Importieren und Exportieren von Microsoft Entra Connect-Konfigurationseinstellungen

Microsoft Entra Connect-Bereitstellungen reichen von Installationen mit einer einzelnen Gesamtstruktur im Expressmodus bis zu komplexen Bereitstellungen, die über mehrere Gesamtstrukturen hinweg mittels benutzerdefinierter Synchronisierungsregeln synchronisiert werden. Aufgrund der großen Anzahl von Konfigurationsoptionen und -mechanismen ist es von entscheidender Bedeutung, dass Sie verstehen, welche Einstellungen aktiv sind, und schnell in der Lage sind, einen Server mit einer identischen Konfiguration bereitzustellen. Mit diesem Feature wird die Möglichkeit eingeführt, die Konfiguration eines bestimmten Synchronisierungsservers zu katalogisieren und die Einstellungen in eine neue Bereitstellung zu importieren. Sie können verschiedene Momentaufnahmen der Synchronisierungseinstellungen vergleichen, um die Unterschiede zwischen zwei Servern oder demselben Server im Laufe der Zeit leicht zu visualisieren.

Jedes Mal, wenn die Konfiguration vom Microsoft Entra Connect-Assistenten geändert wird, wird automatisch eine neue JSON-Einstellungsdatei mit Zeitstempel nach %ProgramData%\AADConnect exportiert. Der Name der Einstellungsdatei weist das Formular Applied-SynchronizationPolicy-*.JSONauf, wobei der letzte Teil des Dateinamens ein Zeitstempel ist.

Wichtig

Nur von Microsoft Entra Connect vorgenommene Änderungen werden automatisch exportiert. Alle mit PowerShell, Synchronization Service Manager oder dem Synchronisierungsregel-Editor vorgenommenen Änderungen müssen nach Bedarf exportiert werden, um eine aktuelle Kopie zu erhalten. Sie können auch export on demand verwenden, um eine Kopie der Einstellungen an einem sicheren Ort für Notfallwiederherstellungszwecke zu platzieren.

Sie können dieses Feature nicht verwenden, wenn die Microsoft Entra Connect-Installation so geändert wurde, dass sie den G-SQL-Connector oder den G-LDAP-Connector enthält. Sie können dieses Feature auch nicht kombinieren, wenn Sie eine vorhandene Microsoft Entra Connect-Synchronisierungsdatenbank verwenden. Die Verwendung der Import-/Exportkonfiguration und die Verwendung einer vorhandenen Datenbank schließen sich gegenseitig aus.

Exportieren von Microsoft Entra Connect-Einstellungen

Um eine Zusammenfassung Ihrer Konfigurationseinstellungen anzuzeigen, öffnen Sie das Microsoft Entra Connect-Tool, und wählen Sie die Aufgabe mit dem Namen "Ansicht" oder "Aktuelle Konfiguration exportieren" aus. Eine kurze Zusammenfassung der Einstellungen wird angezeigt, und Sie erhalten die Möglichkeit zum Exportieren der vollständigen Konfiguration Ihres Servers.

Standardmäßig werden die Einstellungen nach %ProgramData%\AADConnect exportiert. Sie können auch festlegen, dass die Einstellungen an einem geschützten Speicherort gespeichert werden, um die Verfügbarkeit sicherzustellen, wenn ein Notfall auftritt. Einstellungen werden mithilfe des JSON-Dateiformats exportiert und sollten nicht von Hand erstellt oder bearbeitet werden, um die logische Konsistenz sicherzustellen. Das Importieren manuell erstellter oder bearbeiteter Dateien wird nicht unterstützt und kann zu unerwarteten Ergebnissen führen.

Importieren von Microsoft Entra Connect-Einstellungen

Gehen Sie wie folgt vor, um zuvor exportierte Einstellungen zu importieren:

1. Installieren Sie Microsoft Entra Connect auf einem neuen Server.

2. Wählen Sie nach der Willkommensseite die Option "Anpassen" aus.

3. Wählen Sie Synchronisierungseinstellungen importieren aus. Suchen Sie nach der zuvor exportierten JSON-Einstellungsdatei.

4. Klicken Sie auf Installieren.

   

Überschreiben Sie Einstellungen auf dieser Seite, wie die Verwendung von SQL Server anstelle von LocalDB oder die Verwendung eines vorhandenen Dienstkontos anstelle eines standardmäßigen virtuellen Dienstkontos. Diese Einstellungen werden aus der Datei mit den Konfigurationseinstellungen nicht importiert. Sie sind für Informations- und Vergleichszwecke da.

Das Ändern der exportierten JSON-Datei zum Ändern der Konfiguration wird nicht unterstützt.

