Installieren von Microsoft Entra Connect mithilfe einer vorhandenen ADSync-Datenbank

  • Artikel

Microsoft Entra Connect erfordert eine SQL Server-Datenbank zum Speichern von Daten. Sie können entweder die mit Microsoft Entra Connect installierte SQL Server 2019 Express LocalDB-Standardinstanz oder Ihre eigene vollständige Version von SQL Server verwenden. Bei der Installation von Microsoft Entra Connect wurde bisher immer eine neue Datenbank mit dem Namen ADSync erstellt. Ab Microsoft Entra Connect Version 1.1.613.0 können Sie Microsoft Entra Connect optional mit einem Verweis auf eine vorhandene ADSync-Datenbank installieren.

Vorteile der Verwendung einer vorhandenen ADSync-Datenbank

Mit Verweis auf eine vorhandene ADSync-Datenbank:

  • Mit Ausnahme von Anmeldeinformationen wird die in der ADSync-Datenbank gespeicherte Konfiguration der Synchronisierung (einschließlich benutzerdefinierter Synchronisierungsregeln, Connectors, Filter und Konfiguration optionaler Funktionen) während der Installation automatisch wiederhergestellt und verwendet. Anmeldeinformationen, die von Microsoft Entra Connect verwendet werden, um Änderungen mit lokalem AD und Microsoft Entra ID zu synchronisieren, sind verschlüsselt und können nur vom vorherigen Microsoft Entra Connect-Server zugegriffen werden.
  • Alle in der ADSync-Datenbank gespeicherten (mit Connectorbereichen und Metaverse verknüpften) Identitätsdaten und Synchronisierungscookies werden auch wiederhergestellt. Die neu installierte Microsoft Entra Connect-Serverinstanz kann weiterhin von dort synchronisieren, wo die vorherige Microsoft Entra Connect-Serverinstanz aufgehört hat – eine vollständige Synchronisierung ist nicht erforderlich.

Szenarien, in denen die Verwendung einer vorhandenen ADSync-Datenbank vorteilhaft ist

Diese Vorteile liegen in folgenden Szenarien vor:

  • Sie haben eine bestehende Microsoft Entra Connect-Bereitstellung. Ihre vorhandene Microsoft Entra Connect-Serverinstanz funktioniert nicht mehr, aber die SQL-Serverinstanz mit der ADSync-Datenbank ist noch funktionsfähig. Sie können eine neue Microsoft Entra Connect-Serverinstanz installieren und sie auf die vorhandene ADSync-Datenbank verweisen.
  • Sie haben eine bestehende Microsoft Entra Connect-Bereitstellung. Ihre SQL-Serverinstanz mit der ADSync-Datenbank funktioniert nicht mehr. Sie besitzen jedoch eine aktuelle Sicherung der Datenbank. Sie können zunächst die ADSync-Datenbank in einer neuen SQL-Serverinstanz wiederherstellen. Anschließend können Sie eine neue Microsoft Entra Connect-Serverinstanz installieren und sie auf die wiederhergestellte AdSync-Datenbank verweisen.
  • Sie haben eine vorhandene Bereitstellung von Microsoft Entra Connect, die LocalDB verwendet. Aufgrund der 10-GB-Grenze von LocalDB möchten Sie zu vollständigem SQL migrieren. Sie können die ADSync-Datenbank von LocalDB sichern und in einer SQL-Serverinstanz wiederherstellen. Anschließend können Sie eine neue Microsoft Entra Connect-Serverinstanz erneut installieren und sie auf die wiederhergestellte AdSync-Datenbank verweisen.
  • Sie versuchen, einen Stagingserver einzurichten, und möchten sicherstellen, dass seine Konfiguration mit der des derzeit aktiven Servers übereinstimmt. Sie können die ADSync-Datenbank sichern und in einer anderen SQL-Serverinstanz wiederherstellen. Anschließend können Sie eine neue Microsoft Entra Connect-Serverinstanz erneut installieren und sie auf die wiederhergestellte AdSync-Datenbank verweisen.

