Microsoft Entra Csatlakozás Sync: Scheduler
Ez a témakör a Microsoft Entra Csatlakozás Sync (szinkronizálási motor) beépített ütemezőjét ismerteti.
Ez a funkció az 1.1.105.0-s buildtel lett bevezetve (megjelent: 2016. február).
Áttekintés
A Microsoft Entra Csatlakozás Sync ütemezővel szinkronizálja a helyszíni címtárban bekövetkező változásokat. Két ütemezőfolyamat létezik, az egyik a jelszószinkronizáláshoz, a másik pedig az objektum-/attribútumszinkronizálási és karbantartási feladatokhoz. Ez a témakör az utóbbit ismerteti.
A korábbi kiadásokban az objektumok és attribútumok ütemezője külső volt a szinkronizálási motoron. A szinkronizálási folyamat aktiválásához Windows-feladatütemezőt vagy egy külön Windows-szolgáltatást használt. Az ütemező a szinkronizálási motor beépített 1.1-es kiadásaival van, és lehetővé teszi a testreszabást. Az új alapértelmezett szinkronizálási gyakoriság 30 perc.
Az ütemező két tevékenységért felelős:
- Szinkronizálási ciklus. A módosítások importálásának, szinkronizálásának és exportálásának folyamata.
- Karbantartási feladatok. Újítsa meg a kulcsokat és tanúsítványokat a jelszó-visszaállításhoz és az eszközregisztrációs szolgáltatáshoz (DRS). Törölje a régi bejegyzéseket a műveleti naplóból.
Maga az ütemező mindig fut, de konfigurálható úgy, hogy ezek közül csak egyet vagy egyet se futtasson. Ha például saját szinkronizálási ciklusra van szüksége, letilthatja ezt a feladatot az ütemezőben, de továbbra is futtathatja a karbantartási feladatot.
Fontos
Alapértelmezés szerint 30 percenként egy szinkronizálási ciklus fut. Ha módosította a szinkronizálási ciklust, győződjön meg arról, hogy a szinkronizálási ciklus legalább 7 naponta egyszer fut.
- A változásszinkronizálásnak az utolsó változásszinkronizálástól számított 7 napon belül kell történnie.
- A változásszinkronizálásnak (teljes szinkronizálást követően) az utolsó teljes szinkronizálás befejezésétől számított 7 napon belül kell történnie.
Ennek elmulasztása szinkronizálási problémákat okozhat, amelyek megoldásához teljes szinkronizálást kell futtatnia. Ez átmeneti módban lévő kiszolgálókra is vonatkozik.
Ütemező konfigurálása
Az aktuális konfigurációs beállítások megtekintéséhez nyissa meg a PowerShellt, és futtassa a parancsot Get-ADSyncScheduler
. A képen ehhez hasonló kép látható:
Ha azt látja , hogy a szinkronizálási parancs vagy parancsmag nem érhető el a parancsmag futtatásakor, akkor a PowerShell-modul nincs betöltve. Ez a probléma akkor fordulhat elő, ha a Microsoft Entra Csatlakozás tartományvezérlőn vagy az alapértelmezett beállításoknál magasabb PowerShell-korlátozási szinttel rendelkező kiszolgálón futtatja. Ha ezt a hibát látja, futtassa Import-Module ADSync
a parancsmag elérhetővé tétele érdekében.
- AllowedSyncCycleInterval. A Microsoft Entra ID által engedélyezett szinkronizálási ciklusok közötti legrövidebb időintervallum. Ennél a beállításnál nem lehet gyakrabban szinkronizálni, és továbbra is támogatott.
- JelenlegEffectiveSyncCycleInterval. A jelenleg érvényben lévő ütemezés. Ugyanaz az érték, mint a CustomizedSyncInterval (ha be van állítva), ha nem gyakoribb, mint az AllowedSyncInterval. Ha az 1.1.281 előtti buildet használja, és módosítja az CustomizedSyncCycleIntervalt, ez a módosítás a következő szinkronizálási ciklus után lép érvénybe. Az 1.1.281-ben készült buildben a módosítás azonnal érvénybe lép.
- CustomizedSyncCycleInterval. Ha azt szeretné, hogy az ütemező az alapértelmezett 30 perctől eltérő gyakorisággal fusson, akkor konfigurálja ezt a beállítást. A fenti képen az ütemezőt úgy állította be, hogy óránként fusson. Ha ezt a beállítást a AllowedSyncInterval értékénél alacsonyabb értékre állítja, akkor az utóbbit használja a rendszer.
- NextSyncCyclePolicyType. Vagy Delta vagy Initial. Meghatározza, hogy a következő futtatás csak a változásmódosításokat dolgozza fel, vagy a következő futtatás teljes importálást és szinkronizálást hajt végre. Ez utóbbi az új vagy módosított szabályokat is újra feldolgozná.
- NextSyncCycleStartTimeInUTC. Amikor az ütemező legközelebb elindítja a következő szinkronizálási ciklust.