Importinstallationsoberfläche

Die Importinstallationsoberfläche ist mit einem Mindestmaß an Benutzereingaben absichtlich einfach gehalten, um die Reproduktion eines vorhandenen Servers zu erleichtern.

Der folgende Abschnitt zeigt die Änderungen, die Sie während der Installation vornehmen können. Alle anderen Änderungen müssen nach der Installation vom Microsoft Entra Connect-Assistenten vorgenommen werden:

• Microsoft Entra-Anmeldeinformationen: Der Kontoname für den Administrator, der zum Konfigurieren des ursprünglichen Servers verwendet wird, wird standardmäßig vorgeschlagen. Es muss geändert werden, wenn Sie Informationen in ein neues Verzeichnis synchronisieren möchten.
• Benutzeranmeldedaten: Die standardmäßig aktivierten Anmeldeoptionen für Ihren Ursprungsserver werden automatisch ausgewählt und fordern automatisch Anmeldeinformationen oder andere Informationen an, die während der Konfiguration benötigt werden. In seltenen Fällen müssen Sie möglicherweise einen Server mit unterschiedlichen Optionen einrichten, um eine Änderung des Verhaltens des aktiven Servers zu vermeiden. Wählen Sie andernfalls Weiter aus, um dieselben Einstellungen zu verwenden.
• Lokale Verzeichnisanmeldeinformationen: Für jedes lokale Verzeichnis, das in Ihren Synchronisierungseinstellungen enthalten ist, müssen Sie Anmeldeinformationen angeben, um ein Synchronisierungskonto zu erstellen oder ein vordefiniertes benutzerdefiniertes Synchronisierungskonto bereitzustellen. Diese Vorgehensweise ist mit der Neuinstallation identisch, mit der Ausnahme, dass Sie keine Verzeichnisse hinzufügen oder entfernen können.
• Konfigurationsoptionen: Wie bei einer Neuinstallation können Sie auswählen, ob Sie die anfänglichen Einstellungen für den automatischen Start der Synchronisierung konfigurieren oder den Staging-Modus aktivieren möchten. Der Hauptunterschied besteht darin, dass der Stagingmodus standardmäßig aktiviert ist, um einen Vergleich der Konfigurations- und Synchronisierungsergebnisse zu ermöglichen, bevor die Ergebnisse aktiv nach Microsoft Entra ID exportiert werden.

Nur ein Synchronisierungsserver kann sich in der primären Rolle befinden und Konfigurationsänderungen aktiv in Microsoft Entra ID exportieren. Alle übrigen Server müssen in den Stagingmodus versetzt werden.

Migrieren von Einstellungen eines vorhandenen Servers

Wenn ein vorhandener Server die Einstellungsverwaltung nicht unterstützt, können Sie entweder das Upgrade des Servers vornehmen oder die Einstellungen für die Verwendung auf einem neuen Stagingserver migrieren.

Für die Migration muss ein PowerShell-Skript ausgeführt werden, das die vorhandenen Einstellungen zur Verwendung in einer neuen Installation extrahiert. Verwenden Sie diese Methode, um die Einstellungen des vorhandenen Servers zu katalogisieren und dann auf einen neu installierten Stagingserver anzuwenden. Durch den Vergleich der Einstellungen für den ursprünglichen Server mit einem neu erstellten Server werden die Änderungen zwischen den Servern schnell visualisiert. Befolgen Sie wie immer den Zertifizierungsprozess Ihrer Organisation, um sicherzustellen, dass keine andere Konfiguration erforderlich ist.

Migrationsprozess

Gehen Sie wie folgt vor, um die Einstellungen zu migrieren:

1. Starten Sie AzureADConnect.msi auf dem neuen Staging-Server, und halten Sie an auf der Willkommensseite von Microsoft Entra Connect.

2. Kopieren Sie MigrateSettings.ps1 aus dem Verzeichnis "Microsoft Entra Connect\Tools" an einen Speicherort auf dem vorhandenen Server. Ein Beispiel ist "C:\setup", wobei setup ein Verzeichnis ist, das auf dem vorhandenen Server erstellt wurde.

   

   Wenn der Fehler Message: A positional parameter cannot be found that accepts argument 'True'.angezeigt wird:

   

   Bearbeiten Sie dann die MigrateSettings.ps1 Datei, entfernen Sie $true und führen Sie das Skript aus:

   

3. Führen Sie das Skript wie im folgenden Screenshot dargestellt aus, und speichern Sie das gesamte Konfigurationsverzeichnis auf dem Downlevel des Servers. Kopieren Sie dieses Verzeichnis auf den neuen Stagingserver. Sie müssen den gesamten Exported-ServerConfiguration-* Ordner auf den neuen Server kopieren.

