Faktoren, die die Leistung von Microsoft Entra Connect beeinflussen
Microsoft Entra Connect synchronisiert Ihr Active Directory mit Microsoft Entra ID. Dieser Server ist eine wichtige Komponente beim Übertragen Ihrer Benutzeridentitäten in die Cloud. Diese Hauptfaktoren beeinflussen die Leistung eines Microsoft Entra Connect-Tools:
Designfaktor | Definition |
---|---|
Topologie | Die Verteilung der Endpunkte und Komponenten, die Microsoft Entra Connect im Netzwerk verwaltet. |
Skalieren | Die Anzahl von Objekten wie Benutzern, Gruppen und Organisationseinheiten (OE), die Microsoft Entra Connect verwaltet. |
Hardware | Die Hardware (physisch oder virtuell) des Microsoft Entra Connect-Tools und die abhängige Leistungskapazität jeder Hardwarekomponente einschließlich CPU-, Arbeitsspeicher-, Netzwerk- und Festplattenkonfiguration. |
Konfiguration | Funktionsweise der Verarbeitung von Verzeichnissen und Informationen durch Microsoft Entra Connect. |
Laden | Häufigkeit der Objektänderungen. Die Lasten können während einer Stunde, eines Tages oder einer Woche variieren. Je nach Komponente müssen Sie die Entwicklung ggf. an die Spitzen- oder Durchschnittslast anpassen. |
Dieses Dokument beschreibt die Faktoren, die die Leistung der Microsoft Entra Connect-Bereitstellungs-Engine beeinflussen. Große und komplexe Organisationen (Organisationen mit über 100.000 bereitgestellten Objekten) können die Empfehlungen nutzen, um ihre Microsoft Entra Connect-Implementierung zu optimieren, falls die hier erwähnten Leistungsprobleme auftreten. Die anderen Komponenten von Microsoft Entra Connect, z. B. Microsoft Entra Connect Health und Agents, werden hier nicht behandelt.
Wichtig
Microsoft unterstützt die Änderung oder den Einsatz von Microsoft Entra Connect außerhalb dieser formal dokumentierten Aktionen nicht. Eine dieser Aktionen kann zu einem inkonsistenten oder nicht unterstützten Status der Microsoft Entra Connect-Synchronisierung führen. Folglich kann Microsoft auch keinen technischen Support für solche Bereitstellungen leisten.
Komponentenfaktoren von Microsoft Entra Connect
Das folgende Diagramm zeigt die leistungsstarke Architektur der Bereitstellungs-Engine, die mit einer einzigen Gesamtstruktur verbunden ist, obwohl mehrere Gesamtstrukturen unterstützt werden. Diese Architektur veranschaulicht, wie die verschiedenen Komponenten miteinander interagieren.
Die Bereitstellungs-Engine stellt eine Verbindung mit jeder Active Directory-Gesamtstruktur und mit Microsoft Entra ID her. Das Lesen von Informationen aus jedem Verzeichnis wird als „Import“ bezeichnet. Der „Export“ umfasst die Aktualisierung der Verzeichnisse aus der Bereitstellungs-Engine. Die Synchronisierung wertet die Regeln aus, wie sich Objekte in der Bereitstellungs-Engine bewegen. Weitere Informationen finden Sie unter Microsoft Entra Connect Sync: Grundlagen der Architektur.
Microsoft Entra Connect verwendet die folgenden Stagingbereiche, Regeln und Prozesse, um die Synchronisierung zwischen Active Directory und Microsoft Entra ID zu ermöglichen:
- Connectorbereich: Objekte aus jedem verknüpften Verzeichnis, den eigentlichen Verzeichnissen, werden zuerst hier bereitgestellt, bevor sie von der Bereitstellungs-Engine verarbeitet werden. Microsoft Entra ID hat einen eigenen Connectorbereich und jede Gesamtstruktur, mit der Sie eine Verbindung herstellen, hat ebenfalls ihren eigenen Connectorbereich.
- Metaverse: Objekte, die synchronisiert werden müssen, werden hier auf Basis der Synchronisierungsregeln erstellt. Objekte müssen in der Metaverse vorhanden sein, bevor sie die anderen verknüpften Verzeichnisse mit Objekten und Attributen füllen können. Es gibt nur eine Metaverse.
- Synchronisierungsregeln: Sie entscheiden, welche Objekte erstellt (projiziert) oder mit Objekten in der Metaverse verbunden (verknüpft) werden. Die Synchronisierungsregeln bestimmen auch, welche Attributwerte in die und aus den Verzeichnissen kopiert oder transformiert werden.
