Considerazioni sulla distribuzione per l'implementazione di Microsoft Identity Manager con SharePoint Server 2016
**Si applica a:**SharePoint Server 2016
**Ultima modifica dell'argomento:**2017-03-13
Sintesi: informazioni sulle considerazioni sulla distribuzione di una distribuzione Microsoft Identity Manager (MIM) in un farm di SharePoint Server 2016.
Per aumentare le probabilità di una distribuzione MIM completata in SharePoint Server 2016, tenere presente quanto segue:
Pianificare la migrazione dall'ambiente di testing all'ambiente di produzione
Pianificare, pianificare e quindi pianificare ancora. Questo passaggio non sarà mai sottolineato abbastanza. La maggior parte della sincronizzazione non riuscita può essere attribuita a una mancanza di pianificazione.
Una corretta configurazione del servizio di sincronizzazione MIM nel lab di test e un'attenta pianificazione della migrazione dal lab di test alla produzione sono essenziali per ridurre al minimo i problemi relativi alla distribuzione. È consigliabile utilizzare un ambiente di testing ridotto per non perdere tempo durante l'elaborazione di migliaia di oggetti quando si testano nuove regole.
Backup dell'ambiente di testing iniziale
Dopo l'installazione di MIM e la creazione degli agenti di gestione, eseguir il backup del database di sincronizzazione MIM. È quindi possibile ricreare un ambiente di testing aggiornato in qualsiasi momento caricando il database di backup.
Test del backup e ripristino delle procedure MIM
Le procedure di backup regolari sono essenziali per proteggere i dati da perdite accidentali. È inoltre fortemente consigliato di testare il backup e ripristinare le procedure prima che si verifichi un'emergenza. Per eseguire il backup e ripristino MIM, utilizzare gli strumenti di backup forniti con il sistema operativo Windows Server 2012 R2 e SQL Server 2014.
Installare il servizio di sincronizzazione MIM e SQL Server nello stesso dominio
Durante la configurazione di sincronizzazione MIM, l'accesso al database remoto dipende dai diritti di accesso dell'account con cui è stato effettuato l'accesso corrente per eseguire la configurazione. Verificare che il server che esegue il sistema operativo Windows Server 2012 R2 che ospita MIM e il server che ospita SQL Server siano nello stesso dominio e che l'account utilizzato per eseguire la configurazione disponga dei diritti di accesso per il server che ospita SQL Server.
Configurare i diritti di accesso se SQL Server è installato in un server remoto
Se si installa SQL Server in un computer remoto, vale a dire in un computer diverso da quello in cui viene eseguito MIM, assicurarsi che i criteri per l'account di servizio di SQL Server consentano agli utenti l'accesso al computer dalla rete. Se non è consentito l'accesso, l'installazione di MIM avrà esito negativo.
Importante
Se si installa SQL Server in un computer remoto e si consente l'accesso alla rete al computer remoto, si riceverà un avviso di sicurezza dall'installazione di MIM. Per questo scenario, è possibile ignorare l'avviso.
Specificare la porta TCP/IP per un server remoto che esegue SQL Server
Se l'istanza di SQL Server specificata durante l'installazione MIM è in un computer remoto, il programma di installazione MIM usa la porta TCP/IP predefinita. Se si desidera specificare una porta diversa, è necessario utilizzare Utilità di rete del Client di SQL Server (Windows\System32\cliconfg.exe) e gli strumenti di configurazione di rete forniti con SQL Server. Per ulteriori informazioni, vedere la documentazione online di SQL Server.
Utilizzare Agente di gestione esportazioni per eseguire il backup degli agenti di gestione ogni volta che si modificano le regole degli agenti di gestione
Dopo aver utilizzato l'agente di gestione di esportazione, è possibile utilizzare il comando Import Management Agent per importare una versione specifica dell'agente di gestione singolo. È inoltre possibile esportare e importare gli agenti di gestione usando i comandi Export Server Configuration e Import Server Configuration, ma in questo modo vengono importati tutti gli agenti di gestione in aggiunta allo schema metaverse. Per ulteriori informazioni su come configurare e importare, vedere Configurazione degli agenti di gestione e Importazione ed esportazione di una configurazione server
Inserire l'attributo displayName nel metaverse per rendere più semplice l'identificazione dei risultati della ricerca
Quando si elencano gli oggetti mediante la ricerca metaverse, MIM restituisce risultati identificati dall'attributo displayName. Se l'attributo displayName non viene popolato, i risultati della ricerca sono contrassegnati dall'identificatore univoco globale (GUID). Per ulteriori informazioni su come utilizzare la ricerca metaverse, vedere Utilizzo della ricerca metaverse
Progettare regole di flusso per agire sullo stato di un oggetto
Utilizzare lo stato di un oggetto per determinare il passaggio successivo nella sincronizzazione dell'oggetto, anziché utilizzare l'evento che ha causato lo stato dell'oggetto.
