Factoren die van invloed zijn op de prestaties van Microsoft Entra Verbinding maken

Microsoft Entra Verbinding maken synchroniseert uw Active Directory met Microsoft Entra-id. Deze server is een essentieel onderdeel van het verplaatsen van uw gebruikersidentiteiten naar de cloud. De belangrijkste factoren die van invloed zijn op de prestaties van een Microsoft Entra-Verbinding maken zijn:

Ontwerpfactor	Definitie
Topologie	De distributie van de eindpunten en onderdelen die Microsoft Entra Verbinding maken moet beheren op het netwerk.
Schaal wijzigen	Het aantal objecten, zoals de gebruikers, groepen en OE's, dat moet worden beheerd door Microsoft Entra Verbinding maken.
Hardware	De hardware (fysiek of virtueel) voor de Microsoft Entra-Verbinding maken en afhankelijke prestatiecapaciteit van elk hardwareonderdeel, met inbegrip van cpu-, geheugen-, netwerk- en hardeschijfconfiguratie.
Configuratie	Hoe Microsoft Entra Verbinding maken de mappen en informatie verwerkt.
Laden	Frequentie van objectwijzigingen. De belasting kan variëren gedurende een uur, dag of week. Afhankelijk van het onderdeel moet u mogelijk ontwerpen voor piekbelasting of gemiddelde belasting.

Het doel van dit document is om de factoren te beschrijven die van invloed zijn op de prestaties van de Microsoft Entra Verbinding maken inrichtingsengine. Grote of complexe organisaties (organisaties die meer dan 100.000 objecten inrichten) kunnen de aanbevelingen gebruiken om hun Microsoft Entra Verbinding maken implementatie te optimaliseren, als ze prestatieproblemen ondervinden die hier worden beschreven. De andere onderdelen van Microsoft Entra Verbinding maken, zoals Microsoft Entra Verbinding maken Health en agents, worden hier niet behandeld.

Belangrijk

Microsoft biedt geen ondersteuning voor het wijzigen of gebruiken van Microsoft Entra Verbinding maken buiten de acties die formeel worden gedocumenteerd. Een van deze acties kan leiden tot een inconsistente of niet-ondersteunde status van Microsoft Entra Verbinding maken Sync. Als gevolg hiervan kan Microsoft geen technische ondersteuning bieden voor dergelijke implementaties.

Microsoft Entra Verbinding maken componentfactoren

In het volgende diagram ziet u een architectuur op hoog niveau van het inrichten van engine die verbinding maakt met één forest, hoewel meerdere forests worden ondersteund. Deze architectuur laat zien hoe de verschillende onderdelen met elkaar communiceren.

De inrichtingsengine maakt verbinding met elk Active Directory-forest en met de Microsoft Entra-id. Het proces van het lezen van informatie uit elke map heet Importeren. Exporteren verwijst naar het bijwerken van de directory's vanuit de inrichtingsengine. Sync evalueert de regels van hoe de objecten binnen de inrichtingsengine stromen. Raadpleeg Microsoft Entra Verbinding maken Sync voor meer informatie over de architectuur.

Microsoft Entra Verbinding maken maakt gebruik van de volgende faseringsgebieden, regels en processen om de synchronisatie van Active Directory naar Microsoft Entra-id toe te staan:

• Verbinding maken or Space (CS): objecten uit elke verbonden map (CD), de daadwerkelijke mappen, worden hier eerst gefaseerd voordat ze kunnen worden verwerkt door de inrichtingsengine. Microsoft Entra ID heeft een eigen CS en elk forest waarmee u verbinding maakt, heeft een eigen CS.
• Metaverse (MV): objecten die moeten worden gesynchroniseerd, worden hier gemaakt op basis van de synchronisatieregels. Objecten moeten aanwezig zijn in de MV voordat ze objecten en kenmerken kunnen vullen met de andere verbonden mappen. Er is maar één MV.
• Synchronisatieregels : ze bepalen welke objecten worden gemaakt (geprojecteerd) of verbonden (gekoppeld) aan objecten in de MV. De synchronisatieregels bepalen ook welke kenmerkwaarden worden gekopieerd of getransformeerd van en naar de directory's.
• Profielen uitvoeren : bundelt de processtappen voor het kopiëren van objecten en de bijbehorende kenmerkwaarden volgens de synchronisatieregels tussen de faseringsgebieden en verbonden mappen.

