Udostępnij za pośrednictwem

Importowanie i eksportowanie ustawień konfiguracji programu Microsoft Entra Connect

Wdrożenia programu Microsoft Entra Connect różnią się w zależności od instalacji w trybie Express dla jednego lasu, po złożone wdrożenia synchronizowane w wielu lasach przy użyciu niestandardowych reguł synchronizacji. Ze względu na dużą liczbę opcji konfiguracji i mechanizmów należy zrozumieć, jakie ustawienia są stosowane i umożliwić szybkie wdrożenie serwera z identyczną konfiguracją. Ta funkcja wprowadza możliwość katalogowania konfiguracji określonego serwera synchronizacji i importowania ustawień do nowego wdrożenia. Możesz porównać różne migawki ustawień synchronizacji, aby łatwo wizualizować różnice między dwoma serwerami lub tym samym serwerem w czasie.

Za każdym razem, gdy konfiguracja zostaje zmieniona z kreatora Microsoft Entra Connect, nowy plik ustawień JSON z sygnaturą czasową jest automatycznie eksportowany do %ProgramData%\AADConnect. Nazwa pliku ustawień ma postać Applied-SynchronizationPolicy-*.JSON, gdzie ostatnia część nazwy pliku jest sygnaturą czasową.

Ważne

Tylko zmiany wprowadzone przez program Microsoft Entra Connect są automatycznie eksportowane. Wszelkie zmiany wprowadzone przy użyciu programu PowerShell, programu Synchronization Service Manager lub Edytora reguł synchronizacji muszą zostać wyeksportowane na żądanie, aby zachować aktualną kopię. Możesz również użyć eksportu na żądanie, aby umieścić kopię ustawień w bezpiecznej lokalizacji na potrzeby odzyskiwania po awarii.

Nie można użyć tej funkcji, jeśli instalacja programu Microsoft Entra Connect została zmodyfikowana w celu uwzględnienia łącznika G-SQL lub łącznika G-LDAP. Nie można również połączyć tej funkcji w przypadku korzystania z istniejącej bazy danych microsoft Entra Connect Sync. Korzystanie z konfiguracji importu/eksportu i używanie istniejącej bazy danych wzajemnie się wyklucza.

Eksportowanie ustawień programu Microsoft Entra Connect

Aby wyświetlić podsumowanie ustawień konfiguracji, otwórz narzędzie Microsoft Entra Connect i wybierz zadanie o nazwie Wyświetl lub Eksportuj bieżącą konfigurację. Krótkie podsumowanie ustawień jest wyświetlane wraz z możliwością eksportowania pełnej konfiguracji serwera.

Domyślnie ustawienia są eksportowane do %ProgramData%\AADConnect. Możesz również zapisać ustawienia w chronionej lokalizacji, aby zapewnić dostępność w przypadku wystąpienia awarii. Ustawienia są eksportowane przy użyciu formatu pliku JSON i nie powinny być ręcznie tworzone ani edytowane w celu zapewnienia spójności logicznej. Importowanie ręcznie utworzonego lub edytowanego pliku nie jest obsługiwane i może prowadzić do nieoczekiwanych wyników.

Importowanie ustawień programu Microsoft Entra Connect

Aby zaimportować wcześniej wyeksportowane ustawienia:

  1. Zainstaluj program Microsoft Entra Connect na nowym serwerze.

  2. Po stronie powitalnej wybierz opcję Dostosuj .

  3. Wybierz pozycję Importuj ustawienia synchronizacji. Wyszukaj wcześniej wyeksportowany plik ustawień JSON.

  4. Wybierz Zainstaluj.

    Zrzut ekranu przedstawiający ekran instalowania wymaganych składników.

Zastąpij ustawienia na tej stronie, takie jak użycie programu SQL Server zamiast LocalDB lub użycie istniejącego konta usługi zamiast domyślnego konta usługi wirtualnej. Te ustawienia nie są importowane z pliku ustawień konfiguracji. Są one dostępne do celów informacyjnych i porównawczych.

Modyfikowanie wyeksportowanego pliku JSON w celu zmiany konfiguracji nie jest obsługiwane.

