Bagikan melalui

Sinkronisasi Microsoft Entra Connect: Penjadwal

  • Artikel

Topik ini menjelaskan penjadwal bawaan di Microsoft Entra Connect Sync (mesin sinkronisasi).

Fitur ini diperkenalkan dengan build 1.1.105.0 (dirilis Februari 2016).

Ikhtisar

Microsoft Entra Connect Sync menyinkronkan perubahan yang terjadi di direktori lokal Anda menggunakan penjadwal. Ada dua proses penjadwal, satu untuk sinkronisasi kata sandi dan satu lagi untuk tugas sinkronisasi dan pemeliharaan objek/atribut. Topik ini mencakup yang terakhir.

Dalam rilis sebelumnya, penjadwal untuk objek dan atribut berada di luar mesin sinkronisasi. Ini menggunakan penjadwal tugas Windows atau layanan Windows terpisah untuk memicu proses sinkronisasi. Penjadwal telah terintegrasi dengan mesin sinkronisasi pada rilis 1.1 dan memungkinkan adanya penyesuaian. Frekuensi sinkronisasi default baru adalah 30 menit.

Penjadwal bertanggung jawab atas dua tugas:

  • Siklus sinkronisasi. Proses untuk mengimpor, menyinkronkan, dan mengekspor perubahan.
  • Tugas pemeliharaan. Memperbarui kunci dan sertifikat untuk Pengaturan ulang kata sandi dan Device Registration Service (DRS). Hapus menyeluruh entri lama dalam log operasi.

Penjadwal itu sendiri selalu berjalan, tetapi dapat dikonfigurasi untuk hanya menjalankan satu atau tidak satu pun tugas ini. Misalnya, jika Anda perlu memiliki proses siklus sinkronisasi Anda sendiri, Anda dapat menonaktifkan tugas ini di penjadwal tetapi masih menjalankan tugas pemeliharaan.

Penting

Secara default setiap 30 menit siklus sinkronisasi dijalankan. Jika Anda telah memodifikasi siklus sinkronisasi, Anda harus memastikan bahwa siklus sinkronisasi dijalankan setidaknya sekali setiap 7 hari.

  • Sinkronisasi delta perlu terjadi dalam waktu 7 hari dari sinkronisasi delta terakhir.
  • Sinkronisasi delta (mengikuti sinkronisasi penuh) perlu terjadi dalam waktu 7 hari sejak sinkronisasi penuh terakhir selesai.

Kegagalan untuk melakukannya dapat menyebabkan masalah sinkronisasi yang akan mengharuskan Anda menjalankan sinkronisasi penuh untuk diselesaikan. Ini juga berlaku untuk server yang berada dalam mode penahapan.

Konfigurasi penjadwal

Untuk melihat pengaturan konfigurasi Anda saat ini, buka PowerShell dan jalankan Get-ADSyncScheduler. Ini menunjukkan kepada Anda sesuatu seperti gambar ini:

GetSyncScheduler

Jika Anda melihat Perintah sinkronisasi atau cmdlet tidak tersedia saat Anda menjalankan cmdlet ini, maka modul PowerShell tidak dimuat. Masalah ini dapat terjadi jika Anda menjalankan Microsoft Entra Connect pada pengendali domain atau di server dengan tingkat pembatasan PowerShell yang lebih tinggi daripada pengaturan default. Jika Anda melihat kesalahan ini, jalankan Import-Module ADSync untuk membuat cmdlet tersedia.

