Installare Microsoft Entra Connect usando un database ADSync esistente

Microsoft Entra Connect richiede un database SQL Server per archiviare i dati. È possibile usare il SQL Server predefinito 2019 Express LocalDB installato con Microsoft Entra Connect o usare la propria versione completa di SQL. In precedenza, quando è stato installato Microsoft Entra Connect, è stato sempre creato un nuovo database denominato ADSync. Con Microsoft Entra Connect versione 1.1.613.0 (o dopo), è possibile installare Microsoft Entra Connetti puntandolo a un database ADSync esistente.

Vantaggi offerti dall'utilizzo di un database ADSync

L'associazione a un database ADSync esistente offre i vantaggi seguenti:

• Fatta eccezione per i dati delle credenziali, la configurazione di sincronizzazione archiviata nel database ADSync (incluse le regole di sincronizzazione personalizzate, i connettori, i filtri e la configurazione delle funzionalità facoltative) viene recuperata automaticamente e usata durante l'installazione. Le credenziali usate da Microsoft Entra Connetti per sincronizzare le modifiche con AD locale e Microsoft Entra ID vengono crittografate e possono essere accessibili solo dal server Microsoft Entra Connect precedente.
• Vengono inoltre recuperati tutti i dati sulle identità (associati agli spazi connettore e al metaverse) e i cookie di sincronizzazione archiviati nel database ADSync. Il server Microsoft Entra Connect appena installato può continuare a sincronizzare da dove l'Microsoft Entra precedente Microsoft Entra Server Connect è stato interrotto, anziché avere la necessità di eseguire una sincronizzazione completa.

Scenari in cui è utile usare un database ADSync esistente

Questi vantaggi sono utili negli scenari seguenti:

• È disponibile una distribuzione Microsoft Entra Connect esistente. Il server Microsoft Entra Connect esistente non funziona più, ma il server SQL contenente il database ADSync è ancora funzionante. È possibile installare un nuovo server Microsoft Entra Connect e puntarlo al database ADSync esistente.
• È disponibile una distribuzione Microsoft Entra Connect esistente. L'istanza di SQL Server che contiene il database ADSync non funziona più, ma si ha un backup recente del database. È possibile innanzitutto ripristinare il database ADSync in una nuova istanza di SQL Server In seguito, è possibile installare un nuovo server Microsoft Entra Connetti e puntarlo al database ADSync ripristinato.
• È disponibile una distribuzione Microsoft Entra Connect esistente che usa LocalDB. A causa del limite di 10 GB imposto da Local DB, si vuole eseguire la migrazione alla versione completa di SQL. È possibile eseguire il backup del database ADSync da Local DB, ripristinarlo in un'istanza di SQL Server Dopodiché, è possibile reinstallare un nuovo server Microsoft Entra Connetti e puntarlo al database ADSync ripristinato.
• Si sta provando a configurare un server di staging e si vuole avere la certezza che la configurazione corrisponda a quella del server attivo corrente. È possibile eseguire il backup del database ADSync, ripristinarlo in un'altra istanza di SQL Server Dopodiché, è possibile reinstallare un nuovo server Microsoft Entra Connetti e puntarlo al database ADSync ripristinato.

Informazioni sui prerequisiti

Informazioni importanti da tenere presenti prima di procedere:

• Assicurarsi di esaminare i prerequisiti per l'installazione di Microsoft Entra Connect at Hardware e prerequisiti e delle autorizzazioni necessarie per l'installazione di Microsoft Entra Connect. Le autorizzazioni necessarie per l'installazione di Microsoft Entra Connect usando la modalità "use existing database" sono uguali all'installazione "personalizzata".
• La distribuzione di Microsoft Entra Connect su un database ADSync esistente è supportata solo con SQL completo. Non è supportata con un Local DB di SQL Express. Se si dispone di un database ADSync esistente nel Local DB che si vuole usare, è necessario innanzitutto eseguire il backup del database ADSync (database locale) e ripristinarlo a SQL completo. In seguito, è possibile distribuire Microsoft Entra Connect nel database ripristinato usando questo metodo.
• La versione del Microsoft Entra Connect usata per l'installazione deve soddisfare i criteri seguenti:
  • 1.1.613.0 o successiva E
  • Uguale o superiore alla versione dell'ultima Microsoft Entra Connect usata con il database ADSync. Se la versione Microsoft Entra Connect usata per l'installazione è superiore all'ultima versione usata con il database ADSync, potrebbe essere necessaria una sincronizzazione completa. Questa operazione è necessaria in caso di modifiche allo schema o alle regole di sincronizzazione tra le due versioni.
• Lo stato di sincronizzazione del database ADSync usato deve essere relativamente recente. L'ultima attività di sincronizzazione con il database ADSync esistente deve essere entro le ultime tre settimane, in caso contrario, sarà necessaria un'importazione completa da Microsoft Entra ID per aggiornare la filigrana della directory.
• Quando si installa Microsoft Entra Connect usando il metodo "use existing database", il metodo di accesso configurato nel server precedente Microsoft Entra Connect non viene mantenuto. Non è inoltre possibile configurare il metodo di accesso durante l'installazione, ma solo al termine dell'installazione.
• Non è possibile avere più server Microsoft Entra Connect condividono lo stesso database ADSync. Il metodo "use existing database" consente di riutilizzare un database ADSync esistente con un nuovo server Microsoft Entra Connect. ma non supporta la condivisione.

Passaggi per installare Microsoft Entra Connettersi con la modalità "usa database esistente"

1. Scaricare Microsoft Entra Connect installer (AzureADConnect.MSI) nel server Windows. Fare doppio clic sul programma di installazione Microsoft Entra Connect per avviare l'installazione di Microsoft Entra Connect.
2. Al termine dell'installazione del servizio gestito, la procedura guidata Microsoft Entra Connect inizia con l'installazione della modalità Express. Chiudere la schermata facendo clic sull'icona di chiusura.
3. Avviare un nuovo prompt dei comandi o una nuova sessione di PowerShell. Passare alla cartella "C:\Programmi\Microsoft Entra Connect". Eseguire il comando .\AzureADConnect.exe /useexistingdatabase per avviare la procedura guidata Microsoft Entra Connect in modalità di installazione "Usa database esistente".

Nota

Usare l'opzione /UseExistingDatabase solo quando il database contiene già dati da un'installazione precedente Microsoft Entra Connect. Ad esempio, quando si passa da un database locale a un database SQL Server completo o quando il server Microsoft Entra Connect è stato ricompilato e si è ripristinato un backup SQL del database ADSync da un'installazione precedente di Microsoft Entra Connect. Se il database è vuoto, ovvero non contiene dati da un'installazione precedente Microsoft Entra Connect, ignorare questo passaggio.

1. Si è accolti con la schermata Benvenuto Microsoft Entra Connetti. Accettare le condizioni di licenza e l'informativa sulla privacy e quindi fare clic su Continua.

2. Nella schermata Installazione dei componenti necessari l'opzione Usa un'istanza di SQL Server esistente è abilitata. Specificare il nome dell'istanza di SQL Server che ospita il database ADSync. Se l'istanza del motore SQL usata per ospitare il database ADSync non è quella predefinita in SQL Server, è necessario specificarne il nome. Inoltre, se l'esplorazione di SQL non è abilitata, è necessario specificare il numero di porta dell'istanza del motore SQL, Ad esempio:
   

3. Nella schermata Connetti a Microsoft Entra ID è necessario specificare le credenziali di un amministratore di identità ibrida della directory Microsoft Entra. È consigliabile usare un account nel dominio onmicrosoft.com predefinito. Questo account viene usato solo per creare un account del servizio in Microsoft Entra ID e non viene usato dopo il completamento della procedura guidata.

4. Nella schermata Connessione delle directory la foresta di Active Directory esistente, configurata per la sincronizzazione delle directory, è visualizzata con accanto una croce rossa. Per sincronizzare le modifiche da una foresta locale di Active Directory è necessario un account di Active Directory Domain Services. La procedura guidata Microsoft Entra Connect non è in grado di recuperare le credenziali dell'account Active Directory Domain Services archiviato nel database ADSync perché le credenziali vengono crittografate e possono essere decrittografate solo dal server precedente Microsoft Entra Connect. Fare clic su Cambia credenziali per specificare l'account di Active Directory Domain Services per la foresta di Active Directory.

