Microsoft Entra Połączenie Sync: Scheduler

  • Artykuł

W tym temacie opisano wbudowany harmonogram w usłudze Microsoft Entra Połączenie Sync (aparat synchronizacji).

Ta funkcja została wprowadzona z kompilacją 1.1.105.0 (wydana w lutym 2016 r.).

Omówienie

Firma Microsoft Entra Połączenie Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Istnieją dwa procesy harmonogramu: jeden dla synchronizacji haseł, a drugi dla zadań synchronizacji obiektów/atrybutów i konserwacji. W tym temacie omówiono ten ostatni.

We wcześniejszych wersjach harmonogram obiektów i atrybutów był zewnętrzny dla aparatu synchronizacji. Do wyzwolenia procesu synchronizacji użyto harmonogramu zadań systemu Windows lub oddzielnej usługi systemu Windows. Harmonogram jest z wersją 1.1 wbudowaną w aparat synchronizacji i umożliwia dostosowanie. Nowa domyślna częstotliwość synchronizacji wynosi 30 minut.

Harmonogram jest odpowiedzialny za dwa zadania:

  • Cykl synchronizacji. Proces importowania, synchronizowania i eksportowania zmian.
  • Zadania konserwacji. Odnawianie kluczy i certyfikatów dla resetowania hasła i usługi rejestracji urządzeń (DRS). Przeczyść stare wpisy w dzienniku operacji.

Sam harmonogram jest zawsze uruchomiony, ale można go skonfigurować tak, aby uruchamiał tylko jedno lub żadne z tych zadań. Jeśli na przykład musisz mieć własny proces cyklu synchronizacji, możesz wyłączyć to zadanie w harmonogramie, ale nadal uruchamiać zadanie konserwacji.

Ważne

Domyślnie co 30 minut jest uruchamiany cykl synchronizacji. Jeśli cykl synchronizacji został zmodyfikowany, należy upewnić się, że cykl synchronizacji jest uruchamiany co najmniej raz na 7 dni.

  • Synchronizacja różnicowa musi nastąpić w ciągu 7 dni od ostatniej synchronizacji różnicowej.
  • Synchronizacja różnicowa (po pełnej synchronizacji) musi nastąpić w ciągu 7 dni od momentu ukończenia ostatniej pełnej synchronizacji.

Niepowodzenie tej czynności może spowodować problemy z synchronizacją, które będą wymagały uruchomienia pełnej synchronizacji w celu rozwiązania problemu. Dotyczy to również serwerów w trybie przejściowym.

Konfiguracja harmonogramu

Aby wyświetlić bieżące ustawienia konfiguracji, przejdź do programu PowerShell i uruchom polecenie Get-ADSyncScheduler. Przedstawia on coś takiego jak na poniższej ilustracji:

GetSyncScheduler

Jeśli po uruchomieniu tego polecenia cmdlet polecenie synchronizacji lub polecenie cmdlet nie jest dostępne , moduł programu PowerShell nie zostanie załadowany. Ten problem może wystąpić, jeśli uruchomisz program Microsoft Entra Połączenie na kontrolerze domeny lub na serwerze z wyższymi poziomami ograniczeń programu PowerShell niż ustawienia domyślne. Jeśli zostanie wyświetlony ten błąd, uruchom polecenie Import-Module ADSync , aby udostępnić polecenie cmdlet.

