Microsoft Entra Koneksi Sync: Scheduler

  • Artikel

Topik ini menjelaskan penjadwal bawaan di Microsoft Entra Koneksi Sync (mesin sinkronisasi).

Fitur ini diperkenalkan dengan build 1.1.105.0 (dirilis Februari 2016).

Gambaran Umum

Microsoft Entra Koneksi Sync menyinkronkan perubahan yang terjadi di direktori lokal Anda menggunakan penjadwal. Ada dua proses penjadwal, satu untuk sinkronisasi kata sandi dan lainnya untuk sinkronisasi objek/atribut dan tugas pemeliharaan. Topik ini mencakup proses yang kedua.

Pada rilis sebelumnya, penjadwal untuk objek dan atribut berada di luar mesin sinkronisasi. Ini menggunakan penjadwal tugas Windows atau layanan Windows terpisah untuk memicu proses sinkronisasi. Penjadwal dengan rilis 1.1 bawaan ke mesin sinkronisasi dan memungkinkan beberapa penyesuaian. Frekuensi sinkronisasi default baru adalah 30 menit.

Penjadwal bertanggung jawab atas dua tugas:

  • Siklus sinkronisasi. Proses untuk mengimpor, menyinkronkan, dan mengekspor perubahan.
  • Tugas pemeliharaan. Memperbarui key dan sertifikat untuk reset Kata Sandi dan Layanan Pendaftaran Perangkat (DRS). Membersihkan entri lama dalam log operasi.

Penjadwal itu sendiri selalu berjalan, tetapi dapat dikonfigurasi untuk hanya menjalankan satu atau tidak satu pun tugas ini. Misalnya, jika perlu memiliki proses siklus sinkronisasi sendiri, Anda dapat menonaktifkan tugas ini di penjadwal tetapi tetap menjalankan tugas pemeliharaan.

Penting

Secara default siklus sinkronisasi dijalankan setiap 30 menit. Jika telah memodifikasi siklus sinkronisasi, Anda harus memastikan bahwa siklus sinkronisasi dijalankan setidaknya sekali setiap 7 hari.

  • Sinkronisasi delta harus dilakukan dalam 7 hari sejak sinkronisasi delta terakhir.
  • Sinkronisasi delta (mengikuti sinkronisasi penuh) harus dilakukan dalam 7 hari sejak sinkronisasi penuh terakhir selesai.

Kegagalan untuk melakukannya dapat menyebabkan masalah sinkronisasi yang akan mengharuskan Anda menjalankan sinkronisasi penuh untuk diselesaikan. Ini juga berlaku untuk server dalam mode Penahapan.

Konfigurasi penjadwal

Untuk melihat pengaturan konfigurasi Anda saat ini, buka PowerShell dan jalankan Get-ADSyncScheduler. Ini menunjukkan sesuatu seperti gambar ini:

GetSyncScheduler

Jika Anda melihat perintah sinkronisasi atau cmdlet tidak tersedia saat menjalankan cmdlet ini, modul PowerShell tidak dimuat. Masalah ini dapat terjadi jika Anda menjalankan Microsoft Entra Koneksi pada pengendali domain atau di server dengan tingkat pembatasan PowerShell yang lebih tinggi daripada pengaturan default. Jika Anda melihat kesalahan ini, jalankan Import-Module ADSync untuk membuat cmdlet tersedia.

  • AllowedSyncCycleInterval. Interval waktu terpendek antara siklus sinkronisasi yang diizinkan oleh ID Microsoft Entra. Anda tidak dapat menyinkronkan lebih sering dari pengaturan ini dan tetap didukung.
  • CurrentlyEffectiveSyncCycleInterval. Jadwal yang saat ini berlaku. Ini memiliki nilai yang sama dengan CustomizedSyncInterval (jika diatur) jika tidak lebih sering dari AllowedSyncInterval. Jika Anda menggunakan build sebelum 1.1.281 dan mengubah CustomizedSyncCycleInterval, perubahan ini berlaku setelah siklus sinkronisasi berikutnya. Dari build 1.1.281 perubahan berlaku segera.
  • CustomizedSyncCycleInterval. Jika Anda ingin penjadwal berjalan pada frekuensi lain selain default 30 menit, Anda mengonfigurasi pengaturan ini. Pada gambar di atas, penjadwal telah diatur untuk berjalan setiap jam sebagai gantinya. Jika Anda mengatur pengaturan ini ke nilai yang lebih rendah dari AllowedSyncInterval, yang terakhir yang digunakan.
  • NextSyncCyclePolicyType. Baik Delta atau Awal. Menentukan apakah operasi berikutnya hanya boleh memproses perubahan delta, atau jika proses berikutnya harus melakukan impor dan sinkronisasi penuh.Proses kedua juga akan memproses kembali aturan baru atau yang diubah.
  • NextSyncCycleStartTimeInUTC. Ketika penjadwal memulai siklus sinkronisasi berikutnya.
  • PurgeRunHistoryInterval. Log operasi waktu harus disimpan. Log ini dapat ditinjau di pengelola layanan sinkronisasi. Defaultnya adalah menyimpan log ini selama 7 hari.
  • SyncCycleEnabled. Menunjukkan apakah penjadwal menjalankan proses impor, sinkronisasi, dan ekspor sebagai bagian dari operasinya.
  • MaintenanceEnabled. Menunjukkan apakah proses pemeliharaan diaktifkan. Ini memperbarui sertifikat/key dan membersihkan log operasi.
  • StagingModeEnabled. Menunjukkan apakah mode penahapan diaktifkan. Jika pengaturan ini diaktifkan, ini menekan ekspor agar tidak berjalan namun tetap menjalankan impor dan sinkronisasi.
  • SchedulerSuspended. Diatur oleh Connect selama peningkatan untuk memblokir penjadwal untuk sementara waktu agar tidak berjalan.

