A Microsoft Entra Connect teljesítményét befolyásoló tényezők

A Microsoft Entra Connect szinkronizálja az Active Directoryt a Microsoft Entra-azonosítóval. Ez a kiszolgáló kritikus fontosságú eleme a felhasználói identitások felhőbe való áthelyezésének. A Microsoft Entra Connect teljesítményét befolyásoló elsődleges tényezők a következők:

Tervezési tényező	Definíció
Topológia	A Microsoft Entra Connect végpontjainak és összetevőinek eloszlását a hálózaton kell kezelni.
Hangsor	A Microsoft Entra Connect által felügyelni kívánt objektumok, például a felhasználók, csoportok és szervezeti egységek száma.
Hardver	A Microsoft Entra Connect hardvere (fizikai vagy virtuális), valamint az egyes hardverösszetevők függő teljesítménykapacitása, beleértve a PROCESSZOR, a memória, a hálózat és a merevlemez konfigurációját.
Konfiguráció	Hogyan dolgozza fel a Microsoft Entra Connect a könyvtárakat és az információkat.
Betöltés	Az objektumváltozások gyakorisága. A terhelések egy óra, nap vagy hét alatt változhatnak. Az összetevőtől függően előfordulhat, hogy csúcsterhelést vagy átlagos terhelést kell terveznie.

A dokumentum célja a Microsoft Entra Connect kiépítési motor teljesítményét befolyásoló tényezők ismertetése. A nagy vagy összetett szervezetek (amelyek több mint 100 000 objektumot építenek ki) a Javaslatok segítségével optimalizálhatják a Microsoft Entra Connect implementációját, ha az itt ismertetett teljesítményproblémákat tapasztalnak. A Microsoft Entra Connect többi összetevőjére, például a Microsoft Entra Connect Healthre és az ügynökökre nem vonatkozik.

Fontos

A Microsoft nem támogatja a Microsoft Entra Connect módosítását vagy működtetését a hivatalosan dokumentált műveleteken kívül. Ezen műveletek bármelyike a Microsoft Entra Connect Sync inkonzisztens vagy nem támogatott állapotát eredményezheti. Ennek eredményeképpen a Microsoft nem tud technikai támogatást nyújtani az ilyen üzemelő példányokhoz.

A Microsoft Entra Connect összetevőinek tényezői

Az alábbi ábrán az egy erdőhöz csatlakozó kiépítési motor magas szintű architektúrája látható, bár több erdő is támogatott. Ez az architektúra bemutatja, hogyan működnek együtt a különböző összetevők.

A kiépítési motor minden Active Directory-erdőhöz és a Microsoft Entra-azonosítóhoz csatlakozik. Az egyes címtárak információinak olvasási folyamatát importálásnak nevezzük. Az exportálás a címtárak kiépítési motorról való frissítésére vonatkozik. A Sync kiértékeli az objektumok kiépítési motoron belüli áramlásának szabályait. További információ: Microsoft Entra Connect Sync: Az architektúra ismertetése.

A Microsoft Entra Connect a következő átmeneti területeket, szabályokat és folyamatokat használja az Active Directoryból a Microsoft Entra-azonosítóba való szinkronizálás engedélyezéséhez:

• Összekötőtér (CS) – Az egyes csatlakoztatott címtárak (CD) objektumai, a tényleges könyvtárak, itt vannak először rendezve, mielőtt a kiépítési motor feldolgozhatja őket. A Microsoft Entra ID-nek saját CS-je van, és minden egyes erdő, amelyhez csatlakozik, saját CS-jával rendelkezik.
• Metaverse (MV) – A szinkronizálandó objektumok a szinkronizálási szabályok alapján jönnek létre. Az objektumoknak létezniük kell az MV-ben, mielőtt feltölthetik az objektumokat és attribútumokat a többi csatlakoztatott könyvtárba. Csak egy MV van.
• Szinkronizálási szabályok – Eldöntik, hogy mely objektumok jönnek létre (vetítve) vagy csatlakoznak (csatlakoznak) az MV objektumaihoz. A szinkronizálási szabályok azt is eldöntik, hogy mely attribútumértékeket másolja át vagy alakítsa át a címtárakból.
• Profilok futtatása – Az objektumok és attribútumértékek másolásának folyamatlépéseit köti össze az előkészítési területek és a csatlakoztatott könyvtárak közötti szinkronizálási szabályok szerint.

