Instalowanie Połączenie firmy Microsoft przy użyciu istniejącej bazy danych ADSync

Firma Microsoft Entra Połączenie wymaga bazy danych programu SQL Server do przechowywania danych. Możesz użyć domyślnej bazy danych SQL Server 2019 Express LocalDB zainstalowanej w usłudze Microsoft Entra Połączenie lub użyć własnej pełnej wersji programu SQL. Wcześniej podczas instalowania programu Microsoft Entra Połączenie zawsze była tworzona nowa baza danych o nazwie ADSync. W przypadku programu Microsoft Entra Połączenie w wersji 1.1.613.0 (lub nowszej) możesz zainstalować aplikację Microsoft Entra Połączenie, wskazując ją na istniejącą bazę danych ADSync.

Zalety korzystania z istniejącej bazy danych ADSync

Wskazując istniejącą bazę danych ADSync:

• Z wyjątkiem informacji o poświadczeniach konfiguracja synchronizacji przechowywana w bazie danych ADSync (w tym niestandardowe reguły synchronizacji, łączniki, filtrowanie i opcjonalna konfiguracja funkcji) jest automatycznie odzyskiwane i używane podczas instalacji. Poświadczenia używane przez firmę Microsoft Entra Połączenie do synchronizowania zmian z lokalną usługą AD i identyfikatorem Entra firmy Microsoft są szyfrowane i mogą być dostępne tylko przez poprzedni serwer Microsoft Entra Połączenie.
• Wszystkie dane tożsamości (skojarzone z przestrzeniami łącznika i metaverse) i pliki cookie synchronizacji przechowywane w bazie danych ADSync są również odzyskiwane. Nowo zainstalowany serwer Microsoft Entra Połączenie może nadal synchronizować się z tym, z którego poprzedni serwer Microsoft Entra Połączenie został wyłączony, zamiast konieczności przeprowadzenia pełnej synchronizacji.

Scenariusze, w których korzystanie z istniejącej bazy danych ADSync jest korzystne

Te korzyści są przydatne w następujących scenariuszach:

• Masz istniejące wdrożenie usługi Microsoft Entra Połączenie. Istniejący serwer Microsoft Entra Połączenie nie działa już, ale serwer SQL zawierający bazę danych ADSync nadal działa. Możesz zainstalować nowy serwer microsoft Entra Połączenie i wskazać go do istniejącej bazy danych ADSync.
• Masz istniejące wdrożenie usługi Microsoft Entra Połączenie. Serwer SQL zawierający bazę danych ADSync nie działa już. Masz jednak najnowszą kopię zapasową bazy danych. Bazę danych ADSync można najpierw przywrócić do nowego serwera SQL. Następnie można zainstalować nowy serwer Microsoft Entra Połączenie i wskazać go przywróconej bazie danych ADSync.
• Masz istniejące wdrożenie Połączenie firmy Microsoft, które korzysta z bazy danych LocalDB. Ze względu na limit 10 GB narzucony przez bazę danych LocalDB chcesz przeprowadzić migrację do pełnej bazy danych SQL. Możesz utworzyć kopię zapasową bazy danych ADSync z bazy danych LocalDB i przywrócić ją do serwera SQL. Następnie można ponownie zainstalować nowy serwer Microsoft Entra Połączenie i wskazać go do przywróconej bazy danych ADSync.
• Próbujesz skonfigurować serwer przejściowy i chcesz upewnić się, że jego konfiguracja jest zgodna z bieżącą aktywną serwerem. Możesz utworzyć kopię zapasową bazy danych ADSync i przywrócić ją do innego serwera SQL. Następnie można ponownie zainstalować nowy serwer Microsoft Entra Połączenie i wskazać go do przywróconej bazy danych ADSync.

Informacje wymagane wstępnie

Ważne uwagi, które należy zanotować przed kontynuowaniem:

