Najczęściej zadawane pytania i odpowiedzi dotyczące programu Microsoft Entra Connect

Instalacja ogólna

Jak mogę wzmocnić zabezpieczenia serwera Microsoft Entra Connect w celu zmniejszenia obszaru ataków bezpieczeństwa?

Firma Microsoft zaleca wzmocnienie zabezpieczeń serwera Microsoft Entra Connect w celu zmniejszenia obszaru ataków na zabezpieczenia dla tego krytycznego składnika środowiska IT. Wykonanie tych zaleceń zmniejsza ryzyko bezpieczeństwa organizacji.

• Wdróż program Microsoft Entra Connect na serwerze przyłączonym do domeny i ogranicz dostęp administracyjny do administratorów domeny lub innych ściśle kontrolowanych grup zabezpieczeń.

Aby dowiedzieć się więcej, zobacz:

• Zabezpieczanie grup administratorów

• Zabezpieczanie wbudowanych kont administratorów

• Poprawa bezpieczeństwa i utrzymanie dzięki zmniejszeniu powierzchni ataków

• Zmniejszanie obszaru podatnego na ataki w usłudze Active Directory

Czy instalacja działa, jeśli administrator tożsamości hybrydowej firmy Microsoft ma włączone uwierzytelnianie dwuskładnikowe (2FA)?

Od lutego 2016 r. jest obsługiwany ten scenariusz.

Czy istnieje sposób instalowania programu Microsoft Entra Connect nienadzorowanego?

Instalacja programu Microsoft Entra Connect jest obsługiwana tylko w przypadku korzystania z kreatora instalacji. Nienadzorowana instalacja dyskretna nie jest obsługiwana.

Mam las, w którym nie można skontaktować się z jedną domeną. Jak mogę zainstalować program Microsoft Entra Connect?

Od lutego 2016 r. jest obsługiwany ten scenariusz.

Czy agent kondycji usług Microsoft Entra Domain Services działa na serwerze core?

Tak. Po zainstalowaniu agenta można ukończyć proces rejestracji przy użyciu następującego polecenia cmdlet programu PowerShell:

Register-AzureADConnectHealthADDSAgent -Credentials $cred

Czy program Microsoft Entra Connect obsługuje synchronizację z dwóch domen do identyfikatora Entra firmy Microsoft?

Tak, ten scenariusz jest obsługiwany. Zapoznaj się z wieloma domenami.

Czy można mieć wiele łączników dla tej samej domeny usługi Active Directory w programie Microsoft Entra Connect?

Nie, wiele łączników dla tej samej domeny usługi AD nie jest obsługiwanych.

Czy mogę przenieść bazę danych Microsoft Entra Connect z lokalnej bazy danych do zdalnego wystąpienia programu SQL Server?

Tak, poniższe kroki zawierają ogólne wskazówki dotyczące tego przenoszenia. Aby uzyskać więcej informacji, zobacz Przenoszenie bazy danych Microsoft Entra Connect z programu SQL Server Express do zdalnego programu SQL Server

1. Tworzenie kopii zapasowej bazy danych LocalDB ADSync. Najprostszym sposobem tworzenia kopii zapasowej jest użycie programu SQL Server Management Studio zainstalowanego na tej samej maszynie co microsoft Entra Connect. Połącz się z bazą danych (LocalDb).\ADSync, a następnie utwórz kopię zapasową bazy danych ADSync.