A kiépítési motor teljesítményének optimalizálásához különböző futtatási profilok léteznek. A legtöbb szervezet az alapértelmezett ütemezéseket és profilokat fogja használni a normál műveletekhez, de előfordulhat, hogy egyes szervezeteknek módosítaniuk kell az ütemezést , vagy más futtatási profilokat kell aktiválnia, hogy kielégítse a nem gyakori eseteket. A következő futtatási profilok érhetők el:

Kezdeti szinkronizálási profil

A kezdeti szinkronizálási profil a csatlakoztatott könyvtárak, például egy Active Directory-erdő első olvasásának folyamata. Ezután elvégzi a szinkronizálási motor adatbázisának összes bejegyzésének elemzését. A kezdeti ciklus új objektumokat hoz létre a Microsoft Entra-azonosítóban, és további időt vesz igénybe, ha az Active Directory-erdők nagyok. A kezdeti szinkronizálás a következő lépéseket tartalmazza:

1. Teljes importálás az összes összekötőn
2. Teljes szinkronizálás az összes összekötőn
3. Exportálás az összes összekötőn

Delta-szinkronizálási profil

A szinkronizálási folyamat optimalizálásához ez a futtatási profil csak a csatlakoztatott könyvtárak objektumainak módosításait (létrehozásait, törlését és frissítéseit) dolgozza fel az utolsó szinkronizálási folyamat óta. A deltaszinkronizálási profil alapértelmezés szerint 30 percenként fut. A szervezeteknek törekednie kell arra, hogy 30 perc alatt tartsák az időt, hogy a Microsoft Entra-azonosító naprakész legyen. A Microsoft Entra Connect állapotának figyeléséhez használja az állapotfigyelő ügynököt a folyamattal kapcsolatos problémák megtekintéséhez. A deltaszinkronizálási profil a következő lépéseket tartalmazza:

1. Változásimportálás az összes összekötőn
2. Delta-szinkronizálás az összes összekötőn
3. Exportálás az összes összekötőn

Egy tipikus vállalati szervezeti változásszinkronizálási forgatókönyv a következő:

• Az objektumok ~1%-a törlődik
• Az objektumok ~1%-a jön létre
• Az objektumok ~5%-a módosul

A változás sebessége attól függően változhat, hogy milyen gyakran frissíti a szervezet a felhasználókat az Active Directoryban. Például a munkaerő-felvétel szezonalitásával és a munkaerő csökkentésével magasabb változások fordulhatnak elő.

Teljes szinkronizálási profil

Teljes szinkronizálási ciklusra van szükség, ha a következő konfigurációs módosításokat hajtotta végre:

• Növelte a csatlakoztatott könyvtárakból importálandó objektumok vagy attribútumok hatókörét. Ha például tartományt vagy szervezeti egységet ad hozzá az importálási hatókörhöz.
• Módosította a szinkronizálási szabályokat. Ha például létrehoz egy új szabályt, amely feltölti egy felhasználó címét a Microsoft Entra-azonosítóban az Active Directory extension_attribute3. Ehhez a frissítéshez a kiépítési motornak újra meg kell vizsgálnia az összes meglévő felhasználót, hogy frissítse a címeket, hogy alkalmazza a módosítást.

A teljes szinkronizálási ciklus a következő műveleteket tartalmazza:

1. Teljes importálás az összes összekötőn
2. Teljes/Delta-szinkronizálás az összes összekötőn
3. Exportálás az összes összekötőn

Feljegyzés

Gondos tervezésre van szükség az Active Directory vagy a Microsoft Entra ID számos objektumának tömeges frissítésekor. A tömeges frissítések miatt a változásszinkronizálási folyamat importáláskor tovább tart, mivel sok objektum megváltozott. Hosszú importálás akkor is előfordulhat, ha a tömeges frissítés nem befolyásolja a szinkronizálási folyamatot. Ha például a Microsoft Entra ID-ban sok felhasználóhoz rendel licenceket, az hosszú importálási ciklust fog eredményezni a Microsoft Entra ID-ból, de nem eredményez attribútummódosításokat az Active Directoryban.

