Bagikan melalui


Faktor-faktor yang memengaruhi performa Microsoft Entra Connect

Microsoft Entra Connect menyinkronkan Direktori Aktif Anda ke ID Microsoft Entra. Peladen ini adalah komponen penting untuk memindahkan identitas pengguna Anda ke awan. Faktor utama yang memengaruhi performa Microsoft Entra Connect adalah:

Faktor desain Definisi
Topologi Distribusi titik akhir dan komponen yang harus dikelola Microsoft Entra Connect di jaringan.
Sisik Jumlah objek seperti pengguna, grup, dan OU, yang akan dikelola oleh Microsoft Entra Connect.
Perangkat Keras Perangkat keras (fisik atau virtual) untuk Microsoft Entra Connect dan kapasitas performa dependen dari setiap komponen perangkat keras termasuk konfigurasi CPU, memori, jaringan, dan hard drive.
Konfigurasi Cara Microsoft Entra Connect memproses direktori dan informasi.
Muat Frekuensi perubahan objek. Beban dapat bervariasi selama satu jam, hari, atau minggu. Tergantung komponennya, Anda mungkin harus mendesain untuk beban puncak atau beban rata-rata.

Tujuan dokumen ini adalah untuk menjelaskan faktor-faktor yang memengaruhi performa mesin provisi Microsoft Entra Connect. Organisasi besar atau kompleks (organisasi yang menyediakan lebih dari 100.000 objek) dapat menggunakan rekomendasi untuk mengoptimalkan implementasi Microsoft Entra Connect mereka, jika mereka mengalami masalah performa yang diuraikan di sini. Komponen Lain dari Microsoft Entra Connect, seperti Microsoft Entra Connect Health dan agen tidak tercakup di sini.

Penting

Microsoft tidak mendukung pengubahan atau pengoperasian Microsoft Entra Connect di luar tindakan yang didokumentasikan secara resmi. Salah satu tindakan ini dapat mengakibatkan status Microsoft Entra Connect Sync yang tidak konsisten atau tidak didukung. Akibatnya, Microsoft tidak dapat memberikan dukungan teknis untuk penyebaran tersebut.

Faktor komponen Microsoft Entra Connect

Diagram berikut menunjukkan arsitektur tingkat tinggi penyediaan mesin yang tersambung ke single forest, meskipun multiple forest didukung. Arsitektur ini menunjukkan bagaimana berbagai komponen berinteraksi satu sama lain.

Diagram memperlihatkan bagaimana Direktori Tersambung dan mesin provisi Microsoft Entra Connect berinteraksi, termasuk komponen Connector Space dan Metaverse dalam SQL Database.

Mesin provisi terhubung ke setiap forest Direktori Aktif dan ke ID Microsoft Entra. Proses membaca informasi dari masing-masing direktori disebut Impor. Ekspor mengacu pada pembaruan direktori dari mesin penyediaan. Sinkronisasi mengevaluasi aturan bagaimana objek akan mengalir di dalam mesin penyediaan. Untuk penyelaman yang lebih dalam, Anda dapat merujuk ke Sinkronisasi Microsoft Entra Connect: Memahami arsitektur.

Microsoft Entra Connect menggunakan area, aturan, dan proses penahapan berikut untuk memungkinkan sinkronisasi dari Direktori Aktif ke ID Microsoft Entra:

  • Connector Space (CS) - Objek dari setiap direktori tersambung (CD), direktori aktual, dipentaskan di sini terlebih dahulu sebelum dapat diproses oleh mesin penyediaan. Microsoft Entra ID memiliki CS sendiri dan setiap forest yang Anda sambungkan memiliki CS sendiri.
  • Metaverse (MV) - Objek yang perlu disinkronkan dibuat di sini berdasarkan aturan sinkronisasi. Objek harus ada di MV sebelum dapat mengisi objek dan atribut ke direktori lain yang tersambung. Hanya ada satu MV.
  • Aturan sinkronisasi - Mereka memutuskan objek mana yang akan dibuat (diproyeksikan) atau tersambung (bergabung) ke objek di MV. Aturan sinkronisasi juga memutuskan nilai atribut mana yang akan disalin atau diubah ke dan dari direktori.
  • Jalankan profil - Bundle langkah-langkah proses menyalin objek dan nilai atributnya sesuai dengan aturan sinkronisasi antara area pementasan dan direktori yang tersambung.