2. Przywróć bazę danych ADSync do zdalnego wystąpienia programu SQL Server.

3. Zainstaluj program Microsoft Entra Connect z istniejącą zdalną bazą danych SQL. W tym artykule pokazano, jak przeprowadzić migrację do lokalnej bazy danych SQL. Jeśli przeprowadzasz migrację do zdalnej bazy danych SQL, w kroku 5 procesu musisz również wprowadzić istniejące konto usługi używane przez usługę Windows ADSync. To konto usługi aparatu synchronizacji zostało opisane tutaj:

   Użyj istniejącego konta usługi: domyślnie program Microsoft Entra Connect używa konta usługi wirtualnej do użycia przez usługi synchronizacji. W przypadku zdalnego wystąpienia programu SQL Server lub internetowego serwera proxy z uwierzytelnianiem użyj zarządzanego konta usługi lub konta usługi w domenie. W takich przypadkach wprowadź konto do użycia. Upewnij się, że użytkownicy, którzy uruchamiają instalację, są administratorami systemu w programie SQL, aby można było utworzyć poświadczenia logowania dla konta usługi. Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect accounts and permissions (Konta i uprawnienia programu Microsoft Entra Connect).

   W najnowszej kompilacji administrator SQL może aprowizować bazę danych i udzielać administratorowi programu Microsoft Entra Connect prawa właściciela bazy danych w celu zainstalowania produktu. Aby uzyskać więcej informacji, zobacz Install Microsoft Entra Connect by using SQL delegated administrator permissions (Instalowanie programu Microsoft Entra Connect przy użyciu delegowanych uprawnień administratora SQL).

Aby zachować prostotę, zalecamy użytkownikom, którzy instalują program Microsoft Entra Connectto, mają uprawnienia administratora systemu w programie SQL. Jednak w przypadku ostatnich kompilacji można teraz używać delegowanych administratorów SQL, zgodnie z opisem w temacie Instalowanie programu Microsoft Entra Connect przy użyciu delegowanych uprawnień administratora SQL.

Jakie są najlepsze rozwiązania z tego pola?

Poniżej znajduje się dokument informacyjny, który przedstawia niektóre z najlepszych rozwiązań, które zostały opracowane przez lata przez inżynierów, pomoc techniczną i naszych konsultantów. Jest to prezentowane na liście punktowanej, do których można szybko się odwoływać. Chociaż ta lista próbuje być kompleksowa, mogą istnieć inne najlepsze rozwiązania, które mogą zostać dodane do listy w przyszłości.