Szinkronizálás

A szinkronizálási folyamat futtatókörnyezete a következő teljesítményjellemzőkkel rendelkezik:

• A szinkronizálás egyszálas, ami azt jelenti, hogy a kiépítési motor nem végez párhuzamos feldolgozást a csatlakoztatott könyvtárak, objektumok vagy attribútumok futtatási profiljaival.
• Az importálási idő lineárisan növekszik a szinkronizált objektumok számával. Ha például 10 000 objektum importálása 10 percet vesz igénybe, akkor 20 000 objektum körülbelül 20 percet vesz igénybe ugyanazon a kiszolgálón.
• Az exportálás lineáris is.
• A szinkronizálás exponenciálisan nő a más objektumokra mutató hivatkozásokkal rendelkező objektumok száma alapján. A csoporttagságoknak és a beágyazott csoportoknak van a fő teljesítményhatásuk, mivel a tagjaik felhasználói objektumokra vagy más csoportokra hivatkoznak. Ezeket a hivatkozásokat a szinkronizálási ciklus befejezéséhez meg kell találni, és hivatkozni kell az MV tényleges objektumaira.
• A csoporttagok módosítása az összes csoporttag újraértékeléséhez vezet. Ha például egy 50K-tagú csoporttal rendelkezik, és csak 1 tagot frissít, ez az összes 50K-tag szinkronizálását aktiválja.

Szűrés

Az importálni kívánt Active Directory-topológia mérete az első számú tényező, amely befolyásolja a teljesítményt és a kiépítési motor belső összetevőinek teljes idejét.

Szűrést kell használni az objektumok szinkronizálásra való csökkentéséhez. Ez megakadályozza a szükségtelen objektumok feldolgozását és a Microsoft Entra-azonosítóba való exportálását. Előnyben részesítés céljából a következő szűrési technikák érhetők el:

• Tartományalapú szűrés – ezzel a beállítással kiválaszthat bizonyos tartományokat a Microsoft Entra-azonosítóval való szinkronizáláshoz. Ha a Microsoft Entra Connect Sync telepítése után módosítja a helyszíni infrastruktúrát, tartományokat kell hozzáadnia és eltávolítania a szinkronizálási motor konfigurációjából.
• Szervezeti egység (szervezeti egység) szűrése – A szervezeti egységek használatával az Active Directory-tartományok adott objektumait célozza meg a Microsoft Entra-azonosítóra való kiépítéshez. A szervezeti egység szűrése a második ajánlott szűrési mechanizmus, mivel egyszerű LDAP-hatókör-lekérdezésekkel importálja az objektumok egy kisebb részét az Active Directoryból.
• Objektumonkénti attribútumszűrés – az objektumok attribútumértékeivel dönti el, hogy az Active Directory adott objektuma ki van-e építve a Microsoft Entra-azonosítóban. Az attribútumszűrés kiválóan alkalmas a szűrők finomhangolására, ha a tartomány- és szervezeti egység szűrése nem felel meg az adott szűrési követelményeknek. Az attribútumszűrés nem csökkenti az importálási időt, de csökkentheti a szinkronizálási és exportálási időt.
• Csoportalapú szűrés – csoporttagság használatával dönti el, hogy ki kell-e helyezni az objektumokat a Microsoft Entra-azonosítóban. A csoportalapú szűrés csak tesztelési helyzetekre alkalmas, éles környezetben nem ajánlott, mivel a szinkronizálási ciklus során a csoporttagság ellenőrzéséhez szükséges többletterhelés miatt nem ajánlott.

Az Active Directory CS számos állandó leválasztó objektuma hosszabb szinkronizálási időt okozhat, mivel a kiépítési motornak újra kell értékelnie az egyes leválasztó objektumokat a szinkronizálási ciklus lehetséges kapcsolatához. A probléma megoldásához fontolja meg az alábbi javaslatok egyikét:

• Helyezze a leválasztó objektumokat a tartomány vagy szervezeti egység szűrésével történő importálás hatókörén kívülre.
• Projektelje/csatlakoztassa az objektumokat az MV-hez, és állítsa be a CloudFiltered attribútumot True értékre, hogy megakadályozza ezeknek az objektumoknak a kiépítését a Microsoft Entra CS-ben.