Er bestaan verschillende uitvoeringsprofielen om de prestaties van de inrichtingsengine te optimaliseren. De meeste organisaties gebruiken de standaardschema's en uitvoeringsprofielen voor normale bewerkingen, maar sommige organisaties moeten het schema wijzigen of andere uitvoeringsprofielen activeren om te voldoen aan ongebruikelijke situaties. De volgende uitvoeringsprofielen zijn beschikbaar:

Initiële synchronisatieprofiel

Het eerste synchronisatieprofiel is het proces van het lezen van de verbonden mappen, zoals een Active Directory-forest, voor het eerst. Vervolgens wordt een analyse uitgevoerd op alle vermeldingen in de database van de synchronisatie-engine. De eerste cyclus maakt nieuwe objecten in Microsoft Entra-id en duurt extra tijd als uw Active Directory-forests groot zijn. De eerste synchronisatie omvat de volgende stappen:

1. Volledige import voor alle connectors
2. Volledige synchronisatie op alle connectors
3. Exporteren op alle connectors

Delta-synchronisatieprofiel

Als u het synchronisatieproces wilt optimaliseren, verwerkt dit uitvoeringsprofiel alleen de wijzigingen (maakt, verwijdert en bijwerkt) van objecten in uw verbonden mappen, sinds het laatste synchronisatieproces. Standaard wordt het deltasynchronisatieprofiel elke 30 minuten uitgevoerd. Organisaties moeten ernaar streven om de tijd die het duurt tot minder dan 30 minuten te bewaren, om ervoor te zorgen dat de Microsoft Entra-id up-to-date is. Als u de status van Microsoft Entra-Verbinding maken wilt bewaken, gebruikt u de statuscontroleagent om eventuele problemen met het proces te bekijken. Het deltasynchronisatieprofiel bevat de volgende stappen:

1. Delta-import op alle connectors
2. Delta-synchronisatie op alle connectors
3. Exporteren op alle connectors

Een typisch deltasynchronisatiescenario voor ondernemingen is:

• ~1% van de objecten wordt verwijderd
• ~1% van de objecten wordt gemaakt
• ~5% van de objecten wordt gewijzigd

Uw wijzigingsfrequentie kan variëren, afhankelijk van hoe vaak uw organisatie gebruikers in uw Active Directory bijwerken. Zo kunnen er hogere veranderingen optreden met de seizoensgebondenheid van de werving en het verminderen van de beroepsbevolking.

Profiel voor volledige synchronisatie

Een volledige synchronisatiecyclus is vereist als u een van de volgende configuratiewijzigingen hebt aangebracht:

• Vergroot het bereik van de objecten of kenmerken die moeten worden geïmporteerd uit de verbonden mappen. Wanneer u bijvoorbeeld een domein of organisatie-eenheid aan uw importbereik toevoegt.
• Wijzigingen aangebracht in de synchronisatieregels. Wanneer u bijvoorbeeld een nieuwe regel maakt om de titel van een gebruiker in te vullen in Microsoft Entra-id van extension_attribute3 in Active Directory. Voor deze update moet de inrichtingsengine alle bestaande gebruikers opnieuw onderzoeken om hun titels bij te werken om de wijziging in de toekomst toe te passen.

De volgende bewerkingen zijn opgenomen in een volledige synchronisatiecyclus:

1. Volledige import voor alle connectors
2. Volledige/Delta-synchronisatie op alle connectors
3. Exporteren op alle connectors

Notitie

Zorgvuldige planning is vereist bij het uitvoeren van bulkupdates voor veel objecten in uw Active Directory of Microsoft Entra-id. Bulkupdates zorgen ervoor dat het deltasynchronisatieproces langer duurt bij het importeren, omdat veel objecten zijn gewijzigd. Lange importbewerkingen kunnen plaatsvinden, zelfs als de bulkupdate geen invloed heeft op het synchronisatieproces. Als u bijvoorbeeld licenties toewijst aan veel gebruikers in Microsoft Entra ID, leidt dit tot een lange importcyclus van Microsoft Entra-id, maar leidt dit niet tot kenmerkwijzigingen in Active Directory.