Importowanie doświadczenia instalacji

Środowisko instalacji importu jest celowo proste z minimalnymi danymi wejściowymi od użytkownika, aby łatwo zapewnić powtarzalność istniejącego serwera.

W poniższej sekcji przedstawiono zmiany, które można wprowadzić podczas instalacji. Wszystkie inne zmiany muszą zostać wprowadzone po instalacji za pomocą kreatora Microsoft Entra Connect.

  • Poświadczenia firmy Microsoft Entra: domyślnie sugerowana jest nazwa konta administratora używanego do konfigurowania oryginalnego serwera. Należy go zmienić, jeśli chcesz zsynchronizować informacje z nowym katalogiem.
  • Logowanie użytkownika: opcje logowania skonfigurowane dla oryginalnego serwera są domyślnie wybierane i automatycznie monitują o poświadczenia lub inne informacje potrzebne podczas konfiguracji. W rzadkich przypadkach może być konieczne skonfigurowanie serwera z różnymi opcjami, aby uniknąć zmiany zachowania aktywnego serwera. W przeciwnym razie wybierz przycisk Dalej , aby użyć tych samych ustawień.
  • Poświadczenia katalogu lokalnego: dla każdego katalogu lokalnego uwzględnionego w ustawieniach synchronizacji należy podać poświadczenia, aby utworzyć konto synchronizacji lub podać wstępnie utworzone niestandardowe konto synchronizacji. Ta procedura jest identyczna z procesem czystej instalacji, z wyjątkiem tego, że nie można dodawać ani usuwać folderów.
  • Opcje konfiguracji: podobnie jak w przypadku czystej instalacji, można skonfigurować ustawienia początkowe, czy uruchomić automatyczną synchronizację, czy włączyć tryb przejściowy. Główną różnicą jest to, że tryb przejściowy jest domyślnie włączony, aby umożliwić porównanie wyników konfiguracji i synchronizacji przed aktywnym wyeksportowaniem wyników do identyfikatora Entra firmy Microsoft.

Zrzut ekranu przedstawiający ekran Połącz swoje katalogi.

Tylko jeden serwer synchronizacji może znajdować się w roli głównej i aktywnie eksportować zmiany konfiguracji do identyfikatora Entra firmy Microsoft. Wszystkie inne serwery muszą być umieszczone w trybie przejściowym.

Migrowanie ustawień z istniejącego serwera

Jeśli istniejący serwer nie obsługuje zarządzania ustawieniami, możesz wybrać uaktualnienie serwera lub zmigrować ustawienia do użycia na nowym serwerze przejściowym.

Migracja wymaga uruchomienia skryptu programu PowerShell, który wyodrębnia istniejące ustawienia do użycia w nowej instalacji. Ta metoda służy do katalogowania ustawień istniejącego serwera, a następnie stosowania ich do nowo zainstalowanego serwera przejściowego. Porównanie ustawień oryginalnego serwera z nowo utworzonym serwerem szybko wizualizuje zmiany między serwerami. Jak zawsze postępuj zgodnie z procesem certyfikacji organizacji, aby upewnić się, że żadna inna konfiguracja nie jest wymagana.

Proces migracji

Aby przeprowadzić migrację ustawień:

  1. Zacznij od AzureADConnect.msi nowego serwera przejściowego i zatrzymaj się na stronie powitalnej programu Microsoft Entra Connect.

  2. Skopiuj MigrateSettings.ps1 z katalogu Microsoft Entra Connect\Tools do lokalizacji na istniejącym serwerze. Przykładem jest C:\setup, gdzie setup jest katalogiem utworzonym na istniejącym serwerze.

    Zrzut ekranu przedstawiający katalogi programu Microsoft Entra Connect.

    Jeśli zostanie wyświetlony błąd Message: A positional parameter cannot be found that accepts argument 'True'.:

    Zrzut ekranu przedstawiający błąd.

    Następnie zmodyfikuj MigrateSettings.ps1 plik i usuń $true i uruchom skrypt:

    Zrzut ekranu przedstawiający edytowanie konfiguracji.

  3. Uruchom skrypt, jak pokazano na poniższym zrzucie ekranu, i zapisz cały katalog konfiguracji serwera downlevel. Skopiuj ten katalog do nowego serwera przejściowego. Należy skopiować cały Exported-ServerConfiguration-* folder na nowy serwer.