- Ausführende Profile: Sie bündeln die Prozessschritte beim Kopieren von Objekten und deren Attributwerten gemäß den Synchronisierungsregeln zwischen den Stagingbereichen und den verbundenen Verzeichnissen.
Es gibt verschiedene ausführende Profile, um die Leistung der Bereitstellungs-Engine zu optimieren. Die meisten Organisationen verwenden Standardzeitpläne und -profile für normale Vorgänge, doch einige Organisationen müssen ggf. denZeitplan ändern oder andere ausführende Profile auslösen, um mit ungewöhnlichen Situationen umzugehen. Folgende ausführende Profile sind verfügbar:
Profil „Erste Synchronisierung“
Das Profil „Erste Synchronisierung“ ist der Prozess, bei dem die verbundenen Verzeichnisse, z.B. eine Active Directory-Gesamtstruktur, zum ersten Mal gelesen werden. Anschließend werden alle Einträge in der Datenbank der Synchronisierungs-Engine analysiert. Der erste Zyklus erstellt neue Objekte in Microsoft Entra ID und nimmt zusätzliche Zeit in Anspruch, falls Sie große Active Directory-Gesamtstrukturen haben. Die erste Synchronisierung umfasst die folgenden Schritte:
- Vollständiger Import auf allen Connectors
- Vollständige Synchronisierung auf allen Connectors
- Export auf allen Connectors
Profil „Deltasynchronisierung“
Um den Synchronisierungsvorgang zu optimieren, verarbeitet dieses ausführende Profil nur die Objektänderungen (Erstellen, Löschen und Aktualisieren) in Ihren verbundenen Verzeichnissen, die seit der letzten Synchronisierung vorgenommen wurden. Standardmäßig wird das Profil „Deltasynchronisierung“ alle 30 Minuten ausgeführt. Organisationen wird empfohlen, die benötigte Zeit unter 30 Minuten zu halten, damit Microsoft Entra ID auf dem neuesten Stand ist. Verwenden Sie für die Überwachung der Microsoft Entra Connect-Integrität den Health-Überwachungs-Agent, um alle Prozessprobleme anzuzeigen. Ein Profil „Deltasynchronisierung“ umfasst die folgenden Schritte:
- Deltaimport auf allen Connectors
- Deltasynchronisierung auf allen Connectors
- Export auf allen Connectors
Ein klassisches Deltasynchronisierungsszenario für Unternehmen sieht folgendermaßen aus:
- ~ 1 % der Objekte werden gelöscht
- ~ 1 % der Objekte werden erstellt
- ~ 5 % der Objekte werden geändert
Die Änderungsrate kann variieren, je nachdem, wie oft Ihre Organisation Benutzer in der Active Directory-Instanz aktualisiert. So können beispielsweise höhere Änderungsraten auftreten, wenn zeitweise Mitarbeiter eingestellt werden oder das Unternehmen verlassen.
Profil „Vollständige Synchronisierung“
Bei einer der folgenden Konfigurationsänderungen müssen Sie einen vollständigen Synchronisierungszyklus ausführen:
- Erweiterung des Bereichs der Objekte oder Attribute, die aus den verbundenen Verzeichnissen importiert werden. Z.B. wenn Sie Ihrem Importbereich eine Domäne oder eine Organisationseinheit hinzufügen.
- Änderungen an den Synchronisierungsregeln. Z. B. wenn Sie eine neue Regel erstellen, um den Titel eines Benutzers in Microsoft Entra ID mit den Angaben aus „extension_attribute3“ in Active Directory aufzufüllen. Dieses Update erfordert, dass die Bereitstellungs-Engine alle vorhandenen Benutzer erneut überprüft, um ihre Titel zu aktualisieren und Änderungen künftig anzuwenden.
Die folgenden Vorgänge sind in einem vollständigen Synchronisierungszyklus enthalten:
- Vollständiger Import auf allen Connectors
- Vollständige/Deltasynchronisierung auf allen Connectors
- Export auf allen Connectors
Hinweis
Eine sorgfältige Planung ist erforderlich, wenn Sie Massenupdates für viele Objekte in Ihrer Active Directory-Instanz oder Microsoft Entra ID ausführen. Massenupdates führen aufgrund zahlreicher Objektänderungen dazu, dass die Deltasynchronisierung mehr Zeit beim Import in Anspruch nimmt. Lange andauernde Importe sind auch dann möglich, wenn das Massenupdate keine Auswirkungen auf den Synchronisierungsprozess hat. Wenn Sie beispielsweise vielen Benutzern Lizenzen in Microsoft Entra ID zuweisen, führt dies zu einem langen Importzyklus in Microsoft Entra ID, jedoch nicht zu Attributänderungen in Active Directory.