  • AllowedSyncCycleInterval. Najkrótszy przedział czasu między cyklami synchronizacji dozwolonymi przez identyfikator Firmy Microsoft Entra. Nie można synchronizować częściej niż to ustawienie i nadal być obsługiwane.
  • ObecnieEffectiveSyncCycleInterval. Harmonogram jest obecnie obowiązujący. Ma tę samą wartość co CustomizedSyncInterval (jeśli ustawiono), jeśli nie jest częściej niż AllowedSyncInterval. Jeśli używasz kompilacji przed 1.1.281 i zmienisz wartość CustomizedSyncCycleInterval, ta zmiana zostanie w życie po następnym cyklu synchronizacji. Z kompilacji 1.1.281 zmiana zostanie w życie natychmiast.
  • CustomizedSyncCycleInterval. Jeśli chcesz, aby harmonogram był uruchamiany z dowolną inną częstotliwością niż domyślna 30 minut, skonfiguruj to ustawienie. Na powyższym obrazie harmonogram został ustawiony tak, aby był uruchamiany co godzinę. Jeśli to ustawienie zostanie ustawione na wartość niższą niż AllowedSyncInterval, zostanie użyta ta ostatnia wartość.
  • NextSyncCyclePolicyType. Delta lub Initial. Określa, czy następny przebieg powinien przetwarzać zmiany różnicowe, czy też następne uruchomienie powinno wykonać pełny import i synchronizację. Ten ostatni będzie również ponownie przetwarzać wszelkie nowe lub zmienione zasady.
  • NextSyncCycleStartTimeInUTC. Następnym razem, gdy harmonogram rozpocznie następny cykl synchronizacji.
  • PrzeczyśćRunHistoryInterval. Dzienniki operacji czasu powinny być przechowywane. Te dzienniki można przejrzeć w menedżerze usługi synchronizacji. Wartością domyślną jest przechowywanie tych dzienników przez 7 dni.
  • SyncCycleEnabled. Wskazuje, czy harmonogram uruchamia procesy importu, synchronizacji i eksportu w ramach jego operacji.
  • MaintenanceEnabled. Pokazuje, czy proces konserwacji jest włączony. Aktualizuje certyfikaty/klucze i czyści dziennik operacji.
  • StagingModeEnabled. Pokazuje, czy tryb przejściowy jest włączony. Jeśli to ustawienie jest włączone, pomija eksporty z uruchomienia, ale nadal uruchamia import i synchronizację.
  • SchedulerSuspended. Ustaw przez Połączenie podczas uaktualniania, aby tymczasowo zablokować uruchamianie harmonogramu.

Niektóre z tych ustawień można zmienić za pomocą polecenia Set-ADSyncScheduler. Można modyfikować następujące parametry:

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PrzeczyszczanieRunHistoryInterval
  • SyncCycleEnabled
  • KonserwacjaWłąd

We wcześniejszych kompilacjach programu Microsoft Entra Połączenie element isStagingModeEnabled został uwidoczniony w programie Set-ADSyncScheduler. Nieobsługiwane jest ustawienie tej właściwości. Właściwość SchedulerSuspended powinna być modyfikowana tylko przez Połączenie. Nieobsługiwane jest ustawienie tego ustawienia bezpośrednio za pomocą programu PowerShell.

Konfiguracja harmonogramu jest przechowywana w identyfikatorze Entra firmy Microsoft. Jeśli masz serwer przejściowy, każda zmiana na serwerze podstawowym również wpływa na serwer przejściowy (z wyjątkiem IsStagingModeEnabled).

CustomizedSyncCycleInterval

Składnia: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dni, HH - godziny, mm - minuty, ss - sekundy

Przykład: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Zmienia harmonogram tak, aby był uruchamiany co 3 godziny.

Przykład: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Zmiany zmieniają harmonogram tak, aby był uruchamiany codziennie.

Wyłączanie harmonogramu

Jeśli musisz wprowadzić zmiany konfiguracji, chcesz wyłączyć harmonogram. Na przykład podczas konfigurowania filtrowania lub wprowadzania zmian w regułach synchronizacji.

Aby wyłączyć harmonogram, uruchom polecenie Set-ADSyncScheduler -SyncCycleEnabled $false.

Disable the scheduler

Po wprowadzeniu zmian nie zapomnij ponownie włączyć harmonogramu za pomocą polecenia Set-ADSyncScheduler -SyncCycleEnabled $true.