   

   

4. Starten Sie Microsoft Entra Connect, indem Sie auf dem Desktop auf das entsprechende Symbol doppelklicken. Akzeptieren Sie die Microsoft-Software-Lizenzbedingungen, und wählen Sie dann auf der nächsten Seite die Option Anpassen aus.

5. Aktivieren Sie das Kontrollkästchen " Synchronisierungseinstellungen importieren ". Wählen Sie "Durchsuchen" aus, um den kopierten Exported-ServerConfiguration-* Ordner zu durchsuchen. Wählen Sie diese Option MigratedPolicy.json aus, um die migrierten Einstellungen zu importieren.

   

Überprüfung nach der Installation

Der Vergleich der ursprünglich importierten Einstellungsdatei mit der exportierten Einstellungsdatei des neu bereitgestellten Servers ist ein wichtiger Schritt, um die Unterschiede zwischen der beabsichtigten und der resultierenden Bereitstellung zu verstehen. Mit Ihrer bevorzugten Anwendung zum Textvergleich erhalten Sie sofort eine Darstellung, in der alle gewünschten oder versehentlichen Änderungen hervorgehoben sind.

Obwohl viele früher manuelle Konfigurationsschritte beseitigt sind, sollten Sie den Zertifizierungsprozess Ihrer Organisation dennoch befolgen, um sicherzustellen, dass keine andere Konfiguration erforderlich ist. Diese Konfiguration kann auftreten, wenn Sie erweiterte Einstellungen verwenden, die derzeit in dieser Version der Einstellungsverwaltung nicht erfasst werden.

Die folgenden Einschränkungen sind bekannt:

• Synchronisierungsregeln: Der Vorrang für eine benutzerdefinierte Regel muss im reservierten Bereich von 0 bis 99 liegen, um Konflikte mit den Microsoft-Normregeln zu vermeiden. Wenn Sie eine benutzerdefinierte Regel außerhalb des reservierten Bereichs einfügen, wird Ihre benutzerdefinierte Regel beim Hinzufügen von Standardregeln zur Konfiguration möglicherweise verschoben. Ein ähnliches Problem tritt auf, wenn Ihre Konfiguration geänderte Standardregeln enthält. Es wird davon abgeraten, Änderungen an einer Standardregel vorzunehmen, weil Regeln dadurch wahrscheinlich falsch angeordnet werden.
• Geräterückschreiben: Diese Einstellungen sind katalogisiert. Sie werden derzeit nicht während der Konfiguration angewendet. Wenn das Geräterückschreiben für den ursprünglichen Server aktiviert war, müssen Sie das Feature auf dem neu bereitgestellten Server manuell konfigurieren.
• Synchronisierte Objekttypen: Obwohl es möglich ist, die Liste der synchronisierten Objekttypen (z. B. Benutzer, Kontakte und Gruppen) mithilfe des Synchronisierungsdienst-Managers einzuschränken, wird dieses Feature derzeit nicht über Synchronisierungseinstellungen unterstützt. Nach Abschluss der Installation müssen Sie die erweiterte Konfiguration manuell erneut anwenden.
• Ausgewählte Attribute: Obwohl es möglich ist, die Liste der synchronisierten Attribute (z. B. Erweiterungsattribute) mithilfe des Synchronisierungsdienst-Managers einzuschränken, wird dieses Feature derzeit nicht über Synchronisierungseinstellungen unterstützt. Nach Abschluss der Installation müssen Sie die erweiterte Konfiguration manuell erneut anwenden.
• Benutzerdefinierte Ausführungsprofile: Obwohl es möglich ist, die Standardmenge von Laufprofilen mit dem Synchronization Service Manager zu ändern, wird diese Funktion derzeit nicht über Synchronisierungseinstellungen unterstützt. Nach Abschluss der Installation müssen Sie die erweiterte Konfiguration manuell erneut anwenden.
• Konfigurieren der Vermittlungshierarchie: Diese erweiterte Funktion des Synchronization Service Manager wird nicht über Synchronisierungseinstellungen unterstützt. Es muss nach Abschluss der Erstbereitstellung manuell neu konfiguriert werden.
• Active Directory-Verbunddienste und PingFederate-Authentifizierung: Die Anmeldemethoden, die diesen Authentifizierungsfeatures zugeordnet sind, werden automatisch vorgewählt. Alle anderen erforderlichen Konfigurationsparameter müssen Sie interaktiv angeben.

Verwandte Inhalte

• Hardware und Visual Studio – Erforderliche Komponenten
• Express-Einstellungen
• Benutzerdefinierte Einstellungen
• Installieren des Microsoft Entra Connect Health-Agents