Číst v angličtině

Sdílet prostřednictvím

Faktory ovlivňující výkon služby Microsoft Entra Connect

  • Článek

Microsoft Entra Connect synchronizuje vaši službu Active Directory s ID Microsoft Entra. Tento server je důležitou součástí přesunu identit uživatelů do cloudu. Hlavními faktory, které ovlivňují výkon služby Microsoft Entra Connect, jsou:

Faktor návrhu Definice
Topologie Distribuce koncových bodů a komponent, které microsoft Entra Connect musí spravovat v síti.
Měřítko Počet objektů, jako jsou uživatelé, skupiny a organizační jednotky spravované společností Microsoft Entra Connect.
Hardware Hardware (fyzický nebo virtuální) pro microsoft Entra Connect a závislá kapacita výkonu každé hardwarové komponenty, včetně procesoru, paměti, sítě a konfigurace pevného disku.
Konfigurace Jak Microsoft Entra Connect zpracovává adresáře a informace.
Zátěž Frekvence změn objektů Zatížení se může lišit v průběhu hodiny, dne nebo týdne. V závislosti na komponentě možná budete muset navrhnout zatížení ve špičce nebo průměrné zatížení.

Účelem tohoto dokumentu je popsat faktory ovlivňující výkon zřizovacího enginu Microsoft Entra Connect. Velké nebo složité organizace (organizace zřizují více než 100 000 objektů) můžou využít doporučení k optimalizaci implementace Microsoft Entra Connect, pokud se zde zobrazí nějaké problémy s výkonem. Ostatní komponenty Microsoft Entra Connect, jako je Microsoft Entra Connect Health a agenti, nejsou popsány zde.

Důležité

Microsoft nepodporuje úpravy ani provoz služby Microsoft Entra Connect mimo formálně zdokumentované akce. Jakákoli z těchto akcí může vést k nekonzistentnímu nebo nepodporovanému stavu synchronizace Microsoft Entra Connect Sync. Microsoft proto nemůže poskytnout technickou podporu pro taková nasazení.

Faktory komponenty Microsoft Entra Connect

Následující diagram znázorňuje základní architekturu provisioning engine, který se připojuje k jedné doménové struktuře, i když je podporováno více doménových struktur. Tato architektura ukazuje, jak různé komponenty vzájemně spolupracují.

Diagram znázorňuje, jak propojené adresáře a modul zřizování Microsoft Entra Connect komunikují, včetně prostoru konektorů a komponent Metaverse ve službě SQL Database.

Provozní modul se připojí ke každé doménové struktuře služby Active Directory a k Microsoft Entra ID. Proces čtení informací z každého adresáře se nazývá Import. Export odkazuje na aktualizaci adresářů z modulu zřizování. Synchronizace vyhodnocuje pravidla, která určují tok objektů v modulu pro vytváření. Podrobnější informace najdete v tématu Microsoft Entra Connect Sync: Principy architektury.

Microsoft Entra Connect používá následující pracovní oblasti, pravidla a procesy, které umožňují synchronizaci ze služby Active Directory do Microsoft Entra ID:

  • Prostor konektoru (CS) – Objekty z každého připojeného adresáře (CD), tedy samotné adresáře, jsou zde nejprve uloženy, než je modul zřizování zpracuje. Microsoft Entra ID má vlastní CS a každý les, ke kterému se připojujete, má vlastní CS.
  • Metaverse (MV) – Objekty, které je potřeba synchronizovat, se tady vytvářejí na základě pravidel synchronizace. Objekty musí existovat v MV, aby mohly naplnit objekty a atributy ostatních připojených adresářů. Je tu jen jeden MV.
  • pravidla synchronizace – rozhodují o tom, které objekty se vytvoří (projektují) nebo připojí (připojí) k objektům v MV. Pravidla synchronizace také rozhodují o tom, které hodnoty atributů se zkopírují nebo transformují do adresářů a z adresářů.
  • Profily spuštění - seskupuje kroky procesu kopírování objektů a jejich hodnot atributů v souladu s pravidly synchronizace mezi pracovními oblastmi a připojenými adresáři.