• Zapoznaj się z wymaganiami wstępnymi dotyczącymi instalowania usługi Microsoft Entra Połączenie na sprzęcie i wymaganiach wstępnych oraz uprawnieniami wymaganymi do instalowania Połączenie firmy Microsoft. Uprawnienia wymagane do zainstalowania programu Microsoft Entra Połączenie przy użyciu trybu "użyj istniejącej bazy danych" są takie same jak instalacja niestandardowa.
• Wdrażanie Połączenie firmy Microsoft względem istniejącej bazy danych ADSync jest obsługiwane tylko w przypadku pełnego języka SQL. Nie jest obsługiwana w usłudze SQL Express LocalDB. Jeśli masz istniejącą bazę danych ADSync w bazie danych LocalDB, której chcesz użyć, musisz najpierw utworzyć kopię zapasową bazy danych ADSync (LocalDB) i przywrócić ją do pełnej bazy danych SQL. Następnie można wdrożyć usługę Microsoft Entra Połączenie względem przywróconej bazy danych przy użyciu tej metody.
• Wersja Połączenie firmy Microsoft używana do instalacji musi spełniać następujące kryteria:
  • 1.1.613.0 lub nowszy, AND
  • Ta sama lub nowsza wersja usługi Microsoft Entra Połączenie ostatnio używana z bazą danych ADSync. Jeśli wersja microsoft Entra Połączenie używana do instalacji jest wyższa niż wersja ostatnio używana z bazą danych ADSync, może być wymagana pełna synchronizacja. Pełna synchronizacja jest wymagana, jeśli istnieją zmiany schematu lub reguły synchronizacji między dwiema wersjami.
• Użyta baza danych ADSync powinna zawierać stan synchronizacji, który jest stosunkowo niedawny. Ostatnie działanie synchronizacji z istniejącą bazą danych ADSync powinno trwać w ciągu ostatnich trzech tygodni. W przeciwnym razie do zaktualizowania znaku wodnego katalogu będzie wymagany pełny import z identyfikatora Entra firmy Microsoft.
• Podczas instalowania programu Microsoft Entra Połączenie przy użyciu metody "use existing database" metoda logowania skonfigurowana na poprzednim serwerze Microsoft Entra Połączenie nie jest zachowywana. Ponadto nie można skonfigurować metody logowania podczas instalacji. Metodę logowania można skonfigurować tylko po zakończeniu instalacji.
• Nie można mieć wielu serwerów microsoft Entra Połączenie współużytkować tę samą bazę danych ADSync. Metoda "użyj istniejącej bazy danych" umożliwia ponowne użycie istniejącej bazy danych ADSync z nowym serwerem microsoft Entra Połączenie. Nie obsługuje udostępniania.

Procedura instalowania Połączenie firmy Microsoft z trybem "use existing database" (Używanie istniejącej bazy danych)

1. Pobierz instalatora microsoft Entra Połączenie (AzureAD Połączenie.MSI) na serwer z systemem Windows. Kliknij dwukrotnie instalatora Microsoft Entra Połączenie, aby rozpocząć instalowanie Połączenie firmy Microsoft.
2. Po zakończeniu instalacji MSI kreator microsoft Entra Połączenie rozpoczyna się od konfiguracji trybu ekspresowego. Zamknij ekran, klikając ikonę zakończenia.
3. Uruchom nowy wiersz polecenia lub sesję programu PowerShell. Przejdź do folderu "C:\Program Files\Microsoft Entra Połączenie". Uruchom polecenie .\AzureAD Połączenie.exe /useexistingdatabase, aby uruchomić kreatora microsoft Entra Połączenie w trybie instalacji "Użyj istniejącej bazy danych".

Uwaga

Użyj przełącznika /UseExistingDatabase tylko wtedy, gdy baza danych zawiera już dane z wcześniejszej instalacji microsoft Entra Połączenie. Na przykład podczas przechodzenia z lokalnej bazy danych do pełnej bazy danych programu SQL Server lub gdy serwer Microsoft Entra Połączenie został ponownie skompilowany i przywrócono kopię zapasową SQL bazy danych ADSync z wcześniejszej instalacji programu Microsoft Entra Połączenie. Jeśli baza danych jest pusta, oznacza to, że nie zawiera żadnych danych z poprzedniej instalacji usługi Microsoft Entra Połączenie, pomiń ten krok.

1. Witamy na ekranie Połączenie Microsoft Entra. Gdy zaakceptujesz postanowienia licencyjne i uwagi na temat ochrony prywatności, kliknij pozycję Kontynuuj.

2. Na ekranie Instalowanie wymaganych składników włączona jest opcja Użyj istniejącego serwera SQL Server. Określ nazwę serwera SQL Server hostującego bazę danych programu ADSync. Jeśli wystąpienie aparatu SQL używane do hostowania bazy danych programu ADSync nie jest domyślnym wystąpieniem serwera SQL Server, musisz określić nazwę wystąpienia aparatu SQL. Ponadto jeśli nie jest włączone przeglądanie SQL, musisz też określić numer portu wystąpienia aparatu SQL. Na przykład:
   

3. Na ekranie Połączenie do identyfikatora entra firmy Microsoft należy podać poświadczenia Administracja istratora tożsamości hybrydowej katalogu Microsoft Entra. Zaleca się użycie konta w domyślnej domenie onmicrosoft.com. To konto jest używane tylko do tworzenia konta usługi w identyfikatorze Entra firmy Microsoft i nie jest używane po zakończeniu pracy kreatora.

4. Na ekranie Podłączanie katalogów istniejący las usługi AD skonfigurowany na potrzeby synchronizacji katalogów jest wyświetlany z ikoną czerwonego krzyżyka. Aby zsynchronizować zmiany z lokalnego lasu usługi AD, wymagane jest konto usługi AD DS. Kreator Połączenie firmy Microsoft nie może pobrać poświadczeń konta usług AD DS przechowywanego w bazie danych ADSync, ponieważ poświadczenia są szyfrowane i można je odszyfrować tylko przez poprzedni serwer Microsoft Entra Połączenie. Kliknij pozycję Zmień poświadczenia, aby określić konto usługi AD DS dla lasu usługi AD.