Synchronization
Die Laufzeit des Synchronisierungsprozesses weist folgende Leistungsmerkmale auf:
- Die Synchronisierung ist ein Singlethreadvorgang. Das bedeutet, die Bereitstellungs-Engine führt keine parallele Verarbeitung von ausführenden Profilen verbundener Verzeichnisse, Objekte oder Attribute aus.
- Die Importzeit wächst linear mit der Anzahl von zu synchronisierenden Objekten. Wenn beispielsweise 10.000 Objekte 10 Minuten für den Import benötigen, dann benötigen 20.000 Objekte auf demselben Server etwa 20 Minuten.
- Der Export ist ebenfalls linear.
- Die Synchronisierung wächst exponentiell basierend auf der Anzahl von Objekten mit Verweisen auf andere Objekte. Gruppenmitgliedschaften und geschachtelte Gruppen haben die größte Auswirkung auf die Leistung, da die Mitglieder auf Benutzerobjekte oder andere Gruppen verweisen. Finden Sie diese Verweise und referenzieren Sie sie auf tatsächliche Objekte in der Metaverse, um den Synchronisierungszyklus abzuschließen.
- Das Ändern eines Gruppenmitglieds führt zu einer Neubewertung aller Gruppenmitglieder. Wenn Sie beispielsweise über eine Gruppe mit 50.000 Mitgliedern verfügen und nur 1 Mitglied aktualisieren, wird dadurch eine Synchronisierung aller 50.000 Mitglieder ausgelöst.
Filterung
Die Größe der zu importierenden Active Directory-Topologie hat den größten Einfluss auf die Leistung der internen Bereitstellungs-Engine-Komponenten und ihre erforderliche Gesamtzeit.
Verwenden Sie die Filterung, um die Objekte auf die synchronisierten zu reduzieren. Dadurch verhindern Sie, dass unnötige Objekte verarbeitet und in Microsoft Entra ID exportiert werden. Diese Filtertechniken stehen in der folgenden empfohlenen Reihenfolge zur Verfügung:
- Domänenbasierte Filterung: Mit dieser Option können Sie bestimmte Domänen für die Synchronisierung mit Microsoft Entra ID auswählen. Außerdem müssen Sie Domänen zur Konfiguration des Synchronisierungsmoduls hinzufügen und daraus entfernen, wenn Sie Änderungen an Ihrer lokalen Infrastruktur vornehmen, nachdem Sie die Microsoft Entra Connect-Synchronisierung installiert haben.
- Die OE-Filterung legt anhand von Organisationseinheiten bestimmte Objekte in Active Directory-Domänen für die Microsoft Entra ID-Bereitstellung fest. Diese Methode steht an zweiter Stelle, da sie einfache LDAP-Bereichsabfragen für den Import einer kleineren Teilmenge von Objekten aus Active Directory verwendet.
- Die Attributfilterung pro Objekt bestimmt anhand der Attributwerte von Objekten, ob ein bestimmtes Active Directory-Objekt in Microsoft Entra ID bereitgestellt wird. Diese Methode ist ideal für die Feinabstimmung Ihrer Filter, wenn die domänenbasierte und OE-Filterung nicht den spezifischen Filteranforderungen entsprechen. Die Attributfilterung reduziert nicht die Importzeit, sondern ggf. die Synchronisierungs- und Exportzeiten.
- Die gruppenbasierte Filterung legt anhand der Gruppenzugehörigkeit fest, ob Objekte in Microsoft Entra ID bereitgestellt werden. Diese Methode ist nur für Testzwecke und nicht für die Produktion geeignet, weil beim Synchronisierungszyklus zusätzlicher Aufwand für die Überprüfung der Gruppenzugehörigkeit anfällt.
Viele persistente Disconnectorobjekte in Ihrem Active Directory-Connectorbereich können zu längeren Synchronisierungszeiten führen, da die Bereitstellungs-Engine jedes Disconnectorobjekt für eine mögliche Verbindung im Synchronisierungszyklus neu bewerten muss. Mit den folgenden Empfehlungen können Sie dieses Problem umgehen:
- Platzieren Sie die Disconnectorobjekte mithilfe der domänenbasierten oder OE-Filterung außerhalb des Importbereichs.