Anda dapat mengubah beberapa pengaturan ini dengan Set-ADSyncScheduler. Parameter berikut dapat dimodifikasi:

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

Dalam build Microsoft Entra Koneksi sebelumnya, isStagingModeEnabled diekspos di Set-ADSyncScheduler. Ini tidak didukung untuk mengatur properti ini. Properti SchedulerSuspended hanya boleh dimodifikasi oleh Connect. Ini tidak didukung untuk mengatur ini dengan PowerShell secara langsung.

Konfigurasi penjadwal disimpan di ID Microsoft Entra. Jika Anda memiliki server penahapan, setiap perubahan pada server utama juga memengaruhi server penahapan (kecuali IsStagingModeEnabled).

CustomizedSyncCycleInterval

Sitnaksis: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - hari, HH - jam, mm - menit, ss - detik

Contoh: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Mengubah penjadwal untuk berjalan setiap 3 jam.

Contoh: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Mengubah penjadwal untuk dijalankan setiap hari.

Menonaktifkan penjadwal

Jika perlu membuat perubahan konfigurasi, Anda harus menonaktifkan penjadwal. Misalnya, saat Anda mengonfigurasi filter atau membuat perubahan pada aturan sinkronisasi.

Untuk menonaktifkan penjadwal, jalankan Set-ADSyncScheduler -SyncCycleEnabled $false.

Disable the scheduler

Ketika Anda telah membuat perubahan, jangan lupa untuk mengaktifkan penjadwal lagi dengan Set-ADSyncScheduler -SyncCycleEnabled $true.

Memulai penjadwal

Penjadwal secara default berjalan setiap 30 menit. Dalam beberapa kasus, Anda mungkin ingin menjalankan siklus sinkronisasi antar siklus terjadwal atau Anda perlu menjalankan jenis yang berbeda.

Siklus sinkronisasi Delta

Profil sinkronisasi delta mencakup langkah-langkah berikut:

  • Impor Delta pada semua Connector
  • Sinkronkan delta pada semua Connector
  • Ekspor pada semua Connector

Siklus sinkronisasi penuh

Siklus sinkronisasi penuh mencakup langkah-langkah berikut:

  • Impor penuh pada semua Connector
  • Sinkronkan penuh pada semua Connector
  • Ekspor pada semua Connector

Anda mungkin memiliki perubahan mendesak yang harus segera disinkronkan, itulah sebabnya Anda perlu menjalankan siklus secara manual.

Jika perlu menjalankan siklus sinkronisasi secara manual, dari PowerShell jalankan Start-ADSyncSyncCycle -PolicyType Delta.

Untuk memulai siklus sinkronisasi penuh, jalankan Start-ADSyncSyncCycle -PolicyType Initial dari prompt PowerShell.

Menjalankan siklus sinkronisasi penuh mungkin membutuhkan waktu, baca bagian berikutnya untuk membaca cara mengoptimalkan proses ini.

Langkah-langkah sinkronisasi diperlukan untuk perubahan konfigurasi yang berbeda

Perubahan konfigurasi yang berbeda memerlukan langkah-langkah sinkronisasi yang berbeda untuk memastikan perubahan diterapkan dengan benar ke semua objek.

  • Menambahkan lebih banyak objek atau atribut yang akan diimpor dari direktori sumber (dengan menambahkan/memodifikasi aturan sinkronisasi)
    • Impor Penuh diperlukan pada Connector untuk direktori sumber tersebut
  • Membuat perubahan pada aturan Sinkronisasi
    • Sinkronisasi Penuh diperlukan pada Connector untuk aturan Sinkronisasi yang diubah
  • Pemfilteran yang diubah sehingga jumlah objek yang berbeda harus disertakan
    • Impor Penuh diperlukan pada Connector untuk setiap AD Connector KECUALI Anda menggunakan filter berbasis Atribut berdasarkan atribut yang sudah diimpor ke mesin sinkronisasi

Menyesuaikan siklus sinkronisasi yang menjalankan gabungan delta dan langkah-langkah sinkronisasi penuh yang tepat

