Share via

Considerazioni sulla distribuzione per l'implementazione di Microsoft Identity Manager con SharePoint Server

  • Articolo

SI APPLICA A:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Per aumentare le probabilità di una distribuzione MIM riuscita in SharePoint Server, seguire queste indicazioni:

Pianificare la migrazione dall'ambiente di testing all'ambiente di produzione

Pianificare, pianificare e quindi pianificare ancora. Questo passaggio non sarà mai sottolineato abbastanza. La maggior parte della sincronizzazione non riuscita può essere attribuita a una mancanza di pianificazione.

Una corretta configurazione del servizio di sincronizzazione MIM nel lab di test e un'attenta pianificazione della migrazione dal lab di test alla produzione sono essenziali per ridurre al minimo i problemi relativi alla distribuzione. È consigliabile usare un ambiente di test di piccole dimensioni per evitare l'elaborazione di migliaia di oggetti quando si testano nuove regole.

Backup dell'ambiente di testing iniziale

Dopo l'installazione di MIM e la creazione degli agenti di gestione, eseguir il backup del database di sincronizzazione MIM. È quindi possibile ricreare un ambiente di testing aggiornato in qualsiasi momento caricando il database di backup.

Test del backup e ripristino delle procedure MIM

Le procedure di backup regolari sono essenziali per proteggere i dati da perdite accidentali. È anche consigliabile testare le procedure di backup e ripristino prima che si verifichi un'emergenza. Per eseguire il backup e ripristino MIM, utilizzare gli strumenti di backup forniti con il sistema operativo Windows Server 2012 R2 e SQL Server 2014.

Installare il servizio di sincronizzazione MIM e SQL Server nello stesso dominio

Durante l'installazione della sincronizzazione MIM, l'accesso al database remoto dipende dai diritti di accesso dell'account di accesso corrente usato per eseguire il programma di installazione. Assicurarsi che il server che esegue Windows Server 2012 sistema operativo R2 che ospita MIM e il server che ospita SQL Server si trovino nello stesso dominio e che l'account usato per eseguire il programma di installazione disponga dei diritti di accesso al server che ospita SQL Server.

Configurare i diritti di accesso se SQL Server è installato in un server remoto

Se si installa SQL Server in un computer remoto, vale a dire in un computer diverso da quello in cui viene eseguito MIM, assicurarsi che i criteri per l'account di servizio di SQL Server consentano agli utenti l'accesso al computer dalla rete. Se non è consentito l'accesso, l'installazione di MIM avrà esito negativo.

Importante

Se si installa SQL Server in un computer remoto e si consente l'accesso di rete al computer remoto, verrà visualizzato un avviso di sicurezza dalla configurazione di MIM. Per questo scenario, è possibile ignorare l'avviso.

Specificare la porta TCP/IP per un server remoto che esegue SQL Server

Se l'istanza di SQL Server specificata durante l'installazione MIM è in un computer remoto, il programma di installazione MIM usa la porta TCP/IP predefinita. Se si desidera specificare una porta diversa, è necessario utilizzare Utilità di rete del Client di SQL Server (Windows\System32\cliconfg.exe) e gli strumenti di configurazione di rete forniti con SQL Server. Per ulteriori informazioni, vedere la documentazione online di SQL Server.

Utilizzare Agente di gestione esportazioni per eseguire il backup degli agenti di gestione ogni volta che si modificano le regole degli agenti di gestione

Dopo aver utilizzato l'agente di gestione di esportazione, è possibile utilizzare il comando Import Management Agent per importare una versione specifica dell'agente di gestione singolo. È inoltre possibile esportare e importare gli agenti di gestione usando i comandi Export Server Configuration e Import Server Configuration, ma in questo modo vengono importati tutti gli agenti di gestione in aggiunta allo schema metaverse. Per altre informazioni su come configurare e importare, vedere Configurazione degli agenti di gestione e Importazione ed esportazione di una configurazione del server

Inserire l'attributo displayName nel metaverse per rendere più semplice l'identificazione dei risultati della ricerca

Quando si elencano gli oggetti mediante la ricerca metaverse, MIM restituisce risultati identificati dall'attributo displayName. Se l'attributo displayName non viene popolato, i risultati della ricerca sono contrassegnati dall'identificatore univoco globale (GUID). Per altre informazioni su come usare la ricerca metaverse, vedere Uso della ricerca metaverse

Progettare regole di flusso per agire sullo stato di un oggetto

Utilizzare lo stato di un oggetto per determinare il passaggio successivo nella sincronizzazione dell'oggetto, anziché utilizzare l'evento che ha causato lo stato dell'oggetto.

Importante

[!IMPORTANTE] Non affidarsi alle regole dichiarative o alle regole in un'estensione di regole da valutare in un ordine specifico quando si sincronizza un oggetto. Le regole vengono valutate in modo non ordinato.