5. W oknie podręcznym możesz podać poświadczenie Administracja enterprise (i) i pozwolić firmie Microsoft Entra Połączenie utworzyć dla Ciebie konto usług AD DS lub (ii) utworzyć konto usług AD DS samodzielnie i podać jego poświadczenia firmie Microsoft Entra Połączenie. Po wybraniu opcji i podaniu niezbędnych poświadczeń kliknij przycisk OK w celu zamknięcia wyskakującego okna dialogowego.

6. Po podaniu poświadczeń ikona czerwonego krzyżyka jest zastępowana ikoną zielonego znacznika wyboru. Kliknij przycisk Dalej.

7. Na ekranie Wszystko gotowe do skonfigurowania kliknij pozycję Zainstaluj.

8. Po zakończeniu instalacji serwer Microsoft Entra Połączenie jest automatycznie włączony dla trybu przejściowego. Przed wyłączeniem trybu przejściowego zaleca się przejrzenie konfiguracji serwera i oczekujących operacji eksportowania pod kątem nieoczekiwanych zmian.

Zadania poinstalacyjne

Podczas przywracania kopii zapasowej bazy danych utworzonej przez wersję programu Microsoft Entra Połączenie przed wersją 1.2.65.0 serwer przejściowy automatycznie wybierze metodę logowania Nie konfiguruj. Podczas przywracania preferencji synchronizacji skrótów haseł i zapisywania zwrotnego haseł należy następnie zmienić metodę logowania, aby dopasować inne zasady do aktywnego serwera synchronizacji. Nie można wykonać tych kroków, aby uniemożliwić użytkownikom logowanie się, jeśli ten serwer stanie się aktywny.

Skorzystaj z poniższej tabeli, aby sprawdzić wszelkie dodatkowe kroki, które są wymagane.

Funkcja	Kroki
Synchronizacja skrótów haseł	Ustawienia synchronizacji skrótów haseł i zapisywania zwrotnego haseł są w pełni przywracane dla wersji programu Microsoft Entra Połączenie począwszy od wersji 1.2.65.0. Jeśli przywracanie przy użyciu starszej wersji programu Microsoft Entra Połączenie, zapoznaj się z ustawieniami opcji synchronizacji dla tych funkcji, aby upewnić się, że są one zgodne z aktywnym serwerem synchronizacji. Nie należy wykonać żadnych innych kroków konfiguracji.
Federacja z usługami AD FS	Uwierzytelnianie platformy Azure będzie nadal używać zasad usług AD FS skonfigurowanych dla aktywnego serwera synchronizacji. Jeśli używasz usługi Microsoft Entra Połączenie do zarządzania farmą usług AD FS, opcjonalnie możesz zmienić metodę logowania na federację usług AD FS w ramach przygotowań do serwera rezerwowego staje się aktywnym wystąpieniem synchronizacji. Jeśli opcje urządzenia są włączone na aktywnym serwerze synchronizacji, skonfiguruj te opcje na tym serwerze, uruchamiając zadanie "Konfigurowanie opcji urządzenia".
Uwierzytelnianie z przekazywaniem i logowanie jednokrotne na pulpicie	Zaktualizuj metodę logowania, aby dopasować konfigurację na aktywnym serwerze synchronizacji. Jeśli nie jest to wykonywane przed podwyższeniem poziomu serwera do serwera podstawowego, uwierzytelnianie przekazywane wraz z bezproblemowym logowaniem jednokrotnym zostanie wyłączone i dzierżawa może zostać zablokowana, jeśli nie masz synchronizacji skrótów haseł jako opcji logowania kopii zapasowej. Należy również pamiętać, że po włączeniu uwierzytelniania przekazywanego w trybie przejściowym zostanie zainstalowany nowy agent uwierzytelniania, zarejestrowany i zostanie uruchomiony jako agent wysokiej dostępności, który będzie akceptować żądania logowania.
Konfigurowanie federacji z serwerem PingFederate	Uwierzytelnianie platformy Azure będzie nadal używać zasad PingFederate skonfigurowanych dla aktywnego serwera synchronizacji. Opcjonalnie możesz zmienić metodę logowania na PingFederate w ramach przygotowań do serwera rezerwowego, który staje się aktywnym wystąpieniem synchronizacji. Ten krok może zostać odroczony do momentu konieczności sfederowania dodatkowych domen z serwerem PingFederate.

Następne kroki

• Teraz, gdy masz zainstalowaną Połączenie firmy Microsoft, możesz zweryfikować instalację i przypisać licencje.
• Dowiedz się więcej o tych funkcjach, które zostały włączone z instalacją: Zapobieganie przypadkowym usunięciom i microsoft Entra Połączenie Health.
• Dowiedz się więcej na te popularne tematy: harmonogram i sposób włączania synchronizacji.
• Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.