• Jeśli używasz pełnej bazy danych SQL, powinna pozostać lokalna a zdalna:
  • Mniej przeskoków
  • Łatwiejsze rozwiązywanie problemów
  • Mniejsza złożoność
  • Należy wyznaczyć zasoby do programu SQL i zezwolić na obciążenie związane z programem Microsoft Entra Connect i systemem operacyjnym.
• Pomiń serwer proxy sieci Web, jeśli to możliwe, w przeciwnym razie upewnij się, że wartość limitu czasu internetowego serwera proxy jest większa niż 5 minut.
• Jeśli wymagany jest internetowy serwer proxy, musisz dodać konfigurację internetowego serwera proxy do pliku machine.config.
• Należy pamiętać o lokalnych zadaniach SQL i konserwacji oraz sposobach ich wpływu na program Microsoft Entra Connect — szczególnie ponowne indeksowanie.
• Upewnij się, że system DNS może rozpoznawać nazwy zewnętrznie.
• Upewnij się, że specyfikacje serwera są zalecane niezależnie od tego, czy używasz serwerów fizycznych, czy wirtualnych.
• Upewnij się, że jeśli używasz serwera wirtualnego, wymagane zasoby są dedykowane.
• Upewnij się, że masz konfigurację dysku i dysku, spełniają najlepsze rozwiązania dotyczące programu SQL Server.
• Zainstaluj i skonfiguruj program Microsoft Entra Connect Health do monitorowania.
• Użyj progu usuwania eksportu wbudowanego w program Microsoft Entra Connect, aby zapobiec przypadkowemu usunięciu.
• Dokładnie przejrzyj aktualizacje wersji, aby przygotować się do wszystkich zmian i nowych atrybutów, które mogą zostać dodane.
• Wykonaj kopię zapasową wszystkiego:
  • Klucze kopii zapasowej
  • Reguły synchronizacji kopii zapasowych
  • Konfiguracja serwera kopii zapasowych
  • Tworzenie kopii zapasowej bazy danych SQL Database
• Unikaj używania usługi Azure Backup dla bazy danych ADSync, ponieważ może to prowadzić do zakleszczenia i potencjalnie spowodować zablokowanie profilu uruchamiania.
• Upewnij się, że nie ma agentów kopii zapasowych innych firm, którzy tworzą kopię zapasową bazy danych SQL bez składnika zapisywania usługi VSS SQL (typowe w przypadku serwerów wirtualnych z migawkami innych firm).
• Ogranicz liczbę niestandardowych reguł synchronizacji, które są używane, ponieważ dodają złożoność.
• Traktuj serwery Microsoft Entra Connect jako serwery warstwy 0.
• Bądź w stanie zmodyfikować reguły synchronizacji chmury bez lepszego zrozumienia wpływu i odpowiednich czynników biznesowych.
• Upewnij się, że poprawne adresy URL i porty zapory są otwarte w celu obsługi programów Microsoft Entra Connect i Microsoft Entra Connect Health.
• Skorzystaj z atrybutu filtrowanego w chmurze, aby rozwiązać problemy i zapobiec obiektom phantom.
• W przypadku serwera przejściowego upewnij się, że używasz narzędzia Microsoft Entra Connect Configuration Documenter w celu zapewnienia spójności między serwerami.
• Serwery przejściowe powinny znajdować się w oddzielnych centrach danych (lokalizacjach fizycznych).
• Serwery przejściowe nie są przeznaczone do zapewnienia wysokiej dostępności, ale można mieć wiele serwerów przejściowych.
• Wprowadzenie serwerów przejściowych "Opóźnienie" może ograniczyć potencjalny przestój w przypadku problemu.
• Najpierw przetestuj i zweryfikuj wszystkie uaktualnienia na serwerze przejściowym.
• Zawsze weryfikuj eksporty przed przełączeniem na serwer przejściowy. Skorzystaj z serwera przejściowego na potrzeby pełnych importów i pełnej synchronizacji, aby zmniejszyć wpływ na działalność biznesową.
• Zachowaj spójność wersji między serwerami Microsoft Entra Connect jak najwięcej.

Czy mogę zezwolić firmie Microsoft Entra Connect na utworzenie konta programu Microsoft Entra Connector na maszynie grupy roboczej?

Nie, aby zezwolić firmie Microsoft Entra Connect na automatyczne tworzenie konta łącznika Microsoft Entra Connector, komputer musi być przyłączony do domeny.

Sieć

Mam zaporę, urządzenie sieciowe lub coś innego, co ogranicza czas, przez który połączenia mogą pozostać otwarte w mojej sieci. Jaki powinien być próg limitu czasu po stronie klienta, gdy używam programu Microsoft Entra Connect?

Wszystkie oprogramowanie sieciowe, urządzenia fizyczne lub cokolwiek innego, który ogranicza maksymalny czas otwierania połączeń, powinien używać progu wynoszącego co najmniej pięć minut (300 sekund) na potrzeby łączności między serwerem, na którym jest zainstalowany klient Microsoft Entra Connect i Microsoft Entra ID. To zalecenie dotyczy również wszystkich wcześniej wydanych narzędzi do synchronizacji tożsamości firmy Microsoft.

Czy domeny z pojedynczą etykietą (SLD) są obsługiwane?

Zdecydowanie zalecamy użycie tej konfiguracji sieci (zobacz artykuł), jednak korzystanie z programu Microsoft Entra Connect Sync z domeną z pojedynczą etykietą jest obsługiwane, o ile konfiguracja sieci dla domeny pojedynczego poziomu działa prawidłowo. W scenariuszach SLD, w których nazwa domeny NetBIOS usługi Active Directory różni się od nazwy domeny FQDN, nie jest obsługiwana instalacja programu Microsoft Entra Connect.