Erforderliche Informationen

Bevor Sie fortfahren, beachten Sie die folgenden wichtigen Hinweise:

  • Informieren Sie sich unbedingt über die Voraussetzungen der Installation von Microsoft Entra Connect – insbesondere die erforderliche Hardware, und welche Konten und Berechtigungen für die Installation von Microsoft Entra Connect erforderlich sind. Die für die Installation von Microsoft Entra Connect erforderlichen Berechtigungen sind im Modus Vorhandene Datenbank verwenden mit denen der benutzerdefinierten Installation identisch.
  • Bereitstellen von Microsoft Entra Connect für eine vorhandene ADSync-Datenbank wird nur mit vollständigem SQL unterstützt. Mit SQL Express LocalDB wird dies nicht unterstützt. Wenn Sie eine vorhandene ADSync-Datenbank in LocalDB besitzen, die Sie verwenden möchten, müssen Sie zuerst die ADSync-Datenbank (LocalDB) sichern und als vollständiges SQL wiederherstellen. Anschließend können Sie Microsoft Entra Connect mit dieser Methode für die wiederhergestellte Datenbank bereitstellen.
  • Die zur Installation verwendete Version von Microsoft Entra Connect muss die folgenden Kriterien erfüllen:
    • 1.1.613.0 oder höher UND
    • Mindestens die zuletzt mit der ADSync-Datenbank verwendete Version von Microsoft Entra Connect. Wenn die zur Installation verwendete Microsoft Entra Connect-Version höher ist als die zuletzt mit der ADSync-Datenbank verwendete Version, kann eine vollständige Synchronisierung erforderlich sein. Volle Synchronisierung ist erforderlich, wenn zwischen den beiden Versionen Schema- oder Synchronisierungsregeländerungen vorliegen.
  • Die verwendete ADSync-Datenbank sollte einen relativ aktuellen Synchronisierungsstatus aufweisen. Die letzte Synchronisierungsaktivität mit der vorhandenen ADSync-Datenbank sollte innerhalb der letzten drei Wochen erfolgt sein, andernfalls ist ein vollständiger Import aus Microsoft Entra ID erforderlich, um das Wasserzeichen des Verzeichnisses zu aktualisieren.
  • Bei Installation von Microsoft Entra Connect mit der Methode Vorhandene Datenbank verwenden wird die auf der vorherigen Microsoft Entra Connect-Serverinstanz konfigurierte Anmeldemethode nicht beibehalten. Darüber hinaus können Sie die Anmeldemethode während der Installation nicht konfigurieren. Sie können die Anmeldemethode erst konfigurieren, nachdem die Installation abgeschlossen ist.
  • Mehrere Microsoft Entra Connect-Serverinstanzen können nicht dieselbe ADSync-Datenbank nutzen. Die Methode „Vorhandene Datenbank verwenden“ ermöglicht Ihnen das Wiederverwenden einer vorhandenen ADSync-Datenbank mit einer neuen Microsoft Entra Connect-Serverinstanz. Sie unterstützt nicht die gemeinsame Nutzung.

Schritte zum Installieren von Microsoft Entra Connect mit dem Modus „Vorhandene Datenbank verwenden“

  1. Laden Sie den Microsoft Entra Connect-Installer (AzureADConnect.MSI) auf den Windows-Server herunter. Doppelklicken Sie auf das Installationsprogramm Microsoft Entra Connect, um mit der Installation von Microsoft Entra Connect zu beginnen.
  2. Sobald die MSI-Installation abgeschlossen ist, wird der Microsoft Entra Connect-Assistent mit dem Setup im Express-Modus gestartet. Schließen Sie den Bildschirm durch Klicken auf das Symbol „Beenden“. Screenshot that shows the
  3. Rufen Sie eine neue Eingabeaufforderung oder PowerShell-Sitzung auf. Navigieren Sie zum Ordner „\C:\Program Files\Microsoft Entra Connect“. Führen Sie den Befehl „.\AzureADConnect.exe /useexistingdatabase“ aus, um den Microsoft Entra Connect-Assistenten im Setupmodus „Vorhandene Datenbank verwenden“ auszuführen.