- Projizieren/verbinden Sie die Objekte mit der Metaverse, und setzen Sie das Attribut cloudFiltered auf TRUE, um die Bereitstellung dieser Objekte im Microsoft Entra-Connectorbereich zu verhindern.
Hinweis
Beim Filtern von zu vielen Objekten können der Überblick verloren gehen oder Probleme mit Anwendungsberechtigungen auftreten. In einer hybriden Exchange Online-Implementierung werden Benutzern mit lokalen Postfächern beispielsweise mehr Benutzer in ihrer globalen Adressliste angezeigt als Benutzern mit Postfächern in Exchange Online. In anderen Fällen möchte ein Benutzer ggf. einem anderen Benutzer den Zugriff auf eine Cloud-App gewähren, was nicht zum Umfang der gefilterten Objektmenge gehört.
Attributflüsse
Attributflüsse bezeichnen das Kopieren oder Transformieren der Attributwerte von Objekten aus einem verbundenen Verzeichnis in ein anderes verbundenes Verzeichnis. Sie sind als Teil der Synchronisierungsregeln definiert. Wenn beispielsweise die Telefonnummer eines Benutzers in Ihrer Active Directory-Instanz geändert wird, wird die Telefonnummer in Microsoft Entra ID aktualisiert. Organisationen können die Attributflüsse ändern, um verschiedenen Anforderungen zu erfüllen. Es wird empfohlen, die vorhandenen Attributflüsse vor dem Ändern zu kopieren.
Einfache Umleitungen, z.B. das Verschieben eines Attributwerts zu einem anderen Attribut, haben keinen wesentlichen Einfluss auf die Leistung. Ein Beispiel für eine Umleitung ist das Senden einer Mobiltelefonnummer in Active Directory an die Bürotelefonnummer in Microsoft Entra ID.
Das Transformieren von Attributwerten kann sich auf die Leistung des Synchronisierungsprozesses auswirken. Dieser Vorgang umfasst das Modifizieren, erneute Formatieren, Verketten und Subtrahieren von Attributwerten.
Organisationen können verhindern, dass bestimmte Attribute nach Microsoft Entra ID verschoben werden, doch dies hat keinen Einfluss auf die Leistung der Bereitstellungs-Engine.
Hinweis
Löschen Sie keine unerwünschten Attributflüsse in Ihren Synchronisierungsregeln. Es wird empfohlen, diese stattdessen zu deaktivieren, da gelöschte Regeln bei Microsoft Entra Connect-Upgrades neu erstellt werden.
Microsoft Entra Connect-Abhängigkeitsfaktoren
Die Leistung von Microsoft Entra Connect hängt von der Leistung der verbundenen Verzeichnisse ab, in die das Tool importiert bzw. aus denen es exportiert. Ein Beispiel wäre die Größe der zu importierenden Active Directory-Instanz oder die Netzwerklatenz von Microsoft Entra. Auch die von der Bereitstellungs-Engine verwendete SQL-Datenbank wirkt sich auf die Gesamtleistung des Synchronisierungszyklus aus.
Faktoren von Active Directory
Wie bereits erwähnt, beeinflusst die Anzahl von zu importierenden Objekten die Leistung erheblich. Die Hardware und die Voraussetzungen für Microsoft Entra Connect erläutern spezifische Hardwareschichten, die auf der Größe Ihrer Bereitstellung basieren. Microsoft Entra Connect unterstützt nur bestimmte Topologien, wie unter Topologien für Microsoft Entra Connect beschrieben. Es gibt keine Leistungsoptimierungen und Empfehlungen für nicht unterstützte Topologien.
Stellen Sie sicher, dass Ihr Microsoft Entra Connect-Server die Hardwareanforderungen erfüllt, die sich aus der Größe Ihrer zu importierenden Active Directory-Instanz ergeben. Eine schlechte oder langsame Netzwerkverbindung zwischen dem Microsoft Entra Connect-Server und Ihren Active Directory-Domänencontrollern kann den Import verlangsamen.
Microsoft Entra ID-Faktoren
Microsoft Entra ID schützt den Clouddienst mithilfe von Drosselung vor DoS-Angriffen (Denial-of-Service). Derzeit hat Microsoft Entra ID ein Drosselungslimit von 7.000 Schreibvorgängen alle 5 Minuten (84.000 pro Stunde). Unter anderem lassen sich die folgenden Vorgänge drosseln:
- Microsoft Entra Connect-Export in Microsoft Entra ID.