Czy lasy z rozłącznymi domenami usługi AD są obsługiwane?

Nie, program Microsoft Entra Connect nie obsługuje lasów lokalnych, które zawierają rozłączne przestrzenie nazw.

Czy obsługiwane są nazwy NetBIOS "kropkowane"?

Nie, firma Microsoft Entra Connect nie obsługuje lokalnych lasów ani domen, w których nazwa NetBIOS zawiera kropkę (.).

Czy czysty protokół IPv6 jest wsparcie środowiska?

Nie, microsoft Entra Connect nie obsługuje czystego środowiska IPv6.

Mam środowisko z wieloma lasami i sieć między dwoma lasami korzysta z translatora adresów sieciowych (translacja adresów sieciowych). Czy usługa Microsoft Entra Connect między tymi dwoma lasami jest obsługiwana?

Nie, używanie programu Microsoft Entra Connect za pośrednictwem translatora adresów sieciowych nie jest obsługiwane, ponieważ jest zależne od usługi Active Directory, która nie obsługuje translatora adresów sieciowych. Zobacz ograniczenia obsługi usługi Active Directory za pośrednictwem translatora adresów sieciowych.

Federacja

Co zrobić, jeśli otrzymuję wiadomość e-mail z prośbą o odnowienie certyfikatu platformy Microsoft 365?

Aby uzyskać wskazówki dotyczące odnawiania certyfikatu, zobacz odnawianie certyfikatów.

Mam ustawioną opcję "Automatycznie aktualizuj jednostkę uzależnioną" dla jednostki uzależnionej platformy Microsoft 365. Czy muszę wykonać jakiekolwiek działania, gdy certyfikat podpisywania tokenu zostanie automatycznie przerzuceny?

Skorzystaj ze wskazówek opisanych w artykule Odnawianie certyfikatów.

Środowisko

Czy jest obsługiwana zmiana nazwy serwera po zainstalowaniu programu Microsoft Entra Connect?

L.p. Zmiana nazwy serwera powoduje, że aparat synchronizacji nie może nawiązać połączenia z wystąpieniem bazy danych SQL, a usługa nie może się uruchomić.

Czy reguły synchronizacji kryptograficznych nowej generacji (NGC) są obsługiwane na maszynie obsługującej standard FIPS?

L.p. Nie są one obsługiwane.

Jeśli wyłączyłem zsynchronizowane urządzenie w [Centrum administracyjnym firmy Microsoft Entra](https://entra.microsoft.com), dlaczego jest ono ponownie włączone?

Synchronizowane urządzenia mogą być tworzone lub zarządzane lokalnie. Jeśli zsynchronizowane urządzenie jest włączone lokalnie, może zostać ponownie włączone w centrum administracyjnym firmy Microsoft Entra, nawet jeśli wcześniej zostało wyłączone przez administratora. Aby wyłączyć zsynchronizowane urządzenie, użyj lokalna usługa Active Directory, aby wyłączyć konto komputera.

Jeśli zablokuję logowanie użytkownika w usłudze Microsoft 365 lub [Centrum administracyjnym firmy Microsoft Entra](https://entra.microsoft.com) dla zsynchronizowanych użytkowników, dlaczego jest ono odblokowane po ponownym zalogowaniu?

Synchronizowani użytkownicy mogą być autorami lub zarządzanymi lokalnie. Jeśli konto jest włączone lokalnie, może odblokować blok logowania umieszczony przez administratora.

Dane tożsamości

Dlaczego atrybut userPrincipalName (UPN) w identyfikatorze Entra firmy Microsoft nie jest zgodny z lokalną nazwą UPN?