Pro optimalizaci výkonu existují různé profily spuštění zřizovacího engine. Většina organizací používá výchozí plány a profily spuštění pro normální provoz, ale některé organizace můžou muset změnit plán nebo aktivovat jiné profily spuštění, aby vyhovovaly neobvyklým situacím. Dostupné jsou následující běhové profily:

Profil počáteční synchronizace

Počáteční synchronizační profil je proces čtení připojených adresářů, jako je doménová struktura služby Active Directory, poprvé. Pak provede analýzu všech položek v databázi synchronizačního stroje. Počáteční cyklus vytvoří nové objekty v Microsoft Entra ID a dokončení trvá déle, pokud jsou vaše doménové struktury Active Directory velké. Počáteční synchronizace zahrnuje následující kroky:

  1. Úplný import pro všechny konektory
  2. Úplná synchronizace u všech konektorů
  3. Export u všech konektorů

Rozdílový synchronizační profil

Pokud chcete optimalizovat proces synchronizace, tento profil spuštění zpracuje změny (vytvoří, odstraní a aktualizuje) objektů v připojených adresářích od posledního procesu synchronizace. Ve výchozím nastavení se profil delta synchronizace spouští každých 30 minut. Organizace by se měly snažit udržet dobu pod 30 minut, aby se zajistilo, že Microsoft Entra ID je aktuální. Pokud chcete monitorovat stav služby Microsoft Entra Connect, pomocí agenta monitorování stavu můžete zobrazit případné problémy s procesem. Profil rozdílové synchronizace zahrnuje následující kroky:

  1. Rozdílový import u všech konektorů
  2. Rozdílová synchronizace pro všechny konektory
  3. Exportovat na všech konektorech

Typický scénář diferenciální synchronizace v podniku je:

  • Přibližně 1 % objektů se odstraní.
  • Je vytvořeno ~1 % objektů.
  • ~5 % objektů je změněno.

Četnost změn se může lišit v závislosti na tom, jak často vaše organizace aktualizuje uživatele ve službě Active Directory. Například vyšší míra změn může nastat se sezónností náboru a snížením pracovní síly.

Úplný profil synchronizace

Pokud jste provedli některou z následujících změn konfigurace, vyžaduje se úplný cyklus synchronizace:

  • Zvýšil se rozsah objektů nebo atributů, které se mají importovat z připojených adresářů. Například když do oboru importu přidáte doménu nebo organizační jednotky.
  • Provedli jsme změny pravidel synchronizace. Když například vytvoříte nové pravidlo pro naplnění názvu uživatele v ID Microsoft Entra z extension_attribute3 ve službě Active Directory. Tato aktualizace vyžaduje, aby modul zřizování znovu prozkoumal všechny stávající uživatele a aktualizoval jejich tituly, aby se změna projevila v budoucnu.

Do úplného cyklu synchronizace jsou zahrnuty následující operace:

  1. Úplný import pro všechny konektory
  2. Úplná synchronizace nebo rozdílová synchronizace pro všechny konektory
  3. Export u všech konektorů

Poznámka

Při hromadné aktualizaci mnoha objektů ve službě Active Directory nebo ID Microsoft Entra se vyžaduje pečlivé plánování. Hromadné aktualizace způsobují, že proces rozdílové synchronizace trvá déle během importu, protože se změnilo hodně objektů. K dlouhému importu může dojít i v případě, že hromadná aktualizace nemá vliv na proces synchronizace. Například přiřazení licencí mnoha uživatelům v ID Microsoft Entra způsobí dlouhý cyklus importu z ID Microsoft Entra, ale nebude mít za následek žádné změny atributů ve službě Active Directory.

Synchronizace

Modul runtime procesu synchronizace má následující charakteristiky výkonu:

  • Synchronizace je jednovláknová, což znamená, že modul zřizování neprovádí paralelní zpracování profilů spuštění připojených adresářů, objektů nebo atributů.
  • Doba importu roste lineárně s počtem synchronizovaných objektů. Pokud například import 10 000 objektů trvá 10 minut, pak import 20 000 objektů na stejném serveru trvá přibližně 20 minut.
  • Export je také lineární.
  • Synchronizace se exponenciálně zvětšuje na základě počtu objektů s odkazy na jiné objekty. Členství ve skupinách a vnořené skupiny mají hlavní dopad na výkon, protože jejich členové odkazují na objekty uživatelů nebo jiné skupiny. Tyto odkazy musí být nalezeny a odkazovány na skutečné objekty v MV, aby bylo možné dokončit cyklus synchronizace.
  • Změna člena skupiny vede k opětovnému vyhodnocení všech členů skupiny. Pokud máte například skupinu s 50 K členy a aktualizujete pouze 1 člena, aktivuje se synchronizace všech 50 K členů.

Filtrování

Velikost topologie služby Active Directory, kterou chcete importovat, je faktorem, který ovlivňuje výkon a celkový čas dokončení interních komponent modulu zřizování.