Uruchamianie harmonogramu

Harmonogram jest domyślnie uruchamiany co 30 minut. W niektórych przypadkach możesz chcieć uruchomić cykl synchronizacji między zaplanowanymi cyklami lub uruchomić inny typ.

Cykl synchronizacji różnicowej

Cykl synchronizacji różnicowej obejmuje następujące kroki:

  • Importowanie różnicowe na wszystkich Połączenie orach
  • Synchronizacja różnicowa na wszystkich Połączenie orach
  • Eksportowanie wszystkich Połączenie orów

Cykl pełnej synchronizacji

Cykl pełnej synchronizacji obejmuje następujące kroki:

  • Pełny import na wszystkich Połączenie or
  • Pełna synchronizacja na wszystkich Połączenie orach
  • Eksportowanie wszystkich Połączenie orów

Może się okazać, że masz pilną zmianę, która musi zostać natychmiast zsynchronizowana, dlatego należy ręcznie uruchomić cykl.

Jeśli musisz ręcznie uruchomić cykl synchronizacji, w programie PowerShell uruchom polecenie Start-ADSyncSyncCycle -PolicyType Delta.

Aby zainicjować cykl pełnej synchronizacji, uruchom polecenie Start-ADSyncSyncCycle -PolicyType Initial z poziomu wiersza polecenia programu PowerShell.

Uruchomienie cyklu pełnej synchronizacji może być bardzo czasochłonne. Przeczytaj następną sekcję, aby przeczytać, jak zoptymalizować ten proces.

Kroki synchronizacji wymagane do różnych zmian konfiguracji

Różne zmiany konfiguracji wymagają różnych kroków synchronizacji, aby upewnić się, że zmiany są poprawnie stosowane do wszystkich obiektów.

  • Dodano więcej obiektów lub atrybutów do zaimportowania z katalogu źródłowego (dodając/modyfikując reguły synchronizacji)
    • Pełny import jest wymagany w Połączenie or dla tego katalogu źródłowego
  • Wprowadzono zmiany w regułach synchronizacji
    • Pełna synchronizacja jest wymagana w Połączenie or dla zmienionych reguł synchronizacji
  • Zmieniono filtrowanie , aby uwzględnić inną liczbę obiektów
    • Pełny import jest wymagany na Połączenie or dla każdej usługi AD Połączenie or, chyba że używasz filtrowania opartego na atrybutach na podstawie atrybutów, które są już importowane do aparatu synchronizacji

Dostosowywanie cyklu synchronizacji umożliwia wykonanie odpowiedniej kombinacji kroków delta i pełnej synchronizacji

Aby uniknąć uruchamiania cyklu pełnej synchronizacji, możesz oznaczyć określone Połączenie or, aby uruchomić pełny krok przy użyciu następujących poleceń cmdlet.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Przykład: Jeśli wprowadzono zmiany w regułach synchronizacji dla Połączenie or "AD Forest A", które nie wymagają zaimportowania żadnych nowych atrybutów, uruchom następujące polecenia cmdlet, aby uruchomić cykl synchronizacji różnicowej, który również wykonał krok Pełnej synchronizacji dla tego Połączenie or.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Przykład: Jeśli wprowadzono zmiany w regułach synchronizacji dla Połączenie or "AD Forest A", aby teraz wymagać nowego atrybutu do zaimportowania, uruchom następujące polecenia cmdlet, aby uruchomić cykl synchronizacji różnicowej, który również wykonał pełny krok importu, pełnej synchronizacji dla tego Połączenie or.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Zatrzymywanie harmonogramu

Jeśli harmonogram jest obecnie uruchomiony cykl synchronizacji, może być konieczne jego zatrzymanie. Jeśli na przykład uruchomisz kreatora instalacji i wystąpi następujący błąd:

Screenshot shows Cannot change configuration error message.