Feljegyzés

A felhasználók összezavarodhatnak, vagy az alkalmazásengedélyekkel kapcsolatos problémák akkor fordulhatnak elő, ha túl sok objektum van szűrve. Egy hibrid Exchange online implementációban például a helyszíni postaládákkal rendelkező felhasználók több felhasználót fognak látni a globális címlistán, mint az Exchange Online-ban postaládával rendelkező felhasználókat. Más esetekben előfordulhat, hogy a felhasználó hozzáférést szeretne adni egy felhőalkalmazásban egy másik felhasználónak, amely nem része a szűrt objektumhalmaz hatókörének.

Attribútumfolyamatok

Az attribútumfolyamatok az objektumok attribútumértékeinek másolására vagy átalakítására szolgáló folyamat egy csatlakoztatott könyvtárból egy másik csatlakoztatott könyvtárba. Ezek a szinkronizálási szabályok részeként vannak definiálva. Ha például egy felhasználó telefonszáma megváltozik az Active Directoryban, a Microsoft Entra-azonosítóban lévő telefonszám frissül. A szervezetek módosíthatják az attribútumfolyamatokat , hogy különböző követelményeket tudjanak kielégíteni. Javasoljuk, hogy a módosítás előtt másolja ki a meglévő attribútumfolyamatokat.

Az egyszerű átirányításoknak, például az attribútumértékek másik attribútumba való áramlásának nincs jelentős teljesítménybeli hatása. Egy átirányításra példa, ha egy mobilszámot az Active Directoryban a Microsoft Entra ID-ban lévő irodai telefonszámra továbbít.

Az attribútumértékek átalakítása hatással lehet a szinkronizálási folyamat teljesítményére. Az attribútumértékek átalakítása magában foglalja az attribútumok értékeinek módosítását, újraformázását, összefűzését vagy kivonását.

A szervezetek megakadályozhatják, hogy bizonyos attribútumok a Microsoft Entra-azonosítóba áramoljanak, de ez nem befolyásolja a kiépítési motor teljesítményét.

Feljegyzés

Ne törölje a nem kívánt attribútumfolyamatokat a szinkronizálási szabályokban. Javasoljuk, hogy inkább tiltsa le őket, mert a törölt szabályok újra létrejönnek a Microsoft Entra Connect frissítései során.

A Microsoft Entra Connect függőségi tényezői

A Microsoft Entra Connect teljesítménye az importált és exportált csatlakoztatott könyvtárak teljesítményétől függ. Például az importálandó Active Directory mérete vagy a Microsoft Entra szolgáltatás hálózati késése. A kiépítési motor által használt SQL-adatbázis a szinkronizálási ciklus általános teljesítményét is befolyásolja.

Active Directory-tényezők

Ahogy korábban említettük, az importálandó objektumok száma jelentősen befolyásolja a teljesítményt. A Microsoft Entra Connect hardverei és előfeltételei az üzembe helyezés méretétől függően meghatározott hardverszinteket vázolnak fel. A Microsoft Entra Connect csak a Microsoft Entra Connect topológiáiban ismertetett specifikus topológiákat támogatja. A nem támogatott topológiákhoz nincsenek teljesítményoptimalizálások és javaslatok.

Győződjön meg arról, hogy a Microsoft Entra Connect-kiszolgáló megfelel az importálni kívánt Active Directory-méret alapján a hardverkövetelményeknek. A Microsoft Entra Connect-kiszolgáló és az Active Directory-tartományvezérlők közötti rossz vagy lassú hálózati kapcsolat lelassíthatja az importálást.