Aby uzyskać informacje, zobacz następujące artykuły:

• Nazwy użytkowników platformy Microsoft 365, platformy Azure lub usługi Intune nie są zgodne z lokalną nazwą UPN lub alternatywnym identyfikatorem logowania
• Zmiany nie są synchronizowane przez narzędzie synchronizacji usługi Azure Active Directory po zmianie nazwy UPN konta użytkownika w celu używania innej domeny federacyjnej

Można również skonfigurować identyfikator entra firmy Microsoft, aby umożliwić aparatowi synchronizacji zaktualizowanie nazwy UPN zgodnie z opisem w temacie Funkcje usługi Microsoft Entra Connect Sync.

Czy jest obsługiwana w celu dopasowania nietrwałego do lokalnej grupy microsoft Entra lub obiektu kontaktu z istniejącym obiektem grupy lub kontaktu firmy Microsoft?

Tak, to miękkie dopasowanie jest oparte na proxyAddress. Dopasowywanie nietrwałe nie jest obsługiwane w przypadku grup, które nie są włączone do poczty.

Czy obsługiwane jest ręczne ustawienie atrybutu ImmutableId w istniejącej grupie Microsoft Entra lub obiekcie kontaktowym, aby trwale dopasować go do lokalnej grupy lub obiektu kontaktu firmy Microsoft Entra?

Nie, ręcznie ustawiając atrybut ImmutableId w istniejącej grupie Microsoft Entra lub obiekcie kontaktowym, aby trwale dopasować go nie jest obsługiwany.

Konfiguracja niestandardowa

Gdzie udokumentowane są polecenia cmdlet programu PowerShell dla programu Microsoft Entra Connect?

Z wyjątkiem poleceń cmdlet, które są udokumentowane w tej witrynie, inne polecenia cmdlet programu PowerShell znalezione w programie Microsoft Entra Connect nie są obsługiwane do użytku przez klienta.

Czy mogę użyć opcji "Eksportowanie serwera/importowanie serwera", która znajduje się w programie Synchronization Service Manager, aby przenieść konfigurację między serwerami?

L.p. Ta opcja nie pobiera wszystkich ustawień konfiguracji i nie powinna być używana. Zamiast tego użyj kreatora, aby utworzyć podstawową konfigurację na drugim serwerze i użyć edytora reguł synchronizacji, aby wygenerować skrypty programu PowerShell, aby przenieść dowolną regułę niestandardową między serwerami. Aby uzyskać więcej informacji, zobacz Migracja huśtawka.

Czy hasła mogą być buforowane dla strony logowania platformy Azure i czy można temu zapobiec, ponieważ zawiera element wejściowy hasła z atrybutem autouzupełniania = "false"?

Obecnie modyfikowanie atrybutów HTML pola Hasło , w tym tagu autouzupełniania, nie jest obsługiwane. Obecnie pracujemy nad funkcją, która umożliwia używanie niestandardowego kodu JavaScript, co umożliwia dodanie dowolnego atrybutu do pola Hasło .

Na stronie logowania platformy Azure są wyświetlane nazwy użytkowników, którzy wcześniej się zalogowali. Czy to zachowanie można wyłączyć?

Obecnie modyfikowanie atrybutów HTML pola Wprowadzanie hasła , w tym tag autouzupełniania, nie jest obsługiwane. Obecnie pracujemy nad funkcją, która umożliwia używanie niestandardowego kodu JavaScript, co umożliwia dodanie dowolnego atrybutu do pola Hasło .

Czy istnieje sposób zapobiegania współbieżnym sesjom?

L.p.

autouzułanianie

Jakie są zalety i konsekwencje korzystania z autoupgradacji?

Doradzamy wszystkim klientom, aby włączyli automatyczną gradację dla instalacji programu Microsoft Entra Connect. Korzyść jest taka, że zawsze otrzymujesz najnowsze poprawki, w tym aktualizacje zabezpieczeń dotyczące luk w zabezpieczeniach znalezionych w programie Microsoft Entra Connect. Proces uaktualniania jest bezbolesny i odbywa się automatycznie natychmiast po udostępnieniu nowej wersji. Wiele tysięcy klientów programu Microsoft Entra Connect korzysta z autougradowania w każdej nowej wersji.

