Microsoft Entra Verbinding maken-configuratie-instellingen importeren en exporteren

  • Artikel

Microsoft Entra Verbinding maken-implementaties variëren van één installatie van de Forest Express-modus tot complexe implementaties die in meerdere forests worden gesynchroniseerd met behulp van aangepaste synchronisatieregels. Vanwege het grote aantal configuratieopties en -mechanismen is het essentieel om te begrijpen welke instellingen van kracht zijn en snel een server met een identieke configuratie te kunnen implementeren. Deze functie introduceert de mogelijkheid om de configuratie van een bepaalde synchronisatieserver te catalogiseren en de instellingen te importeren in een nieuwe implementatie. Verschillende momentopnamen van synchronisatie-instellingen kunnen worden vergeleken om eenvoudig de verschillen tussen twee servers of dezelfde server in de loop van de tijd te visualiseren.

Telkens wanneer de configuratie wordt gewijzigd van de wizard Microsoft Entra Verbinding maken, wordt automatisch een nieuw JSON-instellingenbestand met een tijdstempel geëxporteerd naar %ProgramData%\AAD Verbinding maken. De naam van het instellingenbestand is van het formulier Applied-SynchronizationPolicy-*. JSON, waarbij het laatste deel van de bestandsnaam een tijdstempel is.

Belangrijk

Alleen wijzigingen die door Microsoft Entra Verbinding maken worden automatisch geëxporteerd. Wijzigingen die zijn aangebracht met behulp van PowerShell, de Synchronization Service Manager of de editor voor synchronisatieregels, moeten indien nodig worden geëxporteerd om een actuele kopie te onderhouden. Exporteren op aanvraag kan ook worden gebruikt om een kopie van de instellingen op een veilige locatie te plaatsen voor herstel na noodgevallen.

Notitie

Deze functie kan niet worden gebruikt als de installatie van Microsoft Entra Verbinding maken is gewijzigd om de G-SQL-connector of de G-LDAP-connector op te nemen.

Notitie

Deze functie kan niet worden gecombineerd met een bestaande ADSync-database. Het gebruik van import-/exportconfiguratie en het gebruik van bestaande database sluiten elkaar wederzijds uit.

Instellingen voor Microsoft Entra-Verbinding maken exporteren

Als u een overzicht van uw configuratie-instellingen wilt weergeven, opent u het hulpprogramma Microsoft Entra Verbinding maken en selecteert u de extra taak met de naam Weergave of Huidige configuratie exporteren. Een beknopt overzicht van uw instellingen wordt weergegeven, samen met de mogelijkheid om de volledige configuratie van uw server te exporteren.

De instellingen worden standaard geëxporteerd naar %ProgramData%\AADConnect. U kunt er ook voor kiezen om de instellingen op te slaan op een beveiligde locatie om de beschikbaarheid te garanderen als er een noodgeval optreedt. Instellingen worden geëxporteerd met behulp van de JSON-bestandsindeling en mogen niet met de hand worden gemaakt of bewerkt om logische consistentie te garanderen. Het importeren van een met de hand gemaakt of bewerkt bestand wordt niet ondersteund en kan leiden tot onverwachte resultaten.

Instellingen voor Microsoft Entra Verbinding maken importeren

Eerder geëxporteerde instellingen importeren:

  1. Installeer Microsoft Entra Verbinding maken op een nieuwe server.

  2. Selecteer de optie Aanpassen na de pagina Welkom.

  3. Selecteer Synchronisatie-instellingen importeren. Blader naar het eerder geëxporteerde JSON-instellingenbestand.

  4. Selecteer Installeren.

    Schermopname die het scherm Voor installatie vereiste onderdelen toont

Notitie

Overschrijf instellingen op deze pagina, zoals het gebruik van SQL Server in plaats van LocalDB of het gebruik van een bestaand serviceaccount in plaats van een standaard-VSA. Deze instellingen worden niet geïmporteerd uit het configuratie-instellingenbestand. Ze zijn er voor informatie- en vergelijkingsdoeleinden.

Notitie

Het wordt niet ondersteund om het geëxporteerde JSON-bestand te wijzigen om de configuratie te wijzigen

Installatie-ervaring voor importeren

De installatie-ervaring voor importeren wordt opzettelijk eenvoudig gehouden met minimale invoer van de gebruiker om eenvoudig reproduceerbaarheid van een bestaande server te bieden.