A Microsoft Entra azonosító tényezői

A Microsoft Entra ID szabályozással védi a felhőszolgáltatást a szolgáltatásmegtagadási (DoS-) támadásoktól. A Microsoft Entra-azonosító jelenleg 7000 írási korláttal rendelkezik 5 percenként (óránként 84 000). Például a következő műveletek szabályozhatók:

• A Microsoft Entra Connect exportálása a Microsoft Entra-azonosítóba.
• A Microsoft Entra-azonosítót közvetlenül a háttérben frissítő PowerShell-szkriptek vagy alkalmazások, például dinamikus tagsági csoportok.
• A felhasználók frissítik a saját identitásrekordjaikat, például regisztrálnak az MFA-ra vagy az SSPR-re (önkiszolgáló jelszó-visszaállítás).
• Műveletek a grafikus felhasználói felületen.

Tervezze meg az üzembe helyezési és karbantartási feladatokat, hogy a Microsoft Entra Connect Szinkronizálási ciklusát ne befolyásolják a szabályozási korlátok. Ha például nagy bérleti hulláma van, ahol több ezer felhasználói identitást hoz létre, az a dinamikus tagsági csoportok, a licencelési hozzárendelések és az önkiszolgáló jelszó-visszaállítási regisztrációk frissítését okozhatja. Jobb, ha ezeket az írásokat több órán vagy néhány napon keresztül terjeszti.

SQL Database-tényezők

A forrás Active Directory-topológia mérete befolyásolja az SQL-adatbázis teljesítményét. Kövesse az SQL Server-adatbázis hardverkövetelményeit , és vegye figyelembe az alábbi javaslatokat:

• A több mint 100 000 felhasználóval rendelkező szervezetek csökkenthetik a hálózati késéseket azáltal, hogy az SQL-adatbázist és a kiépítési motort ugyanazon a kiszolgálón helyezik el.
• Az SQL Named Pipes protokoll nem támogatott, mivel jelentős késéseket okoz a szinkronizálási ciklusban, és le kell tiltani a SQL Server Konfigurációkezelő a natív SQL-ügyfelek és az SQL Server Network esetében. Vegye figyelembe, hogy a nevesített csövek konfigurációjának módosítása csak az adatbázis és az ADSync-szolgáltatások újraindítása után lép érvénybe.
• A szinkronizálási folyamat magas lemezbemeneti és kimeneti (I/O) követelményei miatt használja az SSD-t a kiépítési motor SQL-adatbázisához az optimális eredmény érdekében, ha nem lehetséges, fontolja meg a RAID 0 vagy a RAID 1 konfigurációját.
• Ne végezze el a teljes szinkronizálást megelőző módon; ez szükségtelen adatváltozást és lassabb válaszidőt okoz.

Összegzés

A Microsoft Entra Connect-implementáció teljesítményének optimalizálásához vegye figyelembe az alábbi javaslatokat:

• Használja az ajánlott hardverkonfigurációt a Microsoft Entra Connect-kiszolgáló implementálási méretétől függően.
• A Microsoft Entra Connect nagy léptékű üzemelő példányokban történő frissítésekor fontolja meg a swing migrálási módszer használatát, hogy a lehető legkisebb állásidővel és a legjobb megbízhatóságtal rendelkezzen.
• A legjobb írási teljesítmény érdekében használja az SSD-t az SQL-adatbázishoz.
• Az ADSync Database azure backup használatával történő biztonsági mentése nem ajánlott.
• Szűrje az Active Directory-hatókört úgy, hogy csak olyan objektumokat tartalmazzon, amelyeket ki kell helyezni a Microsoft Entra-azonosítóban tartomány, szervezeti egység vagy attribútumszűrés használatával.
• Ha módosítania kell az alapértelmezett attribútumfolyamat-szabályokat, először másolja ki a szabályt, majd módosítsa a másolatot, és tiltsa le az eredeti szabályt. Ne felejtse el újra futtatni a teljes szinkronizálást.
• Tervezze meg a megfelelő időt a kezdeti teljes szinkronizálási futtatási profilhoz.
• Törekedjen arra, hogy 30 perc alatt befejezze a változásszinkronizálási ciklust. Ha a változásszinkronizálási profil 30 percen belül nem fejeződik be, módosítsa az alapértelmezett szinkronizálási gyakoriságot úgy, hogy teljes változásszinkronizálási ciklust tartalmazzon.
• A Microsoft Entra Connect Sync állapotának monitorozása a Microsoft Entra-azonosítóban.

Következő lépések

További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.