Hinweis

Verwenden Sie den Schalter /UseExistingDatabase nur, wenn die Datenbank bereits Daten aus einer früheren Installation von Microsoft Entra Connect enthält. Dies kann beispielsweise der Fall sein, wenn Sie aus einer lokalen Datenbank zu einer vollständigen SQL Server-Datenbank wechseln oder wenn der Microsoft Entra Connect-Server neu erstellt wurde und Sie eine SQL-Sicherung der ADSync-Datenbank aus einer früheren Installation von Microsoft Entra Connect wiederhergestellt haben. Wenn die Datenbank leer ist (also keine Daten aus einer früheren Microsoft Entra Connect-Installation enthält), überspringen Sie diesen Schritt.

PowerShell

  1. Sie werden mit dem Bildschirm „Willkommen bei Microsoft Entra Connect“ begrüßt. Wenn Sie den Lizenzbedingungen und dem Datenschutzhinweis zugestimmt haben, klicken Sie auf Fortfahren. Screenshot that shows the

  2. Auf dem Bildschirm Erforderliche Komponenten installieren ist die Option Vorhandenen SQL Server-Computer verwenden aktiviert. Geben Sie den Namen der SQL-Server-Instanz an, auf der die ADSync-Datenbank gehostet wird. Wenn die zum Hosten der ADSync-Datenbank verwendete SQL Engine-Instanz nicht die Standardinstanz auf dem SQL Server-Computer ist, müssen Sie den Namen der SQL Engine-Instanz angeben. Darüber hinaus müssen Sie, wenn das SQL-Durchsuchen nicht aktiviert ist, auch die Portnummer der SQL Engine-Instanz angeben. Beispiel:
    Screenshot that shows the

  3. Auf der Seite Mit Microsoft Entra ID verbinden müssen Sie die Anmeldeinformationen eines Kontos mit der Rolle „Hybrididentitätsadministrator“ für Ihr Verzeichnis in Microsoft Entra ID angeben. Sie sollten ein Konto in der standardmäßigen Domäne „onmicrosoft.com“ verwenden. Dieses Konto dient ausschließlich der Erstellung eines Dienstkontos in Microsoft Entra ID und wird nach Abschluss des Assistenten nicht mehr verwendet. Connect

  4. Auf dem Bildschirm Verzeichnisse verbinden wird die für die Verzeichnissynchronisierung konfigurierte vorhandene AD-Gesamtstruktur mit einem roten Kreuzsymbol aufgelistet. Zum Synchronisieren der Änderungen von einer lokalen AD-Gesamtstruktur ist ein AD DS-Konto erforderlich. Der Microsoft Entra Connect-Assistent kann nicht die Anmeldeinformationen des in der ADSync-Datenbank gespeicherten AD DS-Kontos abrufen, da die Anmeldeinformationen verschlüsselt sind und nur von der vorherigen Microsoft Entra Connect-Serverinstanz entschlüsselt werden können. Klicken Sie auf Anmeldeinformationen ändern, um das AD DS-Konto für die AD-Gesamtstruktur anzugeben. Directories

  5. Im Popupdialogfeld können Sie entweder (i) eine Enterprise-Administratoranmeldeinfo eingeben und Microsoft Entra Connect das AD DS-Konto für Sie erstellen lassen, oder (ii) das AD DS-Konto selbst erstellen und Microsoft Entra Connect die Anmeldeinformationen angeben. Nachdem Sie eine Option ausgewählt und die erforderlichen Anmeldeinformationen angeben haben, klicken Sie auf OK, um das Popupdialogfeld zu schließen. Screenshot that shows the pop-up dialog

  6. Sobald die Anmeldeinformationen bereitgestellt sind, wird das rote Kreuzsymbol durch ein grünes Häkchensymbol ersetzt. Klicken Sie auf Weiter. Screenshot that shows the

  7. Klicken Sie auf dem Bildschirm Bereit zur Konfiguration auf Installieren. Welcome

  8. Nachdem die Installation abgeschlossen ist, wird die Microsoft Entra Connect-Serverinstanz automatisch für den Stagingmodus aktiviert. Sie sollten die Serverkonfiguration und ausstehenden Exporte vor dem Deaktivieren des Stagingmodus auf unerwartete Änderungen überprüfen.

