně vylučují.

Export nastavení microsoft Entra Připojení

Pokud chcete zobrazit souhrn nastavení konfigurace, otevřete nástroj Microsoft Entra Připojení a vyberte další úlohu s názvem Zobrazit nebo Exportovat aktuální konfiguraci. Zobrazí se rychlý souhrn nastavení spolu s možností exportovat úplnou konfiguraci serveru.

Ve výchozím nastavení se nastavení exportují do %ProgramData%\AAD Připojení. Můžete se také rozhodnout uložit nastavení do chráněného umístění, abyste zajistili dostupnost, pokud dojde k havárii. Nastavení se exportují pomocí formátu souboru JSON a neměli byste je vytvářet ručně ani upravovat, aby se zajistila logická konzistence. Import ručně vytvořeného nebo upraveného souboru není podporovaný a může vést k neočekávaným výsledkům.

Import nastavení Microsoft Entra Připojení

Import dříve exportovaných nastavení:

  1. Nainstalujte microsoft Entra Připojení na nový server.

  2. Vyberte možnost Přizpůsobit za úvodní stránkou.

  3. Vyberte Importovat nastavení synchronizace. Vyhledejte dříve exportovaný soubor nastavení JSON.

  4. Vyberte volbu Instalovat.

    Snímek obrazovky znázorňující obrazovku Instalace požadovaných součástí

Poznámka:

Přepsat nastavení na této stránce, jako je použití SQL Serveru místo LocalDB nebo použití existujícího účtu služby místo výchozího VSA. Tato nastavení se neimportují ze souboru nastavení konfigurace. Jsou k dispozici pro informace a účely porovnání.

Poznámka:

Nepodporuje se úprava exportovaného souboru JSON tak, aby změnila konfiguraci.

Prostředí instalace importu

Prostředí instalace importu je záměrně jednoduché s minimálními vstupy od uživatele, aby bylo snadné reprodukovatelnost existujícího serveru.

Tady jsou jediné změny, které je možné provést během instalace. Všechny ostatní změny lze provést po instalaci v průvodci Microsoft Entra Připojení:

  • Přihlašovací údaje Microsoft Entra: Název účtu globálního Správa istrator Azure, který se používá ke konfiguraci původního serveru, se ve výchozím nastavení navrhuje. Pokud chcete synchronizovat informace do nového adresáře, je nutné ho změnit.
  • Přihlášení uživatele: Ve výchozím nastavení jsou vybrané možnosti přihlašování nakonfigurované pro původní server a automaticky se zobrazí výzva k zadání přihlašovacích údajů nebo jiných informací potřebných během konfigurace. Ve výjimečných případech může být potřeba nastavit server s různými možnostmi, aby nedošlo ke změně chování aktivního serveru. V opačném případě vyberte Další , pokud chcete použít stejná nastavení.
  • Přihlašovací údaje místního adresáře: Pro každý místní adresář, který je součástí nastavení synchronizace, musíte zadat přihlašovací údaje k vytvoření synchronizačního účtu nebo zadání předem vytvořeného vlastního synchronizačního účtu. Tento postup je shodný s čistým prostředím instalace s výjimkou, že nemůžete přidávat ani odebírat adresáře.
  • Možnosti konfigurace: Stejně jako u čisté instalace můžete nakonfigurovat počáteční nastavení, jestli se má spustit automatická synchronizace nebo povolit pracovní režim. Hlavní rozdíl spočívá v tom, že pracovní režim je ve výchozím nastavení záměrně povolený tak, aby umožňoval porovnání výsledků konfigurace a synchronizace před aktivním exportem výsledků do Azure.

Snímek obrazovky znázorňující obrazovku Připojení adresářů

Poznámka:

V primární roli může být pouze jeden synchronizační server a aktivně exportuje změny konfigurace do Azure. Všechny ostatní servery musí být umístěny v pracovním režimu.

Migrace nastavení z existujícího serveru

Pokud existující server nepodporuje správu nastavení, můžete buď upgradovat server na místě, nebo migrovat nastavení pro použití na novém přípravném serveru.

Migrace vyžaduje spuštění skriptu PowerShellu, který extrahuje existující nastavení pro použití v nové instalaci. Pomocí této metody můžete katalogovat nastavení existujícího serveru a pak je použít na nově nainstalovaný pracovní server. Porovnání nastavení původního serveru s nově vytvořeným serverem rychle vizualizuje změny mezi servery. Jako vždy postupujte podle procesu certifikace vaší organizace a ujistěte se, že není nutná žádná další konfigurace.