  • AllowedSyncCycleInterval. Interval waktu terpendek antara siklus sinkronisasi yang diizinkan oleh ID Microsoft Entra. Anda tidak dapat menyinkronkan lebih sering dari pengaturan ini dan tetap mendapatkan dukungan.
  • CurrentlyEffectiveSyncCycleInterval. Jadwal saat ini berlaku. Ini memiliki nilai yang sama dengan CustomizedSyncInterval (jika diatur) jika tidak lebih sering daripada AllowedSyncInterval. Jika Anda menggunakan build sebelum 1.1.281 dan Anda mengubah CustomizedSyncCycleInterval, perubahan ini berlaku setelah siklus sinkronisasi berikutnya. Dari build 1.1.281, perubahan segera berlaku.
  • CustomizedSyncCycleInterval. Jika Anda ingin penjadwal berjalan pada frekuensi lain selain default 30 menit, maka Anda mengonfigurasi pengaturan ini. Pada gambar sebelumnya, penjadwal diatur untuk berjalan setiap jam sebagai gantinya. Jika Anda mengatur pengaturan ini ke nilai yang lebih rendah dari AllowedSyncInterval, maka yang terakhir digunakan.
  • NextSyncCyclePolicyType. Baik Delta atau Inisial. Menentukan apakah eksekusi berikutnya hanya boleh memproses perubahan delta, atau jika eksekusi berikutnya harus melakukan impor dan sinkronisasi penuh. Yang terakhir juga akan memproses ulang aturan baru atau yang diubah.
  • NextSyncCycleStartTimeInUTC. Lain kali penjadwal memulai siklus sinkronisasi berikutnya.
  • PurgeRunHistoryInterval. Catatan operasi waktu sebaiknya disimpan. Log ini dapat ditinjau di manajer layanan sinkronisasi. Defaultnya adalah menyimpan log ini selama 7 hari.
  • SyncCycleEnabled. Menunjukkan apakah penjadwal menjalankan proses impor, sinkronisasi, dan ekspor sebagai bagian dari operasinya.
  • MaintenanceEnabled. Menunjukkan apakah proses pemeliharaan diaktifkan. Ini memperbarui sertifikat/kunci dan membersihkan log operasi.
  • StagingModeEnabled. Menunjukkan apakah mode penahapan diaktifkan. Jika pengaturan ini diaktifkan, maka itu menekan ekspor agar tidak berjalan tetapi masih menjalankan impor dan sinkronisasi.
  • SchedulerSuspended. Ditentukan oleh Connect selama peningkatan untuk memblokir penjadwal agar tidak berjalan sementara.

Anda dapat mengubah beberapa pengaturan ini dengan Set-ADSyncScheduler. Parameter berikut dapat dimodifikasi:

  • IntervalSiklusSinkronisasiKustom
  • JenisKebijakanSiklusSinkronisasiBerikutnya
  • PurgeRunHistoryInterval
  • SinkronisasiSiklusDiaktifkan
  • Mode Perawatan Diaktifkan

Dalam versi build Microsoft Entra Connect sebelumnya, isStagingModeEnabled diekspos di Set-ADSyncScheduler. Tidak didukung untuk mengatur properti ini. Properti SchedulerSuspended hanya boleh dimodifikasi oleh Connect. Ini tidak didukung untuk diatur langsung dengan PowerShell.

Konfigurasi penjadwal disimpan di ID Microsoft Entra. Jika Anda memiliki server penahapan, perubahan apa pun di server utama juga memengaruhi server penahapan (kecuali IsStagingModeEnabled).

Interval Siklus Sinkronisasi yang Disesuaikan

Sintaks: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - hari, HH - jam, mm - menit, ss - detik

Contoh: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Mengubah penjadwal agar berjalan setiap 3 jam.

Contoh: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Perubahan dilakukan untuk mengubah jadwal sehingga berjalan setiap hari.

Menonaktifkan penjadwal

Jika Anda perlu membuat perubahan konfigurasi, maka Anda ingin menonaktifkan penjadwal. Misalnya, saat Anda mengonfigurasi pemfilteran atau membuat perubahan pada aturan sinkronisasi.

Untuk menonaktifkan penjadwal, jalankan Set-ADSyncScheduler -SyncCycleEnabled $false.

Menonaktifkan penjadwal

Ketika Anda membuat perubahan, jangan lupa untuk mengaktifkan penjadwal lagi dengan Set-ADSyncScheduler -SyncCycleEnabled $true.