Profil run yang berbeda ada untuk mengoptimalkan kinerja mesin penyediaan. Sebagian besar organisasi akan menggunakan jadwal default dan menjalankan profil untuk operasi normal, tetapi beberapa organisasi mungkin harus mengubah jadwal atau memicu profil lari lainnya untuk melayani situasi yang tidak biasa. Profil jalankan berikut ini tersedia:

Profil sinkronisasi awal

Profil sinkronisasi awal adalah proses membaca direktori yang tersambung, seperti forest Direktori Aktif, untuk pertama kalinya. Kemudian melakukan analisis pada semua entri dalam database mesin sinkronisasi. Siklus awal akan membuat objek baru di MICROSOFT Entra ID dan akan membutuhkan waktu ekstra untuk diselesaikan jika forest Direktori Aktif Anda besar. Sinkronisasi awal mencakup langkah-langkah berikut ini:

  1. Impor penuh pada semua konektor
  2. Sinkronkan penuh pada semua konektor
  3. Ekspor pada semua konektor

Profil sinkronisasi Delta

Untuk mengoptimalkan proses sinkronisasi, profil jalankan ini hanya memproses perubahan (membuat, menghapus, dan memperbarui) objek di direktori tersambung Anda, sejak proses sinkronisasi terakhir. Secara default, profil sinkronisasi delta berjalan setiap 30 menit. Organisasi harus berusaha untuk menjaga waktu yang diperlukan hingga di bawah 30 menit, untuk memastikan ID Microsoft Entra diperbarui. Untuk memantau kesehatan Microsoft Entra Connect, gunakan agen pemantauan kesehatan untuk melihat masalah dengan proses tersebut. Profil sinkronisasi delta mencakup langkah-langkah berikut:

  1. Impor Delta pada semua konektor
  2. Sinkronkan delta pada semua konektor
  3. Ekspor pada semua konektor

Skenario sinkronisasi delta organisasi perusahaan yang khas adalah:

  • ~1% objek dihapus
  • ~1% objek dibuat
  • ~5% objek dimodifikasi

Tingkat perubahan Anda dapat bervariasi tergantung pada seberapa sering organisasi Anda memperbarui pengguna di Direktori Aktif Anda. Misalnya, tingkat perubahan yang lebih tinggi dapat terjadi dengan musiman perekrutan dan pengurangan angkatan kerja.

Profil sinkronisasi penuh

Siklus sinkronisasi penuh diperlukan jika Anda telah membuat salah satu perubahan konfigurasi berikut:

  • Meningkatkan cakupan objek atau atribut yang akan diimpor dari direktori yang tersambung. Misalnya, saat Anda menambahkan domain atau OU ke lingkup impor Anda.
  • Membuat perubahan pada aturan sinkronisasi. Misalnya, saat Anda membuat aturan baru untuk mengisi judul pengguna di ID Microsoft Entra dari extension_attribute3 di Direktori Aktif. Pembaruan ini mengharuskan mesin penyediaan memeriksa kembali semua pengguna yang ada untuk memperbarui judul mereka untuk menerapkan perubahan ke depannya.

Operasi berikut ini disertakan dalam siklus sinkronisasi penuh:

  1. Impor penuh pada semua konektor
  2. Sinkronisasi Penuh/Delta pada semua konektor
  3. Ekspor pada semua konektor

Catatan

Perencanaan yang cermat diperlukan saat melakukan pembaruan massal ke banyak objek di Direktori Aktif atau ID Microsoft Entra Anda. Pembaruan massal akan menyebabkan proses sinkronisasi delta memakan waktu lebih lama saat mengimpor, karena banyak objek telah berubah. Impor panjang dapat terjadi meskipun pembaruan massal tidak memengaruhi proses sinkronisasi. Misalnya, menetapkan lisensi untuk banyak pengguna di MICROSOFT Entra ID akan menyebabkan siklus impor yang panjang dari ID Microsoft Entra, tetapi tidak akan mengakibatkan perubahan atribut apa pun di Direktori Aktif.