Filtrování by se mělo použít ke snížení počtu objektů na synchronizované objekty. Zabrání tomu, aby se nepotřebné objekty zpracovávaly a exportovaly do MICROSOFT Entra ID. V pořadí podle preferencí jsou k dispozici následující techniky filtrování:

  • Filtrování na základě domény – tuto možnost použijte k výběru konkrétních domén, které se mají synchronizovat s ID Microsoft Entra. Domény musíte přidat a odebrat z konfigurace synchronizačního modulu, když provedete změny místní infrastruktury po instalaci microsoft Entra Connect Sync.
  • Filtrování organizačních jednotek (OU) – pomocí OU cílit na konkrétní objekty v doménách služby Active Directory za účelem zřizování v Microsoft Entra ID. Filtrování organizačních jednotek je druhým doporučeným mechanismem filtrování, protože k importu menší podmnožin objektů ze služby Active Directory používá jednoduché dotazy oboru LDAP.
  • Filtrování atributů na objekt – používá hodnoty atributů u objektů k rozhodnutí, zda je konkrétní objekt ve službě Active Directory zřízen v Microsoft Entra ID. Filtrování atributů je skvělé pro vyladění filtrů, pokud filtrování domén a organizačních jednotek nesplňuje konkrétní požadavky na filtrování. Filtrování atributů nezkrátí čas importu, ale může zkrátit dobu synchronizace a exportu.
  • Filtrování založené na skupinách – používá členství ve skupině k rozhodnutí, jestli se mají objekty zřídit v ID Microsoft Entra. Filtrování založené na skupinách je vhodné jenom pro testovací situace a nedoporučuje se pro produkční prostředí, a to kvůli nadbytečné režii potřebné ke kontrole členství ve skupině během synchronizačního cyklu.

Mnoho trvalých objektů odpojení ve službě Active Directory CS může způsobit delší dobu synchronizace, protože modul zřizování musí znovu vyhodnotit každý objekt odpojení pro možné připojení v cyklu synchronizace. Pokud chcete tento problém překonat, zvažte jedno z následujících doporučení:

  • Objekty odpojovače umístěte mimo rozsah importu pomocí filtrování domén nebo organizačních jednotek.
  • Projektujte/spojte objekty do MV a nastavte atribut cloudFiltered na hodnotu True, aby se zabránilo zprovoznění těchto objektů v Microsoft Entra CS.

Poznámka

Uživatelé můžou být zmatení nebo může dojít k problémům s oprávněními aplikace, pokud je filtrováno příliš mnoho objektů. Například v hybridní implementaci Exchange Online uvidí uživatelé s místními poštovními schránkami více uživatelů v globálním adresáři než uživatelé s poštovními schránkami v Exchangi Online. V jiných případech může uživatel chtít udělit přístup v cloudové aplikaci jinému uživateli, který není součástí oboru filtrované sady objektů.

Toky atributů

Toky atributů jsou proces kopírování nebo transformace hodnot atributů objektů z jednoho připojeného adresáře do jiného připojeného adresáře. Jsou definovány jako součást pravidel synchronizace. Například při změně telefonního čísla uživatele ve službě Active Directory se telefonní číslo v Microsoft Entra ID aktualizuje. Organizace můžou toky atributů upravit tak, aby nasály různé požadavky. Před změnou atributů doporučujeme zkopírovat existující toky atributů.

Jednoduché přesměrování, například tok hodnoty atributu do jiného atributu, nemá vliv na výkon materiálu. Příkladem přesměrování je přesměrování mobilního čísla v Active Directory na telefonní číslo kanceláře v Microsoft Entra ID.

Transformace hodnot atributů může mít vliv na výkon procesu synchronizace. Transformace hodnot atributů zahrnuje úpravy, přeformátování, zřetězení nebo odečtení hodnot atributů.

Organizace můžou zabránit tomu, aby určité atributy proudily do MICROSOFT Entra ID, ale neovlivní výkon zřizovacího modulu.

Poznámka

Neodstraňujte nežádoucí toky atributů ve vašich pravidlech synchronizace. Doporučujeme je raději zakázat, protože odstraněná pravidla se znovu vytvoří během upgradů microsoft Entra Connect.

Faktory závislostí Microsoft Entra Connect

Výkon služby Microsoft Entra Connect závisí na výkonu připojených adresářů, do které importuje a exportuje. Například velikost služby Active Directory, kterou potřebuje importovat, nebo latenci sítě do služby Microsoft Entra. Databáze SQL, kterou modul zřizování používá, má vliv také na celkový výkon cyklu synchronizace.