Untuk menghindari menjalankan siklus sinkronisasi penuh, Anda dapat menandai Connector tertentu guna menjalankan langkah Penuh menggunakan cmdlet berikut.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Contoh: Jika membuat perubahan pada aturan sinkronisasi untuk Connector "AD Forest A" yang tidak memerlukan atribut baru untuk diimpor, Anda akan menjalankan cmdlet berikut untuk menjalankan siklus sinkronisasi delta yang juga melakukan langkah Sinkronisasi Penuh untuk Connector tersebut.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Contoh: Jika membuat perubahan pada aturan sinkronisasi untuk Connector "AD Forest A" sehingga sekarang memerlukan atribut baru untuk diimpor, Anda akan menjalankan cmdlet berikut untuk menjalankan siklus sinkronisasi delta yang juga melakukan langkah Impor Penuh, Sinkronisasi Penuh untuk Connector tersebut.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Menghentikan penjadwal

Jika penjadwal saat ini menjalankan siklus sinkronisasi, Anda mungkin perlu menghentikannya. Misalnya jika Anda memulai wizard penginstalan Anda mendapatkan kesalahan ini:

Screenshot shows Cannot change configuration error message.

Saat siklus sinkronisasi berjalan, Anda tidak dapat membuat perubahan konfigurasi. Anda dapat menunggu hingga penjadwal selesai proses, tetapi juga dapat menghentikannya sehingga Anda dapat membuat perubahan segera. Menghentikan siklus saat ini tidak berbahaya dan perubahan yang tertunda diproses dengan operasi berikutnya.

  1. Mulailah dengan memberi tahu penjadwal untuk menghentikan siklusnya saat ini dengan cmdlet PowerShell Stop-ADSyncSyncCycle.

  2. Jika menggunakan build sebelum 1.1.281, menghentikan penjadwal tidak menghentikan Connector saat ini dari tugasnya saat ini. Untuk memaksa Connector berhenti, ambil tindakan berikut:

    Screenshot shows Synchronization Service Manager with Connectors selected and a running connector highlighted with the Stop action selected.

    • Mulai Synchronization Service dari menu mulai. Masuk ke Connector, sorot Connectors dengan status Sedang Berjalan, dan pilih Berhenti dari Tindakan.

Penjadwal tetap aktif dan dimulai lagi pada kesempatan berikutnya.

Penjadwal kustom

Cmdlet yang didokumentasikan di bagian ini hanya tersedia dalam build 1.1.130.0 dan yang lebih baru.

Jika penjadwal bawaan tidak memenuhi persyaratan Anda, Anda dapat menjadwalkan Connector menggunakan PowerShell.

Invoke-ADSyncRunProfile

Anda dapat memulai profil untuk Connector dengan cara ini:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Nama yang digunakan untuk nama Connector dan Jalankan Nama Profil dapat ditemukan di UI Synchronization Service Manager.

Invoke Run Profile

Cmdlet Invoke-ADSyncRunProfile bersifat sinkron, yaitu, tidak mengembalikan kontrol hingga Connector menyelesaikan operasi, baik berhasil atau dengan kesalahan.

Saat menjadwalkan Connector, Anda sebaiknya menjadwalkannya dalam urutan berikut:

  1. (Penuh/Delta) Mengimpor dari direktori lokal, seperti Active Directory
  2. (Penuh/Delta) Impor dari ID Microsoft Entra
  3. (Penuh/Delta) Sinkronisasi dari direktori lokal, seperti Active Directory
  4. (Penuh/Delta) Sinkronisasi dari ID Microsoft Entra
  5. Ekspor ke ID Microsoft Entra
  6. Mengekspor ke direktori lokal, seperti Active Directory

Urutan ini adalah cara penjadwal bawaan menjalankan Connector.

Get-ADSyncConnectorRunStatus

Anda juga dapat memantau mesin sinkronisasi untuk melihat apakah mesin sibuk atau siaga. Cmdlet ini mengembalikan hasil kosong jika mesin sinkronisasi siaga dan tidak menjalankan Connector. Jika Connector berjalan, ini akan mengembalikan nama Connector.

Get-ADSyncConnectorRunStatus

Connector Run Status
Pada gambar di atas, baris pertama berasal dari keadaan saat mesin sinkronisasi siaga. Baris kedua dari saat Microsoft Entra Koneksi or berjalan.

Penjadwal dan wizard penginstalan

Jika Anda memulai wizard penginstalan, penjadwal untuk sementara ditangguhkan hingga wizard ditutup. Perilaku ini karena Anda dianggap melakukan perubahan konfigurasi dan pengaturan ini tidak dapat diterapkan jika mesin sinkronisasi aktif berjalan. Untuk alasan ini, jangan biarkan wizard penginstalan terbuka karena ini menghentikan mesin sinkronisasi untuk melakukan tindakan sinkronisasi apa pun.

Langkah berikutnya

Pelajari selengkapnya tentang konfigurasi Microsoft Entra Koneksi Sync.

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.