Po uruchomieniu cyklu synchronizacji nie można wprowadzać zmian konfiguracji. Możesz poczekać, aż harmonogram zakończy proces, ale możesz go również zatrzymać, aby można było natychmiast wprowadzić zmiany. Zatrzymanie bieżącego cyklu nie jest szkodliwe i oczekujące zmiany są przetwarzane przy użyciu następnego uruchomienia.

  1. Zacznij od poinformowania harmonogramu o zatrzymaniu bieżącego cyklu za pomocą polecenia cmdlet Stop-ADSyncSyncCycleprogramu PowerShell .

  2. Jeśli używasz kompilacji przed 1.1.281, zatrzymanie harmonogramu nie spowoduje zatrzymania bieżącego Połączenie or z bieżącego zadania. Aby wymusić zatrzymanie Połączenie or, wykonaj następujące czynności:

    Screenshot shows Synchronization Service Manager with Connectors selected and a running connector highlighted with the Stop action selected.

    • Uruchom usługę synchronizacji z menu Start. Przejdź do Połączenie or, wyróżnij Połączenie or ze stanem Uruchomiono, a następnie wybierz pozycję Zatrzymaj w obszarze Akcje.

Harmonogram jest nadal aktywny i uruchamia się ponownie przy następnej okazji.

Harmonogram niestandardowy

Polecenia cmdlet opisane w tej sekcji są dostępne tylko w kompilacji 1.1.130.0 lub nowszej.

Jeśli wbudowany harmonogram nie spełnia wymagań, możesz zaplanować Połączenie or przy użyciu programu PowerShell.

Invoke-ADSyncRunProfile

W ten sposób możesz uruchomić profil Połączenie or:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Nazwy używane w nazwach Połączenie or i Nazwach profilów uruchamiania można znaleźć w interfejsie użytkownika programu Synchronization Service Manager.

Invoke Run Profile

Polecenie Invoke-ADSyncRunProfile cmdlet jest synchroniczne, czyli nie zwraca kontroli, dopóki Połączenie or nie ukończy operacji, albo pomyślnie lub z błędem.

Podczas planowania Połączenie or zaleca się zaplanowanie ich w następującej kolejności:

  1. (Pełna/delta) Importowanie z katalogów lokalnych, takich jak usługa Active Directory
  2. (Pełna/delta) Importowanie z identyfikatora Entra firmy Microsoft
  3. (Pełna/delta) Synchronizacja z katalogów lokalnych, takich jak usługa Active Directory
  4. (Pełna/delta) Synchronizacja z identyfikatora entra firmy Microsoft
  5. Eksportowanie do identyfikatora entra firmy Microsoft
  6. Eksportowanie do katalogów lokalnych, takich jak usługa Active Directory

W tej kolejności wbudowany harmonogram uruchamia Połączenie ors.

Get-ADSync Połączenie orRunStatus

Możesz również monitorować aparat synchronizacji, aby sprawdzić, czy jest zajęty, czy bezczynny. To polecenie cmdlet zwraca pusty wynik, jeśli aparat synchronizacji jest bezczynny i nie uruchamia Połączenie or. Jeśli Połączenie or jest uruchomiony, zwraca nazwę Połączenie or.

Get-ADSyncConnectorRunStatus

Connector Run Status
Na powyższym obrazie pierwszy wiersz pochodzi ze stanu bezczynności aparatu synchronizacji. Drugi wiersz od momentu uruchomienia Połączenie or firmy Microsoft.

Kreator harmonogramu i instalacji

Jeśli uruchomisz kreatora instalacji, harmonogram zostanie tymczasowo zawieszony. Jest to spowodowane tym, że zakłada się, że wprowadzasz zmiany konfiguracji i nie można zastosować tych ustawień, jeśli aparat synchronizacji jest aktywnie uruchomiony. Z tego powodu nie należy otwierać kreatora instalacji, ponieważ uniemożliwia on aparatowi synchronizacji wykonywanie jakichkolwiek akcji synchronizacji.

Następne kroki

Dowiedz się więcej o konfiguracji usługi Microsoft Entra Połączenie Sync.

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.