- PowerShell-Skripte oder -Anwendungen, die die Microsoft Entra-ID direkt aktualisieren, auch im Hintergrund, wie z. B. dynamische Mitgliedergruppen.
- Benutzer, die ihre eigenen Identitätsdatensätze aktualisieren, z.B. die Registrierung für die mehrstufige Authentifizierung oder die Self-Service-Kennwortzurücksetzung
- Vorgänge innerhalb der grafischen Benutzeroberfläche
Planen Sie Bereitstellungs- und Wartungsaufgaben, damit Ihr Microsoft Entra Connect Sync-Zyklus nicht durch Drosselungslimits eingeschränkt wird. Wenn Sie beispielsweise eine große Einstellungswelle haben, bei der Sie Tausende von Benutzenden erstellen, kann dies zu Aktualisierungen von dynamischen Mitgliedergruppen, Lizenzzuweisungen und Self-Service-Registrierungen zur Zurücksetzung von Kennwörtern führen. Es wird empfohlen, diese Schreibvorgänge über mehrere Stunden oder Tage zu verteilen.
Faktoren der SQL-Datenbank
Die Größe Ihrer Active Directory-Quelltopologie wirkt sich auf die Leistung Ihrer SQL-Datenbank aus. Berücksichtigen Sie die Hardwareanforderungen für die SQL Server-Datenbank und beachten Sie die folgenden Empfehlungen:
- Organisationen mit über 100.000 Benutzern können Netzwerklatenzen reduzieren, indem sie die SQL-Datenbank und die Bereitstellungs-Engine auf demselben Server sichern.
- Das SQL Named Pipes-Protokoll wird nicht unterstützt, da es zu erheblichen Verzögerungen im Synchronisierungszyklus führt und im SQL Server-Konfigurations-Manager unter „Native SQL-Clients und SQL Server-Netzwerk“ deaktiviert werden sollte. Beachten Sie, dass das Ändern der Named Pipes-Konfiguration erst nach dem Neustart der Datenbank- und ADSync-Dienste wirksam wird.
- Verwenden Sie aufgrund der hohen Anforderungen an die Datenträgerein- und -ausgabe (E/A) des Synchronisierungsprozesses zum Erzielen optimaler Ergebnisse SSDs für die SQL-Datenbank der Bereitstellungs-Engine. Wenn das nicht möglich ist, werden RAID 0- bzw. RAID 1-Konfigurationen empfohlen.
- Führen Sie eine vollständige Synchronisierung nicht präventiv durch – das verursacht unnötige Änderungen und langsamere Antwortzeiten.
Zusammenfassung
Beachten Sie die folgenden Empfehlungen, um die Leistung Ihrer Microsoft Entra Connect Implementierung zu optimieren:
- Verwenden Sie die empfohlene Hardwarekonfiguration basierend auf Ihrer Implementierungsgröße für den Microsoft Entra Connect-Server.
- Verwenden Sie für Microsoft Entra Connect-Upgrades in großen Bereitstellungen die Swingmigration, um die geringste Downtime und die beste Zuverlässigkeit zu gewährleisten.
- Verwenden Sie SSDs für die SQL-Datenbank für die optimale Schreibleistung.
- Das Sichern der ADSync-Datenbank mit Azure Backup wird nicht empfohlen.
- Wenden Sie domänenbasierte, OE- oder Attributfilter für den Active Directory-Bereich an, um nur die Objekte zu berücksichtigen, die in Microsoft Entra ID bereitgestellt werden müssen.
- Wenn Sie die Standardregeln von Attributflüssen ändern möchten, kopieren Sie zuerst die Regel, ändern Sie die Kopie, und deaktivieren Sie dann die ursprüngliche Regel. Denken Sie daran, eine vollständige Synchronisierung erneut auszuführen.
- Planen Sie genügend Zeit für das ausführende Profil der ersten vollständigen Synchronisierung ein.
- Versuchen Sie, den Deltasynchronisierungszyklus in 30 Minuten abzuschließen. Wenn das Profil „Deltasynchronisierung“ nicht innerhalb von 30 Minuten abgeschlossen ist, ändern Sie die Standardsynchronisierungshäufigkeit, um einen vollständigen Deltasynchronisierungszyklus einzuschließen.
- Überwachen Sie die Integrität Ihrer Microsoft Entra Connect Sync in Microsoft Entra ID.
Nächste Schritte
Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.