Importante
Non affidarsi alle regole dichiarative o alle regole in un'estensione di regole da valutare in un ordine specifico quando si sincronizza un oggetto. Le regole vengono valutate in modo non ordinato.
Disabilitare il provisioning quando si esegue la migrazione di origini di dati connesse a metaverse per la prima volta
Quando si distribuisce MIM per la prima volta, si consiglia di eseguire la migrazione e unire tutte le origini di dati connesse prima di attivare il provisioning. Dopo aver verificato che tutti gli elementi sono stati già correttamente migrati e uniti, è possibile abilitare provisioning ed eseguire una sincronizzazione completa degli agenti di gestione per applicare le regole di provisioning a tutti gli oggetti collegati. Per ulteriori informazioni su come configurare le regole di provisioning, vedere Regole di provisioning
Impostare una soglia di eliminazione nei passaggi del profilo di esecuzione per limitare il numero di eliminazioni accidentali
Utilizzare l'impostazione della soglia di eliminazione per limitare il numero di eliminazioni accidentali che possono verificarsi durante l'importazione o esportazione. La soglia di eliminazione arresterà l'agente di gestione o ne impedirà l'avvio quando la soglia viene raggiunta. Per altre informazioni, vedere Configurazione degli agenti di gestione.
Utilizzare lo spazio connettore di ricerca per esaminare gli oggetti
Con spazio connettore di ricerca, è possibile cercare gli oggetti nello spazio connettore per un agente di gestione. È possibile individuare gli oggetti in base allo stato di errore o nome o allo stato dell'oggetto (ovvero, se è connesso, disconnessi o in attesa di essere importato o esportato).
Usare l'anteprima per testare le sincronizzazioni e risolvere i problemi
Con l'anteprima, è possibile eseguire sincronizzazioni di test e visualizzare i risultati senza salvare le modifiche nel metaverse. È possibile anche utilizzare l'anteprima per testare nuove estensioni di regole e risolvere gli errori di sincronizzazione a causa di errori di join o violazioni dello schema.
Pianificare un profilo di esecuzione ricorrente con il passaggio della sincronizzazione delta per elaborare automaticamente i sezionatori
Gli oggetti che non si riesce a unire non vengono rivalutati dall'importazione delta e dal passaggio del profili di esecuzione di sincronizzazione delta e potrebbero rimanere come sezionatori. L'esecuzione di un passaggio di sincronizzazione Delta a intervalli regolari rivaluta ed elabora questi sezionatori. Per altre informazioni su come eseguire i passaggi del profilo, vedere Configurazione degli agenti di gestione.
Salvare e cancellare regolarmente la cronologia di esecuzione degli agenti di gestione in Operazioni
Operazioni registra una cronologia di ogni esecuzione dell'agente di gestione. Ogni cronologia di esecuzione degli agenti di gestione viene salvata nel database SQL Server e può causare la crescita del database nel tempo, influenzando le prestazioni. La cronologia di esecuzione può essere salvata mediante Operazioni. Per ulteriori informazioni su come utilizzare Operazioni, vedere Utilizzo di Operazioni.
Nota
Eliminare un gran numero di esecuzioni contemporaneamente può richiedere molto tempo. Si consiglia di non eliminarne più di 100 alla volta.
Utilizzare più partizioni in un agente di gestione per la sincronizzazione di controllo dei tipi di oggetti singoli
Per gestire la sincronizzazione dei tipi di oggetto singoli in un agente di gestione basato su file, creare una partizione per ogni tipo di oggetto. Ad esempio, per sincronizzare i tipi di oggetto cassetta postale e gruppo, creare due partizioni nell'agente di gestione e assegnare cassetta postale a una partizione e gruppo all'altra. Creare quindi un profilo di esecuzione dell'agente di gestione per ogni partizione. Con questa configurazione, è disponibile un agente di gestione con la flessibilità di sincronizzare uno o entrambi i tipi di oggetto selezionati. Per ulteriori informazioni su come utilizzare le partizioni, vedere Metaverse e spazio connettore
Pianificazione della capacità
Sono disponibili numerose variabili che influenzano la capacità e le prestazioni complessive della distribuzione MIM.
Le prestazioni possono essere influenzate negativamente se tutti i database nel sistema vengono creati con una dimensione ridotta e impostati a crescere automaticamente in particolare con piccoli incrementi. Un minimo di 16 GB di RAM per SQL Server è obbligatorio, ma sarà utile memoria aggiuntiva. Si dovrebbe disporre di almeno 16 core CPU nei server SQL, ma core aggiuntivi miglioreranno le prestazioni complessive.
Infine, è consigliabile di non eseguire MIM e i database di SharePoint insieme nello stesso server.
