Importowanie i eksportowanie ustawień konfiguracji programu Microsoft Entra Connect
Wdrożenia programu Microsoft Entra Connect różnią się w zależności od instalacji w trybie express jednego lasu do złożonych wdrożeń, które synchronizują się między wieloma lasami przy użyciu niestandardowych reguł synchronizacji. Ze względu na dużą liczbę opcji konfiguracji i mechanizmów należy zrozumieć, jakie ustawienia są stosowane i umożliwić szybkie wdrożenie serwera z identyczną konfiguracją. Ta funkcja wprowadza możliwość katalogowania konfiguracji danego serwera synchronizacji i importowania ustawień do nowego wdrożenia. Różne migawki ustawień synchronizacji można porównać, aby łatwo wizualizować różnice między dwoma serwerami lub tym samym serwerem w czasie.
Za każdym razem, gdy konfiguracja zostanie zmieniona z kreatora programu Microsoft Entra Connect, nowy plik ustawień JSON z sygnaturą czasową jest automatycznie eksportowany do programu %ProgramData%\AADConnect. Nazwa pliku ustawień ma postać Applied-SynchronizationPolicy-*. JSON, gdzie ostatnia część nazwy pliku jest sygnaturą czasową.
Ważne
Tylko zmiany wprowadzone przez program Microsoft Entra Connect są automatycznie eksportowane. Wszelkie zmiany wprowadzone przy użyciu programu PowerShell, programu Synchronization Service Manager lub Edytora reguł synchronizacji muszą zostać wyeksportowane na żądanie, aby zachować aktualną kopię. Eksportowanie na żądanie może również służyć do umieszczania kopii ustawień w bezpiecznej lokalizacji na potrzeby odzyskiwania po awarii.
Uwaga
Tej funkcji nie można użyć, jeśli instalacja programu Microsoft Entra Connect została zmodyfikowana w celu uwzględnienia łącznika G-SQL lub łącznika G-LDAP.
Uwaga
Tej funkcji nie można połączyć z użyciem istniejącej bazy danych ADSync. Korzystanie z konfiguracji importu/eksportu i używanie istniejącej bazy danych wzajemnie się wyklucza.
Eksportowanie ustawień programu Microsoft Entra Connect
Aby wyświetlić podsumowanie ustawień konfiguracji, otwórz narzędzie Microsoft Entra Connect i wybierz dodatkowe zadanie o nazwie Wyświetl lub Eksportuj bieżącą konfigurację. Krótkie podsumowanie ustawień jest wyświetlane wraz z możliwością eksportowania pełnej konfiguracji serwera.
Domyślnie ustawienia są eksportowane do %ProgramData%\AADConnect. Możesz również zapisać ustawienia w chronionej lokalizacji, aby zapewnić dostępność w przypadku wystąpienia awarii. Ustawienia są eksportowane przy użyciu formatu pliku JSON i nie powinny być ręcznie tworzone ani edytowane w celu zapewnienia spójności logicznej. Importowanie ręcznie utworzonego lub edytowanego pliku nie jest obsługiwane i może prowadzić do nieoczekiwanych wyników.
Importowanie ustawień programu Microsoft Entra Connect
Aby zaimportować wcześniej wyeksportowane ustawienia:
Zainstaluj program Microsoft Entra Connect na nowym serwerze.
Wybierz opcję Dostosuj po stronie powitalnej.
Wybierz pozycję Importuj ustawienia synchronizacji. Wyszukaj wcześniej wyeksportowany plik ustawień JSON.
Wybierz Zainstaluj.
Uwaga
Zastąpij ustawienia na tej stronie, takie jak użycie programu SQL Server zamiast bazy danych LocalDB lub użycie istniejącego konta usługi zamiast domyślnego programu VSA. Te ustawienia nie są importowane z pliku ustawień konfiguracji. Są one dostępne do celów informacyjnych i porównawczych.
Uwaga
Nie jest obsługiwane modyfikowanie wyeksportowanego pliku JSON w celu zmiany konfiguracji
Importowanie środowiska instalacji
Środowisko instalacji importu jest celowo proste z minimalnymi danymi wejściowymi od użytkownika, aby łatwo zapewnić powtarzalność istniejącego serwera.