Disabilitare il provisioning quando si esegue la migrazione di origini di dati connesse a metaverse per la prima volta

Quando si distribuisce MIM per la prima volta, è consigliabile eseguire la migrazione e l'aggiunta a tutte le origini dati connesse prima di abilitare il provisioning. Dopo aver verificato che tutti gli elementi sono stati migrati e aggiunti correttamente, è possibile abilitare il provisioning ed eseguire una sincronizzazione completa degli agenti di gestione per applicare le regole di provisioning a tutti gli oggetti connessi. Per altre informazioni su come configurare le regole di provisioning, vedere Regole di provisioning

Impostare una soglia di eliminazione nei passaggi del profilo di esecuzione per limitare il numero di eliminazioni accidentali

Utilizzare l'impostazione della soglia di eliminazione per limitare il numero di eliminazioni accidentali che possono verificarsi durante l'importazione o esportazione. La soglia di eliminazione arresterà l'agente di gestione o ne impedirà l'avvio quando la soglia viene raggiunta. Per altre informazioni, vedere Configurazione degli agenti di gestione.

Utilizzare lo spazio connettore di ricerca per esaminare gli oggetti

Con spazio connettore di ricerca, è possibile cercare gli oggetti nello spazio connettore per un agente di gestione. È possibile individuare gli oggetti in base al nome o allo stato di errore o allo stato dell'oggetto, ovvero indipendentemente dal fatto che sia connesso, disconnesso o in attesa di importazione o esportazione.

Usare l'anteprima per testare le sincronizzazioni e risolvere i problemi

Con l'anteprima, è possibile eseguire sincronizzazioni di test e visualizzare i risultati senza salvare le modifiche nel metaverse. È possibile anche utilizzare l'anteprima per testare nuove estensioni di regole e risolvere gli errori di sincronizzazione a causa di errori di join o violazioni dello schema.

Pianificare un profilo di esecuzione ricorrente con il passaggio della sincronizzazione delta per elaborare automaticamente i sezionatori

Gli oggetti che non si riesce a unire non vengono rivalutati dall'importazione delta e dal passaggio del profili di esecuzione di sincronizzazione delta e potrebbero rimanere come sezionatori. L'esecuzione di un passaggio di sincronizzazione Delta a intervalli regolari rivaluta ed elabora questi sezionatori. Per altre informazioni su come eseguire i passaggi del profilo, vedere Configurazione degli agenti di gestione.

Salvare e cancellare regolarmente la cronologia di esecuzione degli agenti di gestione in Operazioni

Operazioni registra una cronologia di ogni esecuzione dell'agente di gestione. Ogni cronologia di esecuzione degli agenti di gestione viene salvata nel database SQL Server e può causare la crescita del database nel tempo, influenzando le prestazioni. La cronologia di esecuzione può essere salvata mediante Operazioni. Per altre informazioni su come usare le operazioni, vedere Uso delle operazioni.

Nota

[!NOTA] Eliminare un gran numero di esecuzioni contemporaneamente può richiedere molto tempo. È consigliabile eliminare non più di 100 esecuzioni alla volta.

Utilizzare più partizioni in un agente di gestione per la sincronizzazione di controllo dei tipi di oggetti singoli

Per gestire la sincronizzazione dei tipi di oggetto singoli in un agente di gestione basato su file, creare una partizione per ogni tipo di oggetto. Ad esempio, per sincronizzare i tipi di oggetto cassetta postale e gruppo, creare due partizioni nell'agente di gestione e assegnare cassetta postale a una partizione e gruppo all'altra. Creare quindi un profilo di esecuzione dell'agente di gestione per ogni partizione. Con questa configurazione, è disponibile un agente di gestione con la flessibilità necessaria per sincronizzare uno o entrambi i tipi di oggetto selezionati. Per altre informazioni su come usare le partizioni, vedere Il metaverse e lo spazio connettore

Pianificazione della capacità

Sono disponibili numerose variabili che influenzano la capacità e le prestazioni complessive della distribuzione MIM.

Le prestazioni possono essere influenzate negativamente se tutti i database nel sistema vengono creati con una dimensione ridotta e impostati a crescere automaticamente in particolare con piccoli incrementi. È necessario un minimo di 16 GB di RAM per SQL Server, ma si trarrà vantaggio da una maggiore quantità di memoria. Nei server SQL dovrebbero essere presenti almeno 16 core CPU, ma un numero maggiore di core consentirà di ottenere prestazioni complessive.

Infine, è consigliabile non eseguire insieme database MIM e SharePoint nello stesso server.

Disponibilità elevata

La soluzione MIM è progettata per essere altamente disponibile per evitare ogni singolo punto di errore. I seguenti componenti da considerare per la disponibilità elevata:

Nota

Le informazioni contenute in questa sezione sono suggerimenti.