Synchronisatie

De runtime van het synchronisatieproces heeft de volgende prestatiekenmerken:

• Synchronisatie is één thread, wat betekent dat de inrichtingsengine geen parallelle verwerking uitvoert van uitvoeringsprofielen van verbonden mappen, objecten of kenmerken.
• De importtijd groeit lineair met het aantal objecten dat wordt gesynchroniseerd. Als het bijvoorbeeld 10.000 objecten kost om te importeren, duurt het ongeveer 20.000 objecten op dezelfde server.
• Exporteren is ook lineair.
• De synchronisatie neemt exponentieel toe op basis van het aantal objecten met verwijzingen naar andere objecten. Groepslidmaatschappen en geneste groepen hebben de belangrijkste invloed op de prestaties, omdat hun leden verwijzen naar gebruikersobjecten of andere groepen. Deze verwijzingen moeten worden gevonden en naar werkelijke objecten in de MV worden verwezen om de synchronisatiecyclus te voltooien.
• Het wijzigen van een groepslid leidt tot een nieuwe evaluatie van alle groepsleden. Als u bijvoorbeeld een groep met 50.000 leden hebt en u slechts één lid bijwerkt, wordt een synchronisatie van alle 50K-leden geactiveerd.

Filteren

De grootte van de Active Directory-topologie die u wilt importeren, is de belangrijkste factor die van invloed is op de prestaties en de totale tijd die de interne onderdelen van de inrichtingsengine in beslag nemen.

Filteren moet worden gebruikt om de objecten te beperken tot de gesynchroniseerde objecten. Hiermee voorkomt u dat onnodige objecten worden verwerkt en geëxporteerd naar Microsoft Entra-id. In volgorde van voorkeur zijn de volgende technieken voor filteren beschikbaar:

• Filteren op basis van een domein: gebruik deze optie om specifieke domeinen te selecteren voor synchronisatie met Microsoft Entra-id. U moet domeinen toevoegen aan en verwijderen uit de configuratie van de synchronisatie-engine wanneer u wijzigingen aanbrengt in uw on-premises infrastructuur nadat u Microsoft Entra Verbinding maken Sync hebt geïnstalleerd.
• Organisatie-eenheid (OE)-filtering : gebruikt OE's om specifieke objecten in Active Directory-domeinen te richten voor inrichting voor Microsoft Entra-id. OE-filtering is het tweede aanbevolen filtermechanisme, omdat er eenvoudige LDAP-bereikquery's worden gebruikt om een kleinere subset van objecten uit Active Directory te importeren.
• Kenmerkfiltering per object : gebruikt de kenmerkwaarden voor objecten om te bepalen of specifiek object in Active Directory is ingericht in Microsoft Entra-id. Kenmerkfilters zijn ideaal voor het verfijnen van uw filters, wanneer domein- en OE-filters niet voldoen aan de specifieke filtervereisten. Het filteren van kenmerken vermindert niet de importtijd, maar kan synchronisatie- en exporttijden verminderen.
• Filteren op basis van groepen: maakt gebruik van groepslidmaatschap om te bepalen of objecten moeten worden ingericht in Microsoft Entra-id. Filteren op basis van groepen is alleen geschikt voor testsituaties en wordt niet aanbevolen voor productie, vanwege de extra overhead die nodig is om het groepslidmaatschap tijdens de synchronisatiecyclus te controleren.

Veel permanente disconnectorobjecten in uw Active Directory CS kunnen langere synchronisatietijden veroorzaken, omdat de inrichtingsengine elk disconnectorobject opnieuw moetevalueren voor mogelijke verbinding in de synchronisatiecyclus. Als u dit probleem wilt oplossen, kunt u een van de volgende aanbevelingen overwegen:

• Plaats de disconnectorobjecten buiten het bereik voor importeren met behulp van domein- of OE-filtering.
• Projecteer/voeg de objecten toe aan de MV en stel het kenmerk cloudFiltered in op True om het inrichten van deze objecten in Microsoft Entra CS te voorkomen.