Poniżej przedstawiono jedyne zmiany, które można wprowadzić podczas instalacji. Wszystkie inne zmiany można wprowadzić po zakończeniu instalacji z poziomu kreatora Microsoft Entra Connect:
- Poświadczenia firmy Microsoft Entra: nazwa konta administratora globalnego platformy Azure używana do konfigurowania oryginalnego serwera jest domyślnie sugerowana. Należy go zmienić, jeśli chcesz zsynchronizować informacje z nowym katalogiem.
- Logowanie użytkownika: opcje logowania skonfigurowane dla oryginalnego serwera są domyślnie wybierane i automatycznie monitują o poświadczenia lub inne informacje potrzebne podczas konfiguracji. W rzadkich przypadkach może być konieczne skonfigurowanie serwera z różnymi opcjami, aby uniknąć zmiany zachowania aktywnego serwera. W przeciwnym razie wybierz przycisk Dalej , aby użyć tych samych ustawień.
- Poświadczenia katalogu lokalnego: dla każdego katalogu lokalnego uwzględnionego w ustawieniach synchronizacji należy podać poświadczenia, aby utworzyć konto synchronizacji lub podać wstępnie utworzone niestandardowe konto synchronizacji. Ta procedura jest identyczna z czystym środowiskiem instalacji z wyjątkiem, którego nie można dodawać ani usuwać katalogów.
- Opcje konfiguracji: podobnie jak w przypadku czystej instalacji, można skonfigurować ustawienia początkowe, czy uruchomić automatyczną synchronizację, czy włączyć tryb przejściowy. Główną różnicą jest to, że tryb przejściowy jest domyślnie włączony, aby umożliwić porównanie wyników konfiguracji i synchronizacji przed aktywnym eksportowaniem wyników na platformę Azure.
Uwaga
Tylko jeden serwer synchronizacji może znajdować się w roli głównej i aktywnie eksportować zmiany konfiguracji na platformę Azure. Wszystkie inne serwery muszą być umieszczone w trybie przejściowym.
Migrowanie ustawień z istniejącego serwera
Jeśli istniejący serwer nie obsługuje zarządzania ustawieniami, możesz wybrać uaktualnienie serwera w miejscu lub zmigrować ustawienia do użycia na nowym serwerze przejściowym.
Migracja wymaga uruchomienia skryptu programu PowerShell, który wyodrębnia istniejące ustawienia do użycia w nowej instalacji. Ta metoda służy do katalogowania ustawień istniejącego serwera, a następnie stosowania ich do nowo zainstalowanego serwera przejściowego. Porównanie ustawień oryginalnego serwera z nowo utworzonym serwerem szybko zwizualizuje zmiany między serwerami. Jak zawsze postępuj zgodnie z procesem certyfikacji organizacji, aby upewnić się, że nie jest wymagana żadna dodatkowa konfiguracja.
Proces migracji
Aby przeprowadzić migrację ustawień:
Rozpocznij AzureADConnect.msi na nowym serwerze przejściowym i zatrzymaj się na stronie powitalnej programu Microsoft Entra Connect.
Skopiuj plik MigrateSettings.ps1 z katalogu Microsoft Entra Connect\Tools do lokalizacji na istniejącym serwerze. Przykładem jest C:\setup, gdzie instalator jest katalogiem utworzonym na istniejącym serwerze.
Uwaga
Jeśli zostanie wyświetlony komunikat: "Nie można odnaleźć parametru pozycyjnego, który akceptuje argument True"., jak pokazano poniżej:
Następnie zmodyfikuj plik MigrateSettings.ps1 i usuń $true i uruchom skrypt:
Uruchom skrypt, jak pokazano tutaj, i zapisz cały katalog konfiguracji serwera na poziomie podrzędnym. Skopiuj ten katalog do nowego serwera przejściowego. Należy skopiować cały folder Exported-ServerConfiguration-* na nowy serwer.