Sinkronisasi

Runtime proses sinkronisasi memiliki karakteristik kinerja berikut:

  • Sinkronisasi single thread, yang berarti mesin penyediaan tidak melakukan pemrosesan paralel dari menjalankan profil direktori, objek, atau atribut yang tersambung.
  • Waktu impor tumbuh secara linear dengan jumlah objek yang disinkronkan. Misalnya, jika 10.000 objek membutuhkan waktu 10 menit untuk mengimpor, maka 20.000 objek akan memakan waktu sekitar 20 menit di server yang sama.
  • Ekspor juga linier.
  • Sinkronisasi akan tumbuh secara eksponensial berdasarkan jumlah objek dengan referensi ke objek lain. Keanggotaan grup dan grup bertumpuk memiliki dampak kinerja utama, karena anggota mereka merujuk ke objek pengguna atau grup lain. Referensi ini harus ditemukan dan direferensikan ke objek aktual dalam MV untuk menyelesaikan siklus sinkronisasi.
  • Mengubah anggota grup akan menyebabkan evaluasi ulang semua anggota grup. Misalnya, jika Anda memiliki grup dengan anggota 50K dan Anda hanya memperbarui 1 anggota, ini akan memicu sinkronisasi semua anggota 50K.

Filter

Ukuran topologi Direktori Aktif yang ingin Anda impor adalah faktor nomor satu yang mempengaruhi kinerja dan secara keseluruhan waktu yang akan diambil komponen internal mesin penyediaan.

Pemfilteran harus digunakan untuk mengurangi objek ke objek yang disinkronkan. Ini akan mencegah objek yang tidak perlu diproses dan diekspor ke ID Microsoft Entra. Dalam urutan preferensi, teknik pemfilteran berikut tersedia:

  • Pemfilteran berbasis domain - gunakan opsi ini untuk memilih domain tertentu untuk disinkronkan ke ID Microsoft Entra. Anda harus menambahkan dan menghapus domain dari konfigurasi mesin sinkronisasi saat membuat perubahan pada infrastruktur lokal setelah menginstal Sinkronisasi Microsoft Entra Connect.
  • Pemfilteran Unit Organisasi (OU) - menggunakan OU untuk menargetkan objek tertentu di domain Direktori Aktif untuk provisi ke ID Microsoft Entra. Pemfilteran OU adalah mekanisme pemfilteran kedua yang direkomendasikan, karena menggunakan kueri lingkup LDAP sederhana untuk mengimpor subset objek yang lebih kecil dari Direktori Aktif.
  • Pemfilteran atribut per objek - menggunakan nilai atribut pada objek untuk memutuskan apakah objek tertentu di Direktori Aktif disediakan dalam ID Microsoft Entra. Pemfilteran atribut sangat bagus untuk menyempurnakan filter Anda, saat pemfilteran domain dan OU tidak memenuhi persyaratan pemfilteran tertentu. Pemfilteran atribut tidak mengurangi waktu impor tetapi dapat mengurangi waktu sinkronisasi dan ekspor.
  • Pemfilteran berbasis grup - menggunakan keanggotaan grup untuk memutuskan apakah objek harus disediakan di ID Microsoft Entra. Pemfilteran berbasis grup hanya cocok untuk situasi pengujian dan tidak direkomendasikan untuk produksi, karena overhead tambahan yang diperlukan untuk memeriksa keanggotaan grup selama siklus sinkronisasi.