Dit zijn de enige wijzigingen die tijdens de installatie kunnen worden aangebracht. Alle andere wijzigingen kunnen worden aangebracht na de installatie vanuit de wizard Microsoft Entra Verbinding maken:

  • Microsoft Entra-referenties: de accountnaam voor de Azure Global Beheer istrator die wordt gebruikt om de oorspronkelijke server te configureren, wordt standaard voorgesteld. Deze moet worden gewijzigd als u informatie wilt synchroniseren met een nieuwe map.
  • Gebruikersaanmelding: de aanmeldingsopties die zijn geconfigureerd voor de oorspronkelijke server, worden standaard geselecteerd en vragen automatisch om aanmeldingsgegevens of andere informatie die nodig is tijdens de configuratie. In zeldzame gevallen kan het nodig zijn om een server met verschillende opties in te stellen om te voorkomen dat het gedrag van de actieve server wordt gewijzigd. Selecteer anders Volgende om dezelfde instellingen te gebruiken.
  • On-premises mapaanmeldingsgegevens: voor elke on-premises map die is opgenomen in uw synchronisatie-instellingen, moet u aanmeldingsgegevens opgeven om een synchronisatieaccount te maken of een vooraf gemaakt aangepast synchronisatieaccount op te geven. Deze procedure is identiek aan de schone installatie-ervaring, met de uitzondering dat u geen mappen kunt toevoegen of verwijderen.
  • Configuratieopties: net als bij een schone installatie kunt u ervoor kiezen om de eerste instellingen te configureren voor het starten van automatische synchronisatie of het inschakelen van de faseringsmodus. Het belangrijkste verschil is dat faseringsmodus met opzet standaard is ingeschakeld om vergelijking van de configuratie- en synchronisatieresultaten toe te staan voordat de resultaten actief naar Azure worden geëxporteerd.

Schermopname van het scherm Uw mappen verbinden

Notitie

Slechts één synchronisatieserver kan zich in de primaire rol bevinden en configuratiewijzigingen actief exporteren naar Azure. Alle andere servers moeten in de faseringsmodus worden geplaatst.

Instellingen migreren vanaf een bestaande server

Als een bestaande server geen ondersteuning biedt voor instellingenbeheer, kunt u ervoor kiezen om de bestaande server te upgraden of de instellingen te migreren voor gebruik op een nieuwe faseringsserver.

Voor migratie moet een PowerShell-script worden uitgevoerd waarmee de bestaande instellingen voor gebruik in een nieuwe installatie worden geëxtraheerd. Gebruik deze methode om de instellingen van uw bestaande server te catalogiseren en deze vervolgens toe te passen op een nieuw geïnstalleerde faseringsserver. Als u de instellingen voor de oorspronkelijke server vergelijkt met een nieuw gemaakte server, worden de wijzigingen tussen de servers snel gevisualiseerd. Volg zoals altijd het certificeringsproces van uw organisatie om ervoor te zorgen dat er geen aanvullende configuratie is vereist.

Migratieproces

De instellingen migreren:

  1. Start AzureAD Verbinding maken.msi op de nieuwe faseringsserver en stop op de welkomstpagina van Microsoft Entra Verbinding maken.

  2. Kopieer Migrate Instellingen.ps1 vanuit de map Microsoft Entra Verbinding maken\Tools naar een locatie op de bestaande server. Een voorbeeld is C:\setup, waarbij de installatie een map is die is gemaakt op de bestaande server.
    Schermopname van Microsoft Entra Verbinding maken mappen.

    Notitie

    Als u een bericht ziet: 'Er kan geen positionele parameter worden gevonden die het argument Waar accepteert', zoals hieronder:

    Schermopname van foutBewerk vervolgens het bestand Migrate Instellingen.ps1 en verwijder $true en voer het script uit:Schermopname voor het bewerken van de configuratie

  3. Voer het script uit zoals hier wordt weergegeven en sla de volledige configuratiemap van de server op het lage niveau op. Kopieer deze map naar de nieuwe faseringsserver. U moet de volledige map Exported-ServerConfiguration-* naar de nieuwe server kopiëren. Schermopname van het script in PowerShell.Schermopname van het kopiëren van de map Exported-ServerConfiguration-*.