Proces automatycznego skalowania zawsze określa, czy instalacja kwalifikuje się do autougradacji. Jeśli kwalifikuje się, uaktualnienie zostanie wykonane i przetestowane. Proces obejmuje również wyszukiwanie niestandardowych zmian w regułach i konkretnych czynników środowiskowych. Jeśli testy pokazują, że uaktualnienie nie powiedzie się, poprzednia wersja zostanie automatycznie przywrócona.

W zależności od rozmiaru środowiska proces może potrwać kilka godzin. Podczas uaktualniania nie ma synchronizacji między usługą Active Directory systemu Windows Server i identyfikatorem Entra firmy Microsoft.

Otrzymano wiadomość e-mail z informacją, że moja automatyczna wersja nie działa i muszę zainstalować nową wersję. Dlaczego należy to zrobić?

W zeszłym roku wydaliśmy wersję programu Microsoft Entra Connect, która w pewnych okolicznościach mogła wyłączyć funkcję automatycznego zwiększania poziomu na serwerze. Rozwiązaliśmy problem w programie Microsoft Entra Connect w wersji 1.1.750.0. Jeśli problem został naruszony, możesz go rozwiązać, uruchamiając skrypt programu PowerShell, aby go naprawić lub ręcznie uaktualniając do najnowszej wersji programu Microsoft Entra Connect.

Aby uruchomić skrypt programu PowerShell, pobierz skrypt i uruchom go na serwerze Microsoft Entra Connect w oknie administracyjnego programu PowerShell. Aby dowiedzieć się, jak uruchomić skrypt, zobacz ten krótki film wideo.

Aby ręcznie uaktualnić, należy pobrać i uruchomić najnowszą wersję AADConnect.msi pliku.

• Jeśli bieżąca wersja jest starsza niż 1.1.750.0, pobierz i uaktualnij ją do najnowszej wersji.
• Jeśli twoja wersja programu Microsoft Entra Connect to 1.1.750.0 lub nowsza, nie jest wymagana żadna dalsza akcja. Używasz już wersji zawierającej poprawkę autougradacji.

Otrzymano wiadomość e-mail z informacją o uaktualnieniu do najnowszej wersji w celu ponownego włączenia automatycznego uaktualniania. Używam wersji 1.1.654.0. Czy muszę uaktualnić?

Tak, należy przeprowadzić uaktualnienie do wersji 1.1.750.0 lub nowszej, aby ponownie włączyć automatyczne uaktualnianie. Pobierz i uaktualnij do najnowszej wersji.

Otrzymano wiadomość e-mail z informacją o uaktualnieniu do najnowszej wersji w celu ponownego włączenia automatycznego uaktualniania. Jeśli używam programu PowerShell do włączania automatycznego zwiększania poziomu, czy nadal muszę zainstalować najnowszą wersję?

Tak, nadal musisz przeprowadzić uaktualnienie do wersji 1.1.750.0 lub nowszej. Włączenie usługi autoupgradacji przy użyciu programu PowerShell nie ogranicza problemu z autougradowaniem występującym w wersjach wcześniejszych niż 1.1.750.0.

Chcę przeprowadzić uaktualnienie do nowszej wersji, ale nie jestem pewien, kto zainstalował program Microsoft Entra Connect i nie ma nazwy użytkownika i hasła. Czy tego potrzebujemy?

Nie musisz znać nazwy użytkownika i hasła, które zostało początkowo użyte do uaktualnienia programu Microsoft Entra Connect. Użyj dowolnego konta Microsoft Entra z rolą Administratora tożsamości hybrydowej.

Jak mogę znaleźć używaną wersję programu Microsoft Entra Connect?