  • Servizio di sincronizzazione MIM - Anche se il clustering del servizio di sincronizzazione MIM non è supportato, potrebbe essere distribuito un server warm standby per assumere il carico di lavoro dell'entità principale in caso di errore. Tuttavia, i guasti hardware non dovrebbero essere un problema poiché il servizio di sincronizzazione MIM verrà eseguito in una macchina virtuale ospitata su più nodi fisici. Anche in caso di errore del software, la macchina virtuale che ospita il server di sincronizzazione può essere rapidamente recuperata da un backup precedente o da zero. Un'interruzione del servizio non ha alcun impatto sulle interazioni dell'utente finale con la soluzione. Sarebbe ritardata solo l'evasione di tutte le richieste di provisioning e deprovisioning di accesso. Quando il servizio viene riportato online, tali operazioni verrebbero ripristinate senza perdita di dati. La modalità warm standby del servizio di sincronizzazione MIM verrà connessa allo stesso database di SQL Server come istanza principale e dovrà essere attivata tramite uno script nel caso in cui l'istanza principale si arresti e non possa essere riavviata in modo tempestivo. Si noti che l'agente di gestione MIM utilizzato per sincronizzare i dati tra database del servizio di sincronizzazione MIM e database del servizio MIM dovrà scegliere l'istanza del servizio MIM locale.

  • SQL Server - Un cluster di SQL Server è necessario per la soluzione MIM affinché fornisca elevata disponibilità per il livello di database. Il cluster MIM sarà costituito da due server con specifiche descritte nei paragrafi precedenti. Anche se ogni nodo SQL dispone di entrambe le istanze SQL installate, solo una delle due istanze sarà attiva in un determinato momento.

    La progettazione prende in considerazione l'utilizzo migliore delle macchine virtuali cluster senza superare la disponibilità di ogni noto e potenzialmente causare l'arresto di entrambi i nodi in caso di failover.

    Poiché i database sono ospitati in un server SQL remoto, la connessione di rete tra i server MIM e SQL deve essere di 1 GB. Una rete da 100 MB non fornirà ampiezza di banda sufficiente e influirà negativamente sulle prestazioni della sincronizzazione dal 20 al 30%.

Utilizzare sempre l'importazione di Active Directory come l'impostazione di sincronizzazione in Amministrazione profili utente

Se si prevede di usare il servizio di sincronizzazione MIM, non selezionarlo. Selezionare invece l'opzione Use SharePoint Active Directory Import. Esiste un problema noto relativo alla compilazione dei destinatari e all'attributo Manager se è selezionata l'opzione Enable External Identity Manager.

Nota

Questo problema è stato risolto nell'aggiornamento pubblico di febbraio 2017, vedere 21 febbraio 2017, aggiornamento per SharePoint Server 2016 (KB3141517)

Non passare da un tipo di sincronizzazione all'altro

Se si passa da un tipo di sincronizzazione a un altro usando il sito Web Configura impostazioni di sincronizzazione nel sito Web Amministrazione centrale SharePoint, si verificheranno problemi con nessun oggetto restituito quando viene avviata un'importazione nell'istanza di SharePoint Connector e non si verificano risultati nei log ULS.

Per risolvere il problema, nella sezione Procedura di ripristino, vedere 2016 SharePoint: Problemi causati dal passaggio da un tipo di sincronizzazione all'altro nell'importazione Active Directory UPA/Gestione identità esterna (MIM)

Esportazione delle immagini da SharePoint a Active Directory

Microsoft Identity Manager supporta l'esportazione di immagini del profilo utente da SharePoint ad Active Directory.

Nessuna integrazione BCS per supportare altre proprietà del profilo

Non esiste alcuna integrazione con i servizi di integrazione applicativa per supportare le proprietà del profilo in MIM. È possibile configurare manualmente i connettori per ottenere questo risultato.

Proprietà del profilo utente

È possibile creare nuove proprietà del profilo utente in SharePoint Server. tuttavia, i mapping non vengono creati in SharePoint, ma all'interno di MIM.

Nome NetBIOS

Se è selezionata la gestione identità esterna, è necessario abilitare la proprietà NetBIOSDomainNamesEnabled nell'applicazione di servizio dell'applicazione profilo utente non appena viene creata per poter supportare scenari in cui il nome NetBIOS del dominio è diverso dal nome di dominio completo del dominio.

Eseguire le operazioni di sincronizzazione su un canale sicuro

Poiché la sincronizzazione include spesso informazioni personali, è consigliabile eseguire le esecuzioni di sincronizzazione su un canale sicuro, ad esempio HTTPS o LDAPS.

Vedere anche

Ulteriori risorse

Panoramica del servizio di sincronizzazione Microsoft Identity Manager in SharePoint Server