  4. Start Microsoft Entra Verbinding maken door te dubbelklikken op het pictogram op het bureaublad. Accepteer de licentievoorwaarden voor Microsoft-software en selecteer Aanpassen op de volgende pagina.

  5. Schakel het selectievakje Synchronisatie-instellingen importeren in. Selecteer Bladeren om door de gekopieerde map Exported-ServerConfiguration-* te bladeren. Selecteer de MigratedPolicy.json om de gemigreerde instellingen te importeren.

    Schermopname die de optie Synchronisatie-instellingen importeren toont.

Verificatie na installatie

Het oorspronkelijk geïmporteerde instellingenbestand vergelijken met het geëxporteerde instellingenbestand van de zojuist geïmplementeerde server is een essentiële stap bij het begrijpen van eventuele verschillen tussen de beoogde versus de resulterende implementatie. Als u uw favoriete vergelijkingstoepassing voor tekst naast elkaar gebruikt, krijgt u een directe visualisatie die snel de gewenste of onbedoelde wijzigingen markeert.

Hoewel veel voorheen handmatige configuratiestappen nu worden geëlimineerd, moet u nog steeds het certificeringsproces van uw organisatie volgen om ervoor te zorgen dat er geen aanvullende configuratie vereist is. Deze configuratie kan optreden als u geavanceerde instellingen gebruikt, die momenteel niet zijn vastgelegd in deze release van instellingenbeheer.

Hier volgen bekende beperkingen:

  • Synchronisatieregels: de prioriteit voor een aangepaste regel moet zich in het gereserveerde bereik van 0 tot 99 bevinden om conflicten met de standaardregels van Microsoft te voorkomen. Als u een aangepaste regel buiten het gereserveerde bereik plaatst, kan dit ertoe leiden dat uw aangepaste regel wordt verplaatst naarmate standaardregels worden toegevoegd aan de configuratie. Er treedt een vergelijkbaar probleem op als uw configuratie gewijzigde standaardregels bevat. Het wijzigen van een standaardregel wordt afgeraden en de plaatsing van regels is waarschijnlijk onjuist.
  • Write-back van apparaten: deze instellingen worden gecatalogiseerd. Deze worden momenteel niet toegepast tijdens de configuratie. Als write-back van het apparaat is ingeschakeld voor de originele server, moet u de functie handmatig configureren op de nieuw geïmplementeerde server.
  • Gesynchroniseerde objecttypen: hoewel het mogelijk is om de lijst met gesynchroniseerde objecttypen (zoals gebruikers, contactpersonen en groepen) te beperken met behulp van de Synchronization Service Manager, wordt deze functie momenteel niet ondersteund via synchronisatie-instellingen. Nadat u de installatie hebt voltooid, moet u de geavanceerde configuratie handmatig opnieuw toepassen.
  • Aangepaste uitvoeringsprofielen: hoewel het mogelijk is om de standaardset uitvoeringsprofielen te wijzigen met behulp van de Synchronization Service Manager, wordt deze functie momenteel niet ondersteund via synchronisatie-instellingen. Nadat u de installatie hebt voltooid, moet u de geavanceerde configuratie handmatig opnieuw toepassen.
  • De inrichtingshiërarchie configureren: deze geavanceerde functie van de Synchronization Service Manager wordt niet ondersteund via synchronisatie-instellingen. Deze moet handmatig opnieuw worden geconfigureerd nadat u de eerste implementatie hebt voltooid.
  • Active Directory Federation Services (AD FS) en PingFederate-verificatie: de aanmeldingsmethoden die aan deze verificatiefuncties zijn gekoppeld, worden automatisch vooraf geselecteerd. U moet interactief alle andere vereiste configuratieparameters opgeven.
  • Een uitgeschakelde aangepaste synchronisatieregel wordt geïmporteerd als ingeschakeld: een uitgeschakelde aangepaste synchronisatieregel wordt geïmporteerd als ingeschakeld. Zorg ervoor dat u deze ook uitschakelt op de nieuwe server.

Volgende stappen