Banyak objek diskonektor persisten di Active Directory CS Anda dapat menyebabkan waktu sinkronisasi yang lebih lama, karena mesin penyediaan harus mengevaluasi kembali setiap objek diskonektor untuk kemungkinan koneksi dalam siklus sinkronisasi. Untuk mengatasi masalah ini, pertimbangkan salah satu rekomendasi berikut:

  • Tempatkan objek diskonektor keluar dari lingkup untuk diimpor menggunakan pemfilteran domain atau OU.
  • Proyeksikan/gabungkan objek ke MV dan atur atribut cloudFiltered sama dengan True, untuk mencegah provisi objek ini di Microsoft Entra CS.

Catatan

Pengguna bisa bingung atau masalah izin aplikasi dapat terjadi, ketika terlalu banyak objek yang difilter. Misalnya, dalam implementasi online Exchange hibrid, pengguna dengan kotak surat lokal akan melihat lebih banyak pengguna di daftar alamat global mereka daripada pengguna dengan kotak surat di Exchange online. Dalam kasus lain, pengguna mungkin ingin memberikan akses di aplikasi cloud kepada pengguna lain yang bukan bagian dari lingkup kumpulan objek yang difilter.

Aliran atribut

Alur atribut adalah proses untuk menyalin atau mengubah nilai atribut objek dari satu direktori yang tersambung ke direktori tersambung lainnya. Mereka didefinisikan sebagai bagian dari aturan sinkronisasi. Misalnya, ketika nomor telepon pengguna diubah di Direktori Aktif Anda, nomor telepon di ID Microsoft Entra akan diperbarui. Organisasi dapat memodifikasi alur atribut untuk memenuhi berbagai persyaratan. Disarankan agar Anda menyalin alur atribut yang ada sebelum mengubahnya.

Pengalihan sederhana, seperti mengalirkan nilai atribut ke atribut lain tidak memiliki dampak kinerja material. Contoh pengalihan mengalirkan nomor ponsel di Direktori Aktif ke nomor telepon kantor di ID Microsoft Entra.

Mengubah nilai atribut dapat memiliki dampak kinerja pada proses sinkronisasi. Mengubah nilai atribut termasuk memodifikasi, memformat ulang, menggabungkan, atau mengurangi nilai atribut.

Organisasi dapat mencegah atribut tertentu mengalir ke MICROSOFT Entra ID, tetapi tidak akan memengaruhi performa mesin provisi.

Catatan

Jangan hapus alur atribut yang tidak diinginkan dalam aturan sinkronisasi Anda. Disarankan agar Anda menonaktifkannya, karena aturan yang dihapus dibuat ulang selama peningkatan Microsoft Entra Connect.

Faktor dependensi Microsoft Entra Connect

Performa Microsoft Entra Connect bergantung pada performa direktori terhubung yang diimpor dan diekspor. Misalnya, ukuran Direktori Aktif yang perlu diimpor atau latensi jaringan ke layanan Microsoft Entra. Database SQL yang digunakan mesin penyediaan juga berdampak pada kinerja keseluruhan siklus sinkronisasi.

Faktor Direktori Aktif

Seperti disebutkan sebelumnya, jumlah objek yang akan diimpor mempengaruhi kinerja secara signifikan. Perangkat keras dan prasyarat untuk Microsoft Entra Connect menguraikan tingkat perangkat keras tertentu berdasarkan ukuran penyebaran Anda. Microsoft Entra Connect hanya mendukung topologi tertentu seperti yang diuraikan dalam Topologi untuk Microsoft Entra Connect. Tidak ada pengoptimalan kinerja dan rekomendasi untuk topologi yang tidak didukung.

Pastikan server Microsoft Entra Connect Anda memenuhi persyaratan perangkat keras berdasarkan ukuran Direktori Aktif yang ingin Anda impor. Konektivitas jaringan yang buruk atau lambat antara server Microsoft Entra Connect dan pengontrol domain Direktori Aktif Anda dapat memperlambat impor Anda.