Notitie

Gebruikers kunnen verwarrende problemen krijgen of problemen met toepassingsmachtigingen kunnen optreden wanneer er te veel objecten worden gefilterd. In een hybride Implementatie van Exchange Online zien gebruikers met on-premises postvakken bijvoorbeeld meer gebruikers in hun algemene adreslijst dan gebruikers met postvakken in Exchange Online. In andere gevallen wil een gebruiker mogelijk toegang verlenen in een cloud-app aan een andere gebruiker die geen deel uitmaakt van het bereik van de gefilterde set objecten.

Kenmerkstromen

Kenmerkstromen zijn het proces voor het kopiëren of transformeren van de kenmerkwaarden van objecten van de ene verbonden map naar een andere verbonden map. Ze worden gedefinieerd als onderdeel van de synchronisatieregels. Wanneer het telefoonnummer van een gebruiker bijvoorbeeld wordt gewijzigd in uw Active Directory, wordt het telefoonnummer in Microsoft Entra ID bijgewerkt. Organisaties kunnen de kenmerkstromen aanpassen aan verschillende vereisten. Het is raadzaam om de bestaande kenmerkstromen te kopiëren voordat u deze wijzigt.

Eenvoudige omleidingen, zoals het doorstromen van een kenmerkwaarde naar een ander kenmerk, heeft geen invloed op de materiaalprestaties. Een voorbeeld van een omleiding is het doorsturen van een mobiel nummer in Active Directory naar het telefoonnummer van het kantoor in Microsoft Entra ID.

Het transformeren van kenmerkwaarden kan invloed hebben op de prestaties van het synchronisatieproces. Het transformeren van kenmerkwaarden omvat het wijzigen, opnieuw opmaken, samenvoegen of aftrekken van waarden van kenmerken.

Organisaties kunnen voorkomen dat bepaalde kenmerken naar Microsoft Entra-id stromen, maar dit heeft geen invloed op de prestaties van de inrichtingsengine.

Notitie

Verwijder geen ongewenste kenmerkstromen in uw synchronisatieregels. U wordt aangeraden ze liever uit te schakelen, omdat verwijderde regels opnieuw worden gemaakt tijdens Verbinding maken upgrades van Microsoft Entra.

Microsoft Entra Verbinding maken afhankelijkheidsfactoren

De prestaties van Microsoft Entra Verbinding maken zijn afhankelijk van de prestaties van de verbonden mappen waar ze naar importeren en exporteren. Bijvoorbeeld de grootte van de Active Directory die moet worden geïmporteerd of de netwerklatentie naar de Microsoft Entra-service. De SQL-database die door de inrichtingsengine wordt gebruikt, heeft ook invloed op de algehele prestaties van de synchronisatiecyclus.

Active Directory-factoren

Zoals eerder vermeld, is het aantal te importeren objecten van invloed op de prestaties aanzienlijk. De hardware en vereisten voor Microsoft Entra Verbinding maken een overzicht geven van specifieke hardwarelagen op basis van de grootte van uw implementatie. Microsoft Entra Verbinding maken alleen specifieke topologieën ondersteunen, zoals beschreven in Topologieën voor Microsoft Entra Verbinding maken. Er zijn geen prestatieoptimalisaties en aanbevelingen voor niet-ondersteunde topologieën.

Zorg ervoor dat uw Microsoft Entra-Verbinding maken-server voldoet aan de hardwarevereisten op basis van uw Active Directory-grootte die u wilt importeren. Slechte of trage netwerkverbinding tussen de Microsoft Entra Verbinding maken-server en uw Active Directory-domeincontrollers kunnen uw import vertragen.