Faktory služby Active Directory

Jak už bylo zmíněno dříve, počet objektů, které se mají importovat, má významný vliv na výkon. Hardware a požadavky pro Microsoft Entra Connect popisují konkrétní hardwarové úrovně na základě velikosti vašeho nasazení. Microsoft Entra Connect podporuje pouze konkrétní topologie, jak je uvedeno v topologiích pro Microsoft Entra Connect. Neexistují žádné optimalizace výkonu a doporučení pro nepodporované topologie.

Ujistěte se, že váš server Microsoft Entra Connect splňuje hardwarové požadavky na základě velikosti služby Active Directory, kterou chcete importovat. Chybné nebo pomalé síťové připojení mezi serverem Microsoft Entra Connect a řadiči domény služby Active Directory může zpomalit import.

Faktory Microsoft Entra ID

Microsoft Entra ID používá omezování k ochraně cloudové služby před útoky DoS (Denial-of-Service). V současné době má ID Microsoft Entra limit 7 000 zápisů za 5 minut (84 000 za hodinu). Můžete například omezovat následující operace:

  • Export Microsoft Entra Connect do Microsoft Entra ID.
  • Skripty PowerShellu nebo aplikace slouží k aktualizaci ID Microsoft Entra přímo i na pozadí, například v rámci dynamických skupin členství.
  • Uživatelé aktualizují vlastní záznamy identit, například registraci pro vícefaktorové ověřování nebo resetování hesla formou samoobsluhy.
  • Operace v grafickém uživatelském rozhraní

Naplánujte úlohy nasazení a údržby, abyste zajistili, že váš synchronizační cyklus Microsoft Entra Connect není ovlivněn omezeními výkonu. Pokud máte například velkou náborovou vlnu, ve které vytváříte tisíce identit uživatelů, může to způsobit aktualizace dynamických skupin členství, přiřazení licencí a registrace samoobslužného resetování hesla. Je lepší tyto zápisy rozložit do několika hodin nebo dnů.

Faktory databáze SQL

Velikost topologie služby Active Directory zdroje ovlivňuje výkon databáze SQL. Postupujte podle požadavků na hardware pro databázi SQL Serveru a zvažte následující doporučení:

  • Organizace s více než 100 000 uživateli můžou snížit latenci sítě díky společnému přidělení databáze SQL a modulu zřizování na stejném serveru.
  • Protokol pojmenovaných kanálů SQL se nepodporuje, protože představuje významná zpoždění v cyklu synchronizace a měl by být zakázán v nástroji SQL Server Configuration Manager v rámci nativních klientů SQL a sítě SQL Serveru. Mějte na paměti, že změna konfigurace pojmenovaných kanálů se projeví pouze po restartování databáze a služeb ADSync.
  • Vzhledem k vysokým požadavkům na vstup a výstup disku procesu synchronizace použijte diskové jednotky SSD (Solid State Drive) pro databázi SQL zřizovacího modulu pro optimální výsledky, pokud není to možné, zvažte konfiguraci RAID 0 nebo RAID 1.
  • Nedělejte úplnou synchronizaci zbytečně; způsobuje nepotřebné změny a zpomaluje reakční dobu.

Závěr

Pokud chcete optimalizovat výkon implementace Microsoft Entra Connect, zvažte následující doporučení:

  • Použijte doporučenou konfiguraci hardwaru na základě vaší velikosti implementace pro server Microsoft Entra Connect.
  • Při upgradu Microsoft Entra Connect ve velkých nasazeních zvažte použití metody swing migrace, abyste měli jistotu, že máte co nejmenší výpadek a nejlepší spolehlivost.
  • Pro zajištění nejlepšího výkonu zápisu použijte SSD pro databázi SQL.
  • Zálohování služby ADSync Database pomocí služby Azure Backup se nedoporučuje.
  • Vyfiltrujte obor služby Active Directory tak, aby zahrnoval pouze objekty, které je potřeba zřídit v MICROSOFT Entra ID, pomocí domény, organizační jednotky nebo filtrování atributů.
  • Pokud potřebujete změnit výchozí pravidla toku atributů, nejprve pravidlo zkopírujte, pak změňte kopii a zakažte původní pravidlo. Nezapomeňte spustit úplnou synchronizaci znovu.
  • Naplánujte dostatečný čas pro počáteční úplný běh synchronizace.
  • Snažte se dokončit cyklus rozdílové synchronizace do 30 minut. Pokud se rozdílový synchronizační profil nedokončí za 30 minut, upravte výchozí frekvenci synchronizace tak, aby zahrnovala úplný rozdílový cyklus synchronizace.
  • Monitorujte stav synchronizace Microsoft Entra Connect v MICROSOFT Entra ID.

Další kroky

Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.