Faktor ID Microsoft Entra

MICROSOFT Entra ID menggunakan pembatasan untuk melindungi layanan cloud dari serangan denial-of-service (DoS). Saat ini ID Microsoft Entra memiliki batas pembatasan 7.000 tulis per 5 menit (84.000 per jam). Misalnya, operasi berikut dapat throttle:

  • Ekspor Microsoft Entra Connect ke ID Microsoft Entra.
  • Skrip atau aplikasi PowerShell memperbarui ID Microsoft Entra secara langsung bahkan di latar belakang, seperti grup keanggotaan dinamis.
  • Pengguna memperbarui catatan identitas mereka sendiri seperti mendaftar untuk MFA atau SSPR (reset kata sandi layanan mandiri).
  • Operasi dalam antarmuka pengguna grafis.

Rencanakan tugas penyebaran dan pemeliharaan, untuk memastikan siklus Sinkronisasi Microsoft Entra Connect Anda tidak terpengaruh oleh batas pembatasan. Misalnya, jika Anda memiliki gelombang perekrutan besar tempat Anda membuat ribuan identitas pengguna, itu dapat menyebabkan pembaruan pada grup keanggotaan dinamis, penetapan lisensi, dan pendaftaran pengaturan ulang kata sandi mandiri. Lebih baik menyebarkan tulisan-tulisan ini selama beberapa jam atau beberapa hari.

Faktor database SQL

Ukuran topologi Active Directory sumber Anda akan memengaruhi kinerja database SQL Anda. Ikuti persyaratan perangkat keras untuk database server SQL dan pertimbangkan rekomendasi berikut:

  • Organisasi dengan lebih dari 100.000 pengguna dapat mengurangi latensi jaringan dengan menempatkan database SQL dan mesin penyediaan di server yang sama.
  • Protokol SQL Named Pipes tidak didukung karena memperkenalkan penundaan signifikan dalam siklus sinkronisasi dan harus dinonaktifkan di Pengelola Konfigurasi SQL Server di bawah SQL Native Clients dan SQL Server Network. Harap dicatat bahwa mengubah konfigurasi Pipa Bernama hanya berlaku setelah memulai ulang database dan layanan Sinkronisasi AAD.
  • Karena persyaratan input dan output disk (I/O) yang tinggi dari proses sinkronisasi, gunakan Solid State Drive (SSD) untuk database SQL mesin penyediaan untuk hasil yang optimal, jika tidak memungkinkan, pertimbangkan konfigurasi RAID 0 atau RAID 1.
  • Jangan melakukan sinkronisasi penuh secara preemtif; itu menyebabkan churn yang tidak perlu dan waktu respons yang lebih lambat.

Kesimpulan

Untuk mengoptimalkan performa implementasi Microsoft Entra Connect Anda, pertimbangkan rekomendasi berikut:

  • Gunakan konfigurasi perangkat keras yang direkomendasikan berdasarkan ukuran implementasi Anda untuk server Microsoft Entra Connect.
  • Saat meningkatkan Microsoft Entra Connect dalam penyebaran skala besar, pertimbangkan untuk menggunakan metode migrasi ayunan, untuk memastikan Anda memiliki waktu henti paling sedikit dan keandalan terbaik.
  • Gunakan SSD untuk database SQL untuk kinerja penulisan terbaik.
  • Pencadangan Database Sinkronisasi AAD menggunakan Azure Backup tidak disarankan.
  • Filter cakupan Direktori Aktif untuk hanya menyertakan objek yang perlu disediakan di ID Microsoft Entra, menggunakan domain, OU, atau pemfilteran atribut.
  • Jika Anda perlu mengubah aturan alur atribut default, salin aturan terlebih dahulu, lalu ubah salinan dan nonaktifkan aturan asli. Ingatlah untuk menjalankan ulang sinkronisasi penuh.
  • Rencanakan waktu yang memadai untuk profil menjalankan sinkronisasi penuh awal.
  • Berusahalah untuk menyelesaikan siklus sinkronisasi delta dalam 30 menit. Jika profil sinkronisasi delta tidak selesai dalam 30 menit, ubah frekuensi sinkronisasi default untuk menyertakan siklus sinkronisasi delta lengkap.
  • Pantau kesehatan Sinkronisasi Microsoft Entra Connect Anda di ID Microsoft Entra.

Langkah berikutnya

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.