    Zrzut ekranu przedstawiający skrypt w programie PowerShell.

    Zrzut ekranu przedstawiający kopiowanie folderu Exported-ServerConfiguration-* .

  4. Uruchom program Microsoft Entra Connect , klikając dwukrotnie ikonę na pulpicie. Zaakceptuj postanowienia licencyjne dotyczące oprogramowania firmy Microsoft, a następnie na następnej stronie wybierz pozycję Dostosuj.

  5. Zaznacz pole wyboru Importuj ustawienia synchronizacji . Wybierz pozycję Przeglądaj , aby przejrzeć skopiowany Exported-ServerConfiguration-* folder. Wybierz MigratedPolicy.json , aby zaimportować zmigrowane ustawienia.

    Zrzut ekranu przedstawiający opcję Importuj ustawienia synchronizacji.

Weryfikacja po instalacji

Porównanie pierwotnie zaimportowanego pliku ustawień z wyeksportowanym plikiem ustawień nowo wdrożonego serwera jest istotnym krokiem w zrozumieniu wszelkich różnic między zamierzonym a wynikowym wdrożeniem. Użycie ulubionej aplikacji do porównywania tekstu obok siebie daje natychmiastową wizualizację, która szybko wyróżnia wszelkie żądane lub przypadkowe zmiany.

Mimo że wiele wcześniej ręcznych kroków konfiguracji zostało wyeliminowanych, nadal należy postępować zgodnie z procesem certyfikacji organizacji, aby upewnić się, że żadna inna konfiguracja nie jest wymagana. Ta konfiguracja może wystąpić, jeśli używasz ustawień zaawansowanych, które nie są obecnie przechwytywane w tej wersji zarządzania ustawieniami.

Znane są następujące ograniczenia:

  • Reguły synchronizacji: pierwszeństwo reguły niestandardowej musi należeć do zastrzeżonego zakresu od 0 do 99, aby uniknąć konfliktów ze standardowymi regułami firmy Microsoft. Umieszczenie reguły niestandardowej poza zakresem zarezerwowanym może spowodować przesunięcie reguły niestandardowej w miarę dodawania reguł standardowych do konfiguracji. Podobny problem występuje, jeśli konfiguracja zawiera zmodyfikowane reguły standardowe. Modyfikowanie reguły standardowej jest odradzane, a umieszczanie reguł może być niepoprawne.
  • Zapisywanie zwrotne urządzenia: ustawienia te są katalogowane. Nie są one obecnie stosowane podczas konfiguracji. Jeśli dla oryginalnego serwera włączono funkcję zapisywania zwrotnego urządzeń, należy ręcznie skonfigurować tę funkcję na nowo wdrożonym serwerze.
  • Zsynchronizowane typy obiektów: chociaż można ograniczyć listę synchronizowanych typów obiektów (takich jak użytkownicy, kontakty i grupy) przy użyciu programu Synchronization Service Manager, ta funkcja nie jest obecnie obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu instalacji należy ręcznie ponownie zastosować konfigurację zaawansowaną.
  • Wybrane atrybuty: chociaż można ograniczyć listę synchronizowanych atrybutów (takich jak atrybuty rozszerzenia) przy użyciu programu Synchronization Service Manager, ta funkcja nie jest obecnie obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu instalacji należy ręcznie ponownie zastosować konfigurację zaawansowaną.
  • Niestandardowe profile uruchamiania: chociaż można zmodyfikować domyślny zestaw profilów uruchamiania przy użyciu programu Synchronization Service Manager, ta funkcja nie jest obecnie obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu instalacji należy ręcznie ponownie zastosować konfigurację zaawansowaną.
  • Konfigurowanie hierarchii aprowizacji: ta zaawansowana funkcja programu Synchronization Service Manager nie jest obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu początkowego wdrożenia należy ją ręcznie ponownie skonfigurować.
  • Usługi Active Directory Federation Services i uwierzytelnianie PingFederate: metody logowania skojarzone z tymi funkcjami uwierzytelniania są automatycznie wybierane wstępnie. Należy interaktywnie podać wszystkie inne wymagane parametry konfiguracji.

Treści powiązane