Proces migrace

Migrace nastavení:

  1. Spusťte AzureAD Připojení.msi na novém přípravném serveru a zastavte se na úvodní stránce Microsoft Entra Připojení.

  2. Zkopírujte migrovat Nastavení.ps1 z adresáře Microsoft Entra Připojení\Tools do umístění na existujícím serveru. Příkladem je C:\setup, kde instalační program je adresář vytvořený na existujícím serveru.
    Snímek obrazovky znázorňující adresáře Microsoft Entra Připojení

    Poznámka:

    Pokud se zobrazí zpráva: "Poziční parametr nelze najít, který přijímá argument True", jak je znázorněno níže:

    Snímek obrazovky s chybouPotom upravte soubor Migrate Nastavení.ps1 a odeberte $true a spusťte skript:Snímek obrazovky pro úpravu konfigurace

  3. Spusťte skript, jak je znázorněno zde, a uložte celý konfigurační adresář serveru nižší úrovně. Zkopírujte tento adresář na nový pracovní server. Musíte zkopírovat celou složku Exported-ServerConfiguration-* na nový server. Snímek obrazovky znázorňující skript v PowerShelluSnímek obrazovky znázorňující kopírování složky Exported-ServerConfiguration-*

  4. Spusťte Microsoft Entra Připojení poklikáním na ikonu na ploše. Přijměte licenční podmínky pro software společnosti Microsoft a na další stránce vyberte Přizpůsobit.

  5. Zaškrtněte políčko Importovat nastavení synchronizace. Vyberte Procházet a procházejte zkopírovanou složku Exported-ServerConfiguration-* (Exported-ServerConfiguration-*). Vyberte MigratedPolicy.json pro import migrovaných nastavení.

    Snímek obrazovky s možností Importovat nastavení synchronizace

Ověření po instalaci

Porovnání původně importovaného souboru nastavení s exportovaným souborem nastavení nově nasazeného serveru je zásadním krokem při pochopení rozdílů mezi zamýšleným a výsledným nasazením. Použití oblíbené aplikace pro porovnání textu vedle sebe přináší okamžitou vizualizaci, která rychle zvýrazní všechny požadované nebo náhodné změny.

I když je teď mnoho dříve ručních kroků konfigurace eliminováno, měli byste stále postupovat podle procesu certifikace vaší organizace, abyste zajistili, že není nutná žádná další konfigurace. K této konfiguraci může dojít v případě, že používáte upřesňující nastavení, která nejsou aktuálně zaznamenána v této verzi správy nastavení.

Tady jsou známá omezení:

  • Synchronizační pravidla: Priorita vlastního pravidla musí být v rezervovaném rozsahu 0 až 99, aby nedocházelo ke konfliktům se standardními pravidly Microsoftu. Umístění vlastního pravidla mimo rezervovaný rozsah může vést k posunu vlastního pravidla, protože do konfigurace se přidávají standardní pravidla. K podobnému problému dojde v případě, že vaše konfigurace obsahuje upravená standardní pravidla. Změna standardního pravidla se nedoporučuje a umístění pravidla bude pravděpodobně nesprávné.
  • Zpětný zápis zařízení: Tato nastavení jsou katalogována. V současné době se nepoužívají během konfigurace. Pokud byl pro původní server povolený zpětný zápis zařízení, musíte funkci na nově nasazeném serveru nakonfigurovat ručně.
  • Synchronizované typy objektů: I když je možné omezit seznam synchronizovaných typů objektů (jako jsou uživatelé, kontakty a skupiny) pomocí Správce synchronizační služby, tato funkce se v současné době nepodporuje prostřednictvím nastavení synchronizace. Po dokončení instalace je nutné ručně znovu použít pokročilou konfiguraci.
  • Vlastní profily spuštění: I když je možné upravit výchozí sadu profilů spuštění pomocí Správce synchronizační služby, tato funkce se v současné době nepodporuje prostřednictvím nastavení synchronizace. Po dokončení instalace je nutné ručně znovu použít pokročilou konfiguraci.
  • Konfigurace hierarchie zřizování: Tato pokročilá funkce synchronizačního portálu Service Manager není podporována prostřednictvím nastavení synchronizace. Po dokončení počátečního nasazení je nutné ho ručně překonfigurovat.
  • Active Directory Federation Services (AD FS) (AD FS) a ověřování PingFederate: Metody přihlašování přidružené k těmto funkcím ověřování jsou automaticky předem vybrány. Musíte interaktivně zadat všechny ostatní požadované parametry konfigurace.
  • Zakázané pravidlo vlastní synchronizace se naimportuje jako povolené: Zakázané vlastní synchronizační pravidlo se naimportuje jako povolené. Nezapomeňte ho také zakázat na novém serveru.

Další kroky