Memulai penjadwal

Penjadwal secara default dijalankan setiap 30 menit. Dalam beberapa kasus, Anda mungkin ingin menjalankan siklus sinkronisasi di antara siklus terjadwal atau Anda perlu menjalankan jenis yang berbeda.

Siklus sinkronisasi Delta

Siklus sinkronisasi delta mencakup langkah-langkah berikut:

  • Impor Delta pada semua Konektor
  • Sinkronisasi Delta pada semua Konektor
  • Ekspor pada semua Konektor

Siklus sinkronisasi penuh

Siklus sinkronisasi penuh mencakup langkah-langkah berikut:

  • Impor Penuh pada semua Konektor
  • Sinkronisasi Penuh pada semua Konektor
  • Ekspor pada semua Konektor

Bisa jadi Anda memiliki perubahan mendesak yang harus segera disinkronkan, itulah sebabnya Anda perlu menjalankan siklus secara manual.

Jika Anda perlu menjalankan siklus sinkronisasi secara manual, maka dari PowerShell jalankan Start-ADSyncSyncCycle -PolicyType Delta.

Untuk memulai siklus sinkronisasi penuh, jalankan Start-ADSyncSyncCycle -PolicyType Initial dari perintah PowerShell.

Menjalankan siklus sinkronisasi penuh bisa sangat memakan waktu, baca bagian berikutnya untuk membaca cara mengoptimalkan proses ini.

Langkah sinkronisasi diperlukan untuk perubahan konfigurasi yang berbeda

Perubahan konfigurasi yang berbeda memerlukan langkah sinkronisasi yang berbeda untuk memastikan perubahan diterapkan dengan benar ke semua objek.

  • Menambahkan lebih banyak objek atau atribut yang akan diimpor dari direktori sumber (dengan menambahkan/memodifikasi aturan sinkronisasi)
    • Impor Penuh diperlukan pada Konektor untuk direktori sumber tersebut
  • Membuat perubahan pada aturan Sinkronisasi
    • Sinkronisasi Penuh diperlukan pada Konektor untuk aturan Sinkronisasi yang diubah
  • Mengubah pemfilteran sehingga jumlah yang berbeda dari objek harus disertakan
    • Impor Penuh diperlukan pada Konektor untuk setiap Konektor AD. Pengecualiannya adalah jika Anda menggunakan pemfilteran berbasis Atribut berdasarkan atribut yang sudah diimpor ke mesin sinkronisasi

Menyesuaikan siklus sinkronisasi dengan menjalankan kombinasi langkah-langkah sinkronisasi delta dan penuh yang tepat.

Untuk menghindari menjalankan siklus sinkronisasi penuh, Anda dapat menandai Konektor tertentu untuk menjalankan langkah Penuh menggunakan cmdlet berikut.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Contoh: Jika Anda membuat perubahan pada aturan sinkronisasi untuk Konektor "AD Forest A" yang tidak memerlukan atribut baru yang diimpor, maka Anda akan menjalankan cmdlet berikut untuk menjalankan siklus sinkronisasi delta yang juga melakukan langkah Sinkronisasi Penuh untuk Konektor tersebut.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Contoh: Jika Anda membuat perubahan pada aturan sinkronisasi untuk Konektor "AD Forest A" sehingga sekarang memerlukan atribut baru untuk diimpor, Anda akan menjalankan cmdlet berikut untuk menjalankan siklus sinkronisasi delta yang juga melakukan langkah Impor Penuh, Sinkronisasi Penuh untuk Konektor tersebut.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Hentikan penjadwal

Jika penjadwal saat ini menjalankan siklus sinkronisasi, Anda mungkin perlu menghentikannya. Misalnya jika Anda memulai panduan penginstalan dan melihat kesalahan berikut:

Cuplikan layar memperlihatkan Tidak dapat mengubah pesan kesalahan konfigurasi.