Disponibilità elevata
La soluzione MIM è progettata per essere altamente disponibile per evitare ogni singolo punto di errore. I seguenti componenti da considerare per la disponibilità elevata:
Nota
Le informazioni contenute in questa sezione sono suggerimenti.
Servizio di sincronizzazione MIM - Anche se il clustering del servizio di sincronizzazione MIM non è supportato, potrebbe essere distribuito un server warm standby per assumere il carico di lavoro dell'entità principale in caso di errore. Tuttavia, i guasti hardware non dovrebbero essere un problema poiché il servizio di sincronizzazione MIM verrà eseguito in una macchina virtuale ospitata su più nodi fisici. Anche in caso di errore del software, la macchina virtuale che ospita il server di sincronizzazione può essere rapidamente recuperata da un backup precedente o da zero. Un'interruzione del servizio non ha alcun impatto sulle interazioni dell'utente finale con la soluzione. Sarebbe ritardata solo l'evasione di tutte le richieste di provisioning e deprovisioning di accesso. Quando il servizio viene riportato online, tali operazioni verrebbero ripristinate senza perdita di dati. La modalità warm standby del servizio di sincronizzazione MIM verrà connessa allo stesso database di SQL Server come istanza principale e dovrà essere attivata tramite uno script nel caso in cui l'istanza principale si arresti e non possa essere riavviata in modo tempestivo. Si noti che l'agente di gestione MIM utilizzato per sincronizzare i dati tra database del servizio di sincronizzazione MIM e database del servizio MIM dovrà scegliere l'istanza del servizio MIM locale.
SQL Server- Un cluster di SQL Server è necessario per la soluzione MIM affinché fornisca elevata disponibilità per il livello di database. Il cluster MIM sarà costituito da due server con specifiche descritte nei paragrafi precedenti. Anche se ogni nodo SQL dispone di entrambe le istanze SQL installate, solo una delle due istanze sarà attiva in un determinato momento.
La progettazione prende in considerazione l'utilizzo migliore delle macchine virtuali cluster senza superare la disponibilità di ogni noto e potenzialmente causare l'arresto di entrambi i nodi in caso di failover.
Poiché i database sono ospitati in un server SQL remoto, la connessione di rete tra i server MIM e SQL deve essere di 1 GB. Una rete da 100 MB non fornirà ampiezza di banda sufficiente e influirà negativamente sulle prestazioni della sincronizzazione dal 20 al 30%.
Utilizzare sempre l'importazione di Active Directory come l'impostazione di sincronizzazione in Amministrazione profili utente
Se si prevede di usare il servizio di sincronizzazione MIM, non selezionarlo. Selezionare invece l'opzione Use SharePoint Active Directory Import. Esiste un problema noto relativo alla compilazione dei destinatari e all'attributo Manager se è selezionata l'opzione Enable External Identity Manager.
Nota
Questo problema è stato risolto nell'aggiornamento pubblico di febbraio 2017, vedere 21 febbraio 2017, aggiornamento per SharePoint Server 2016 (KB3141517)
Non passare da un tipo di sincronizzazione all'altro
Se si passa da un tipo di sincronizzazione a un altro utilizzando Configure Synchronization Settings in il sito Web Amministrazione centrale SharePoint, si verificheranno problemi, ad esempio non verranno restituiti oggetti durante un'importazione nell'istanza di SharePoint Connector e nessun risultato nei registri ULS.
Per risolvere il problema, nella sezione Procedura di ripristino, vedere 2016 SharePoint: Problemi causati dal passaggio da un tipo di sincronizzazione all'altro nell'importazione Active Directory UPA/Gestione identità esterna (MIM)
Esportazione delle immagini da SharePoint a Active Directory
Non è disponibile alcun supporto dell'esportazione delle immagini da SharePoint ad Active Directory, pertanto è necessario pianificare tale migrazione.
Nessuna integrazione BCS per supportare altre proprietà del profilo
Non esiste alcuna integrazione con i servizi di integrazione applicativa per supportare le proprietà del profilo in MIM. È possibile configurare manualmente i connettori per ottenere questo risultato.
Proprietà del profilo utente
È possibile creare nuove proprietà dei profili utente in SharePoint Server 2016, tuttavia i mapping non vengono creati in SharePoint, ma all'interno di MIM.
Nome NetBIOS
Se è selezionata la gestione identità esterna, è necessario abilitare la proprietà NetBIOSDomainNamesEnabled nell'applicazione di servizio dell'applicazione profilo utente non appena viene creata per poter supportare scenari in cui il nome NetBIOS del dominio è diverso dal nome di dominio completo del dominio.
Eseguire le operazioni di sincronizzazione su un canale sicuro
Poiché spesso la sincronizzazione include informazioni personali, è fortemente consigliato di eseguirla su un canale sicuro come HTTPS o LDAPS.
See also
Overview of Microsoft Identity Manager Synchronization Service in SharePoint Server 2016