Microsoft Entra ID-factoren

Microsoft Entra ID maakt gebruik van beperking om de cloudservice te beschermen tegen DoS-aanvallen (Denial of Service). Momenteel heeft Microsoft Entra-id een beperkingslimiet van 7.000 schrijfbewerkingen per 5 minuten (84.000 per uur). De volgende bewerkingen kunnen bijvoorbeeld worden beperkt:

• Microsoft Entra Verbinding maken exporteren naar Microsoft Entra-id.
• PowerShell-scripts of -toepassingen die de Microsoft Entra-id rechtstreeks op de achtergrond bijwerken, zoals dynamische groepslidmaatschappen.
• Gebruikers die hun eigen identiteitsrecords bijwerken, zoals registreren voor MFA of SSPR (selfservice voor wachtwoordherstel).
• Bewerkingen in de grafische gebruikersinterface.

Plan implementatie- en onderhoudstaken om ervoor te zorgen dat uw Microsoft Entra Verbinding maken Synchronisatiecyclus niet wordt beïnvloed door beperkingslimieten. Als u bijvoorbeeld een grote wervingsgolf hebt waarin u duizenden gebruikersidentiteiten maakt, kan dit leiden tot updates van dynamische groepslidmaatschappen, licentietoewijzingen en selfserviceregistraties voor wachtwoordherstel. Het is beter om deze schrijfbewerkingen over enkele uren of een paar dagen te verspreiden.

SQL-databasefactoren

De grootte van de Active Directory-brontopologie heeft invloed op de prestaties van uw SQL-database. Volg de hardwarevereisten voor de SQL Server-database en overweeg de volgende aanbevelingen:

• Organisaties met meer dan 100.000 gebruikers kunnen netwerklatenties verminderen door DE SQL-database en de inrichtingsengine op dezelfde server te verplaatsen.
• Het SQL Named Pipes-protocol wordt niet ondersteund omdat het aanzienlijke vertragingen in de synchronisatiecyclus introduceert en moet worden uitgeschakeld in SQL Server Configuration Manager onder SQL Native Clients en SQL Server Network. Houd er rekening mee dat het wijzigen van de configuratie van Named Pipes alleen van kracht wordt na het opnieuw opstarten van de database en ADSync-services.
• Als gevolg van de hoge schijfinvoer- en uitvoervereisten (I/O) van het synchronisatieproces, gebruikt u Solid State Drives (SSD) voor de SQL-database van de inrichtingsengine voor optimale resultaten, indien niet mogelijk, overweeg raid 0- of RAID 1-configuraties.
• Doe geen volledige synchronisatie vooraf; dit veroorzaakt onnodig verloop en tragere reactietijden.

Conclusie

Als u de prestaties van uw Microsoft Entra Verbinding maken-implementatie wilt optimaliseren, moet u rekening houden met de volgende aanbevelingen:

• Gebruik de aanbevolen hardwareconfiguratie op basis van uw implementatiegrootte voor de Microsoft Entra Verbinding maken-server.
• Wanneer u Microsoft Entra Verbinding maken bij grootschalige implementaties bijwerken, kunt u overwegen om de swingmigratiemethode te gebruiken om ervoor te zorgen dat u de minste downtime en de beste betrouwbaarheid hebt.
• Gebruik SSD voor de SQL-database voor de beste schrijfprestaties.
• Filter het Active Directory-bereik om alleen objecten op te nemen die moeten worden ingericht in Microsoft Entra-id, met behulp van domein-, OE- of kenmerkfiltering.
• Als u de standaardregels voor kenmerkstromen wilt wijzigen, kopieert u eerst de regel, wijzigt u de kopie en schakelt u de oorspronkelijke regel uit. Vergeet niet om een volledige synchronisatie opnieuw uit te voert.
• Plan voldoende tijd voor het initiële profiel voor de volledige synchronisatie.
• Probeer de deltasynchronisatiecyclus binnen 30 minuten te voltooien. Als het deltasynchronisatieprofiel niet binnen 30 minuten wordt voltooid, wijzigt u de standaardsynchronisatiefrequentie om een volledige deltasynchronisatiecyclus op te nemen.
• Bewaak uw Microsoft Entra Verbinding maken Sync-status in Microsoft Entra-id.

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.