Uruchom program Microsoft Entra Connect , klikając dwukrotnie ikonę na pulpicie. Zaakceptuj postanowienia licencyjne dotyczące oprogramowania firmy Microsoft, a następnie na następnej stronie wybierz pozycję Dostosuj.
Zaznacz pole wyboru Importuj ustawienia synchronizacji. Wybierz pozycję Przeglądaj , aby przejrzeć skopiowany folder Exported-ServerConfiguration-* . Wybierz MigratedPolicy.json, aby zaimportować zmigrowane ustawienia.
Weryfikacja po instalacji
Porównanie pierwotnie zaimportowanego pliku ustawień z wyeksportowanym plikiem ustawień nowo wdrożonego serwera jest istotnym krokiem w zrozumieniu wszelkich różnic między zamierzonym a wynikowym wdrożeniem. Użycie ulubionej aplikacji do porównywania tekstu obok siebie daje natychmiastową wizualizację, która szybko wyróżnia wszelkie żądane lub przypadkowe zmiany.
Chociaż wiele wcześniej ręcznych kroków konfiguracji zostało wyeliminowanych, nadal należy postępować zgodnie z procesem certyfikacji organizacji, aby upewnić się, że nie jest wymagana żadna dodatkowa konfiguracja. Ta konfiguracja może wystąpić, jeśli używasz ustawień zaawansowanych, które nie są obecnie przechwytywane w tej wersji zarządzania ustawieniami.
Poniżej przedstawiono znane ograniczenia:
- Reguły synchronizacji: pierwszeństwo reguły niestandardowej musi należeć do zastrzeżonego zakresu od 0 do 99, aby uniknąć konfliktów ze standardowymi regułami firmy Microsoft. Umieszczenie reguły niestandardowej poza zakresem zarezerwowanym może spowodować przesunięcie reguły niestandardowej w miarę dodawania reguł standardowych do konfiguracji. Podobny problem występuje, jeśli konfiguracja zawiera zmodyfikowane reguły standardowe. Modyfikowanie reguły standardowej jest odradzane, a umieszczanie reguł może być niepoprawne.
- Zapisywanie zwrotne urządzeń: te ustawienia są katalogowane. Nie są one obecnie stosowane podczas konfiguracji. Jeśli dla oryginalnego serwera włączono funkcję zapisywania zwrotnego urządzeń, należy ręcznie skonfigurować tę funkcję na nowo wdrożonym serwerze.
- Zsynchronizowane typy obiektów: chociaż można ograniczyć listę synchronizowanych typów obiektów (takich jak użytkownicy, kontakty i grupy) przy użyciu programu Synchronization Service Manager, ta funkcja nie jest obecnie obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu instalacji należy ręcznie ponownie zastosować konfigurację zaawansowaną.
- Wybrane atrybuty: chociaż można ograniczyć listę synchronizowanych atrybutów (takich jak atrybuty rozszerzenia) przy użyciu programu Synchronization Service Manager, ta funkcja nie jest obecnie obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu instalacji należy ręcznie ponownie zastosować konfigurację zaawansowaną.
- Niestandardowe profile uruchamiania: chociaż można zmodyfikować domyślny zestaw profilów uruchamiania przy użyciu programu Synchronization Service Manager, ta funkcja nie jest obecnie obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu instalacji należy ręcznie ponownie zastosować konfigurację zaawansowaną.
- Konfigurowanie hierarchii aprowizacji: ta zaawansowana funkcja programu Synchronization Service Manager nie jest obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu początkowego wdrożenia należy ją ręcznie ponownie skonfigurować.
- Usługi Active Directory Federation Services (AD FS) i uwierzytelnianie PingFederate: metody logowania skojarzone z tymi funkcjami uwierzytelniania są automatycznie wstępnie zaznaczone. Należy interaktywnie podać wszystkie inne wymagane parametry konfiguracji.
- Wyłączona niestandardowa reguła synchronizacji zostanie zaimportowana jako włączona: wyłączona niestandardowa reguła synchronizacji zostanie zaimportowana jako włączona. Pamiętaj, aby wyłączyć go również na nowym serwerze.