Saat siklus sinkronisasi berjalan, Anda tidak dapat membuat perubahan konfigurasi. Anda dapat menunggu hingga penjadwal menyelesaikan proses, tetapi Anda juga dapat menghentikannya sehingga Anda dapat segera membuat perubahan. ** Menghentikan siklus saat ini tidak berbahaya dan perubahan yang tertunda akan diproses dengan siklus berikutnya.

  1. Mulailah dengan memberi tahu penjadwal untuk menghentikan siklusnya saat ini dengan cmdlet PowerShell Stop-ADSyncSyncCycle.

  2. Jika Anda menggunakan build sebelum 1.1.281, maka menghentikan pengatur jadwal tidak menghentikan Konektor yang sedang menjalankan tugasnya saat ini. Untuk memaksa Konektor berhenti, lakukan tindakan berikut:

    Cuplikan layar menunjukkan Synchronization Service Manager dengan Konektor yang dipilih, dan konektor yang sedang berjalan disorot dengan tindakan

    • Mulai Synchronization Service dari Menu Mulai. Pergi ke Konektor, sorot Konektor dengan status Berjalan, dan pilih Hentikan pada bagian Tindakan.

Penjadwal masih aktif dan akan dimulai kembali pada kesempatan berikutnya.

Penjadwal kustom

Cmdlet yang didokumenkan di bagian ini hanya tersedia di build 1.1.130.0 dan yang lebih baru.

Jika penjadwal bawaan tidak memenuhi kebutuhan Anda, maka Anda dapat menjadwalkan Konektor menggunakan PowerShell.

Invoke-ADSyncRunProfile

Anda dapat memulai profil untuk Konektor dengan cara ini:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Nama yang digunakan untuk Nama Konektor dan Nama Profil Eksekusi dapat ditemukan di antarmuka pengguna Synchronization Service Manager UI.

Menjalankan Profil Eksekusi

Cmdlet Invoke-ADSyncRunProfile bersifat sinkron, artinya tidak akan mengembalikan kendali sampai Penghubung menyelesaikan operasi, baik secara berhasil maupun jika terjadi kesalahan.

Saat Anda menjadwalkan Konektor, rekomendasinya adalah menjadwalkannya dalam urutan berikut:

  1. (Penuh/Delta) Mengimpor dari direktori lokal, seperti Direktori Aktif
  2. (Penuh/Delta) Impor dari ID Microsoft Entra
  3. (Penuh/Delta) Sinkronisasi dari direktori lokal, seperti Direktori Aktif
  4. (Penuh/Delta) Sinkronisasi dari ID Microsoft Entra
  5. Ekspor ke Entra ID Microsoft
  6. Ekspor ke direktori lokal, seperti Direktori Aktif

Inilah urutan bagaimana penjadwal bawaan mengoperasikan Konektor.

Get-ADSyncConnectorRunStatus

Anda juga dapat memantau mesin sinkronisasi untuk melihat apakah mesin tersebut sibuk atau diam. Cmdlet ini mengembalikan hasil kosong jika mesin sinkronisasi menganggur dan tidak menjalankan Konektor. Jika sebuah Konektor sedang berjalan, maka Konektor tersebut mengembalikan namanya.

Get-ADSyncConnectorRunStatus

Status Jalankan Konektor
Pada gambar di atas, baris pertama berasal dari status di mana mesin sinkronisasi sedang tidak aktif. Baris kedua dari saat Konektor Microsoft Entra berjalan.

Penjadwal dan panduan penginstalan

Jika Anda memulai panduan penginstalan, maka penjadwal akan ditangguhkan untuk sementara. Perilaku ini karena diasumsikan Anda membuat perubahan konfigurasi dan pengaturan ini tidak dapat diterapkan jika mesin sinkronisasi berjalan secara aktif. Untuk alasan ini, jangan biarkan wizard penginstalan terbuka karena menghentikan mesin sinkronisasi melakukan tindakan sinkronisasi apa pun.

Langkah berikutnya

Pelajari selengkapnya tentang konfigurasi Sinkronisasi Microsoft Entra Connect.

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.