5. Nella finestra di dialogo popup è possibile specificare una credenziale Enterprise Amministrazione e consentire Microsoft Entra Connetti creare l'account Active Directory Domain Services oppure (ii) creare l'account Active Directory Domain Services autonomamente e specificare le credenziali per Microsoft Entra Connect. Dopo aver selezionato un'opzione e specificato le credenziali necessarie, fare clic su OK per chiudere la finestra di dialogo popup.

6. Una volta specificate le credenziali, la croce rossa viene sostituita con un segno di spunta verde. Fare clic su Avanti.

7. Nella schermata Pronto per configurare fare clic su Installa.

8. Al termine dell'installazione, il server Microsoft Entra Connect viene abilitato automaticamente per la modalità di gestione temporanea. Prima di disabilitare questa modalità, è consigliabile esaminare la configurazione del server e le operazioni di esportazione in sospeso per eventuali modifiche impreviste.

Attività successive all'installazione

Quando si ripristina un backup del database creato da una versione di Microsoft Entra Connect prima della versione 1.2.65.0, il server di gestione temporanea selezionerà automaticamente un metodo di accesso di Non configurare. Poiché le preferenze di sincronizzazione dell'hash delle password e di writeback delle password verranno ripristinate, è necessario di conseguenza modificare il metodo di accesso in modo che corrisponda agli altri criteri in vigore per il server di sincronizzazione attivo. La mancata esecuzione di questi passaggi può impedire agli utenti di eseguire l'accesso se il server dovesse diventare attivo.

Usare la tabella seguente per verificare gli eventuali passaggi aggiuntivi necessari.

Funzionalità	Passaggi
Sincronizzazione hash password	le impostazioni di writeback di sincronizzazione hash password e password vengono ripristinate completamente per le versioni di Microsoft Entra Connect a partire da 1.2.65.0. Se si esegue il ripristino usando una versione precedente di Microsoft Entra Connect, esaminare le impostazioni dell'opzione di sincronizzazione per queste funzionalità per assicurarsi che corrispondano al server di sincronizzazione attivo. Non sono necessari altri passaggi di configurazione.
Federazione con ADFS	Le autenticazioni di Azure continueranno a usare i criteri AD FS configurati per il server di sincronizzazione attivo. Se si usa Microsoft Entra Connettersi per gestire la farm AD FS, è possibile modificare facoltativamente il metodo di accesso alla federazione ad AD FS in preparazione per il server standby diventando l'istanza di sincronizzazione attiva. Se nel server di sincronizzazione attivo sono abilitate le opzioni di dispositivo, configurare queste opzioni eseguendo l'attività Configura le opzioni del dispositivo.
Autenticazione pass-through e Single Sign-On desktop	Aggiornare il metodo di accesso in modo che corrisponda alla configurazione nel server di sincronizzazione attivo. Se non viene seguito prima di promuovere il server a primario, l'autenticazione pass-through insieme all'accesso Single Sign-On facile verrà disabilitata e il tenant potrebbe essere bloccato se non si dispone della sincronizzazione hash delle password come opzione di accesso al backup. Si noti inoltre che quando si abilita l'autenticazione pass-through in modalità di gestione temporanea, un nuovo agente di autenticazione verrà installato, registrato ed eseguito come agente a disponibilità elevata che accetta le richieste di accesso.
Federazione con PingFederate	Le autenticazioni di Azure continueranno a usare i criteri PingFederate configurati per il server di sincronizzazione attivo. È possibile facoltativamente impostare il metodo di accesso su Federazione con PingFederate per preparare il server di standby a diventare l'istanza di sincronizzazione attiva. Questo passaggio può essere rinviato fino a quando non è necessario attuare la federazione di domini aggiuntivi con PingFederate.

Passaggi successivi

• Dopo aver installato Microsoft Entra Connect, è possibile verificare l'installazione e assegnare le licenze.
• Altre informazioni su queste funzionalità, abilitate con l'installazione: impedire eliminazioni accidentali e Microsoft Entra Connect Health.
• Altre informazioni su questi argomenti comuni: utilità di pianificazione e come attivare la sincronizzazione.
• Altre informazioni sull'integrazione delle identità locali con l'ID di Microsoft Entra.