- PurgeRunHistoryInterval. Az időműveleti naplókat meg kell őrizni. Ezek a naplók a szinkronizálási szolgáltatáskezelőben tekinthetők meg. Az alapértelmezett beállítás, hogy ezeket a naplókat 7 napig tárolja.
- SyncCycleEnabled. Azt jelzi, hogy az ütemező a művelet részeként futtatja-e az importálási, szinkronizálási és exportálási folyamatokat.
- MaintenanceEnabled. Megjeleníti, hogy engedélyezve van-e a karbantartási folyamat. Frissíti a tanúsítványokat/kulcsokat, és törli a műveleti naplót.
- StagingModeEnabled. Azt jelzi, hogy engedélyezve van-e az előkészítési mód . Ha ez a beállítás engedélyezve van, akkor letiltja az exportálás futását, de továbbra is futtatja az importálást és a szinkronizálást.
- SchedulerSuspended. Állítsa be a Csatlakozás a frissítés során, hogy ideiglenesen letiltsa az ütemező futását.
Ezen beállítások némelyikét módosíthatja a beállítással Set-ADSyncScheduler
. A következő paraméterek módosíthatók:
- CustomizedSyncCycleInterval
- NextSyncCyclePolicyType
- PurgeRunHistoryInterval
- SyncCycleEnabled
- MaintenanceEnabled
A Microsoft Entra Csatlakozás korábbi buildjeiben az isStagingModeEnabled a Set-ADSyncSchedulerben volt közzétéve. A tulajdonság beállítása nem támogatott. A SchedulerSuspended tulajdonságot csak Csatlakozás módosíthatja. Ezt nem lehet közvetlenül a PowerShell-lel beállítani.
Az ütemező konfigurációja a Microsoft Entra-azonosítóban van tárolva. Ha átmeneti kiszolgálóval rendelkezik, az elsődleges kiszolgálón történt bármilyen változás az átmeneti kiszolgálóra is hatással van (az IsStagingModeEnabled kivételével).
CustomizedSyncCycleInterval
Syntax: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - nap, óó - óra, mm - perc, ss - másodperc
Example: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Módosítja az ütemezőt, hogy 3 óránként fusson.
Example: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
A módosítások napi futásra módosítják az ütemezőt.
Az ütemező letiltása
Ha módosítania kell a konfigurációt, akkor le szeretné tiltani az ütemezőt. Ha például a szűrést konfigurálja, vagy módosítja a szinkronizálási szabályokat.
Az ütemező letiltásához futtassa a parancsot Set-ADSyncScheduler -SyncCycleEnabled $false
.
Amikor végrehajtotta a módosításokat, ne felejtse el újra engedélyezni az ütemezőt Set-ADSyncScheduler -SyncCycleEnabled $true
.
Az ütemező indítása
Az ütemező alapértelmezés szerint 30 percenként fut. Bizonyos esetekben előfordulhat, hogy szinkronizáló ciklust szeretne futtatni az ütemezett ciklusok között, vagy másik típust kell futtatnia.
Változásszinkronizálási ciklus
A változásszinkronizálási ciklus a következő lépéseket tartalmazza:
- Változásimportálás az összes Csatlakozás
- Delta-szinkronizálás az összes Csatlakozás oron
- Exportálás az összes Csatlakozás
Teljes szinkronizálási ciklus
A teljes szinkronizálási ciklus a következő lépéseket tartalmazza:
- Teljes importálás az összes Csatlakozás oron
- Teljes szinkronizálás az összes Csatlakozás oron
- Exportálás az összes Csatlakozás
Előfordulhat, hogy sürgős módosítást kell végrehajtania, amelyet azonnal szinkronizálni kell, ezért manuálisan kell futtatnia egy ciklust.
Ha manuálisan kell futtatnia egy szinkronizálási ciklust, akkor futtassa Start-ADSyncSyncCycle -PolicyType Delta
a PowerShellből.
A teljes szinkronizálási ciklus elindításához futtassa Start-ADSyncSyncCycle -PolicyType Initial
a PowerShell-parancssorból.
A teljes szinkronizálási ciklus futtatása nagyon időigényes lehet, olvassa el a következő szakaszt, amelyből megtudhatja, hogyan optimalizálhatja ezt a folyamatot.
A különböző konfigurációs módosításokhoz szükséges szinkronizálási lépések
A különböző konfigurációs módosítások különböző szinkronizálási lépéseket igényelnek, hogy a módosítások megfelelően legyenek alkalmazva az összes objektumra.
- További, forráskönyvtárból importálandó objektumok vagy attribútumok hozzáadása (a szinkronizálási szabályok hozzáadásával/módosításával)
- A forráskönyvtár Csatlakozás orban teljes importálás szükséges
- Módosításokat végzett a szinkronizálási szabályokon
- A módosított szinkronizálási szabályokhoz teljes szinkronizálás szükséges a Csatlakozás orban
- Módosította a szűrést , hogy különböző számú objektumot tartalmazzon
- Minden AD-Csatlakozás orhoz teljes importálás szükséges az Csatlakozás orban, KIVÉVE, ha attribútumalapú szűrést használ a szinkronizálási motorba már importált attribútumok alapján
A szinkronizálási ciklus testreszabása a Delta és a Teljes szinkronizálási lépések megfelelő kombinációját futtatja
A teljes szinkronizálási ciklus futtatásának elkerülése érdekében megjelölhet bizonyos Csatlakozás orokat a Teljes lépés futtatásához az alábbi parancsmagok használatával.
Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true
Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true
Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>
Példa: Ha módosította Csatlakozás or "AD Forest A" szinkronizálási szabályait, amelyek nem igényelnek új attribútumok importálását, akkor a következő parancsmagokkal futtathat egy változásszinkronizálási ciklust, amely a teljes szinkronizálási lépést is elvégezte az adott Csatlakozás orhoz.
Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true
Start-ADSyncSyncCycle -PolicyType Delta
Példa: Ha módosította az "AD Forest A" Csatlakozás or szinkronizálási szabályait, így most új attribútum importálására van szükség, akkor a következő parancsmagokkal futtathat egy változásszinkronizálási ciklust, amely az adott Csatlakozás or teljes importálási, teljes szinkronizálási lépését is elvégezte.
Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true
Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true
Start-ADSyncSyncCycle -PolicyType Delta
Az ütemező leállítása
Ha az ütemező jelenleg szinkronizálási ciklust futtat, előfordulhat, hogy le kell állítania. Ha például elindítja a telepítővarázslót, és a következő hibaüzenet jelenik meg:
Szinkronizálási ciklus futtatásakor nem végezhet konfigurációs módosításokat. Megvárhatja, amíg az ütemező befejezi a folyamatot, de le is állíthatja, hogy azonnal elvégezhesse a módosításokat. Az aktuális ciklus leállítása nem káros, és a függőben lévő módosítások feldolgozása a következő futtatással történik.
Először mondja meg az ütemezőnek, hogy állítsa le az aktuális ciklust a PowerShell-parancsmaggal
Stop-ADSyncSyncCycle
.Ha 1.1.281 előtti buildet használ, akkor az ütemező leállítása nem állítja le az aktuális Csatlakozás ort az aktuális feladatból. A Csatlakozás or leállításához hajtsa végre a következő műveleteket:
- Indítsa el a Szinkronizálási szolgáltatást a start menüből. Nyissa meg a Csatlakozás orokat, jelölje ki a Csatlakozás ort a Futó állapottal, és válassza a Műveletek menü Leállítás elemét.
Az ütemező továbbra is aktív, és a következő lehetőségnél indul újra.
Egyéni ütemező
Az ebben a szakaszban dokumentált parancsmagok csak az 1.1.130.0-s és újabb buildekben érhetők el.
Ha a beépített ütemező nem felel meg a követelményeknek, ütemezheti a Csatlakozás orokat a PowerShell használatával.
Invoke-ADSyncRunProfile
A Csatlakozás or profilja így indítható el:
Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"
A Csatlakozás or- és a futtatóprofil-nevekhez használandó nevek a Szinkronizálási szolgáltatáskezelő felhasználói felületén találhatók.
A Invoke-ADSyncRunProfile
parancsmag szinkron, vagyis nem adja vissza a vezérlőt, amíg a Csatlakozás or nem hajtotta végre a műveletet, vagy sikeresen vagy hibával.
A Csatlakozás orok ütemezésekor a javaslat az, hogy azokat a következő sorrendben ütemezze:
- (Teljes/Delta) Importálás helyszíni címtárakból, például Active Directoryból
- (Teljes/Delta) Importálás a Microsoft Entra-azonosítóból
- (Teljes/Delta) Szinkronizálás helyszíni címtárakból, például Active Directoryból
- (Teljes/Delta) Szinkronizálás a Microsoft Entra-azonosítóból
- Exportálás Microsoft Entra-azonosítóba
- Exportálás helyszíni címtárakba, például Active Directoryba
A beépített ütemező így futtatja a Csatlakozás orokat.
Get-ADSync Csatlakozás orRunStatus
A szinkronizálási motort is figyelheti, hogy foglalt vagy tétlen állapotban van-e. Ez a parancsmag üres eredményt ad vissza, ha a szinkronizálási motor tétlen, és nem fut Csatlakozás or. Ha egy Csatlakozás or fut, a Csatlakozás or nevét adja vissza.
Get-ADSyncConnectorRunStatus
A fenti képen az első sor olyan állapotból származik, amelyben a szinkronizálási motor tétlen. A második sor a Microsoft Entra Csatlakozás or futásának időpontjától.
Ütemező és telepítő varázsló
Ha elindítja a telepítővarázslót, a program ideiglenesen felfüggeszti az ütemezőt. Ennek a viselkedésnek az az oka, hogy feltételezzük, hogy konfigurációs módosításokat hajt végre, és ezek a beállítások nem alkalmazhatók, ha a szinkronizálási motor aktívan fut. Ezért ne hagyja nyitva a telepítővarázslót, mivel megakadályozza a szinkronizálási motort a szinkronizálási műveletek végrehajtásában.
További lépések
További információ a Microsoft Entra Csatlakozás Sync konfigurációjáról.
További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.