Aufgaben nach der Installation

Bei der Wiederherstellung einer Datenbanksicherung, die mit einer Version von Microsoft Entra Connect vor 1.2.65.0 erstellt wurde, wählt der Stagingserver automatisch die Anmeldemethode Nicht konfigurieren. Während die Einstellungen für die Kennworthashsynchronisierung und die Kennwortrückschreibung wiederhergestellt werden, müssen Sie die Anmeldemethode anschließend so ändern, dass sie mit den anderen für Ihren aktiven Synchronisationsserver geltenden Richtlinien übereinstimmt. Wenn diese Schritte nicht ausgeführt werden, kann es vorkommen, dass sich Benutzer nicht anmelden können, wenn dieser Server aktiv wird.

Anhand der folgenden Tabelle können Sie überprüfen, ob zusätzliche Schritte erforderlich sind.

Funktion Schritte
Kennworthashsynchronisierung Die Kennworthashsynchronisierung und die Kennwortrückschreibung werden für Versionen von Microsoft Entra Connect ab 1.2.65.0 vollständig wiederhergestellt. Wenn Sie die Wiederherstellung mit einer älteren Version von Microsoft Entra Connect durchführen, überprüfen Sie die Einstellungen der Synchronisierungsoptionen für diese Funktionen, um sicherzustellen, dass sie mit Ihrem aktiven Synchronisierungsserver übereinstimmen. Es sollten keine anderen Konfigurationsschritte erforderlich sein.
Verbund mit AD FS Azure-Authentifizierungen verwenden weiterhin die für Ihren aktiven Synchronisationsserver konfigurierte AD FS-Richtlinie. Wenn Sie Microsoft Entra Connect verwenden, um Ihre AD FS-Farm zu verwalten, können Sie optional die Anmeldemethode für den AD FS-Verbund ändern, damit Ihr Standbyserver zur aktiven Synchronisationsinstanz wird. Wenn auf dem aktiven Synchronisationsserver Geräteoptionen aktiviert sind, konfigurieren Sie diese Optionen auf diesem Server, indem Sie die Aufgabe „Geräteoptionen konfigurieren“ ausführen.
Pass-Through-Authentifizierung und einmaliges Anmelden beim Desktop Aktualisieren Sie die Anmeldemethode, um die Konfiguration auf Ihrem aktiven Synchronisationsserver anzupassen. Wenn diese nicht erfolgt, bevor der Server zum primären Server hochgestuft wird, wird die Passthrough-Authentifizierung zusammen mit der nahtlosen einmaligen Anmeldung deaktiviert und Ihr Mandant wird möglicherweise gesperrt, wenn Sie über keine Sicherungsanmeldeoption zur Kennwort-Hashsynchronisierung verfügen. Beachten Sie auch, dass, wenn Sie die Pass-Through-Authentifizierung im Stagingmodus aktivieren, ein neuer Authentifizierungs-Agent installiert, registriert und als hochverfügbarer Agent ausgeführt wird, der Anmeldeanforderungen akzeptiert.
Verbund mit PingFederate Azure-Authentifizierungen verwenden weiterhin die für Ihren aktiven Synchronisationsserver konfigurierte PingFederate-Richtlinie. Sie können optional die Anmeldemethode für die PingFederate-Vorbereitung ändern, damit Ihr Standbyserver zur aktiven Synchronisationsinstanz wird. Dieser Schritt kann verschoben werden, bis Sie zusätzliche Domänen mit PingFederate verbinden müssen.

Nächste Schritte