Aby sprawdzić, która wersja programu Microsoft Entra Connect jest zainstalowana na serwerze, przejdź do Panel sterowania i wyszukaj zainstalowaną wersję programu Microsoft Entra Connect, wybierając pozycję Programy>i funkcje, jak pokazano poniżej:

Jak mogę uaktualnić do najnowszej wersji programu Microsoft Entra Connect?

Aby dowiedzieć się, jak uaktualnić do najnowszej wersji, zobacz Microsoft Entra Connect: uaktualnianie z poprzedniej wersji do najnowszej.

Firma Microsoft Entra Connect została już uaktualniona do najnowszej wersji w zeszłym roku. Czy musimy przeprowadzić uaktualnienie ponownie?

Zespół firmy Microsoft Entra Connect często aktualizuje usługę. Aby korzystać z poprawek błędów i aktualizacji zabezpieczeń, a także nowych funkcji, ważne jest, aby zapewnić aktualność serwera przy użyciu najnowszej wersji. Jeśli włączysz automatyczne skalowanie, wersja oprogramowania zostanie automatycznie zaktualizowana. Aby znaleźć historię wersji programu Microsoft Entra Connect, zobacz Microsoft Entra Connect: historia wersji.

Jak długo trwa uaktualnianie i jaki jest wpływ na moich użytkowników?

Czas potrzebny do uaktualnienia zależy od rozmiaru dzierżawy. W przypadku większych organizacji najlepszym rozwiązaniem może być przeprowadzenie uaktualnienia w godzinach wieczornych lub weekendowych. Podczas uaktualniania nie odbywa się żadne działanie synchronizacji.

Wierzę, że uaktualniłem do programu Microsoft Entra Connect, ale portal pakietu Office nadal wspomina o narzędziu DirSync. Dlaczego tak jest?

Zespół pakietu Office pracuje nad uzyskaniem aktualizacji portalu pakietu Office w celu odzwierciedlenia bieżącej nazwy produktu. Nie odzwierciedla używanego narzędzia do synchronizacji.

Mój stan automatycznego zwiększania poziomu mówi: "Zawieszone". Dlaczego jest zawieszony? Czy należy ją włączyć?

Usterka została wprowadzona w poprzedniej wersji, która w pewnych okolicznościach pozostawia stan autougradacji ustawiony na "Zawieszone". Ręczne włączanie jest technicznie możliwe, ale wymagałoby kilku złożonych kroków. Najlepszą rzeczą, którą można zrobić, jest zainstalowanie najnowszej wersji programu Microsoft Entra Connect.

Moja firma ma ścisłe wymagania dotyczące zarządzania zmianami i chcę kontrolować, kiedy jest wypchnięta. Czy mogę kontrolować, kiedy jest uruchamiana automatyczna gradacja?

Nie, nie ma takiej funkcji dzisiaj. Funkcja jest oceniana pod kątem przyszłej wersji.

Czy otrzymam wiadomość e-mail, jeśli autoupgradacja nie powiodła się? Jak mogę wiedzieć, że to się powiodło?

Nie otrzymasz powiadomienia o wyniku uaktualnienia. Funkcja jest oceniana pod kątem przyszłej wersji.

Czy publikujesz oś czasu, kiedy planujesz wypchnąć automatyczne skalowanie?

Autoupgrade to pierwszy krok w procesie wydawania nowszej wersji. Za każdym razem, gdy pojawi się nowa wersja, uaktualnienia są wypychane automatycznie. Nowsze wersje programu Microsoft Entra Connect są wstępnie ogłoszone w harmonogramie działania firmy Microsoft Entra.

Czy autoupgrade uaktualnia również program Microsoft Entra Connect Health?

Tak, automatyczne uaktualnianie również uaktualnia program Microsoft Entra Connect Health.

Czy w trybie przejściowym są również automatycznie skalowane serwery Microsoft Entra Connect?

Tak, możesz przeprowadzić automatyczne skalowanie serwera Microsoft Entra Connect, który jest w trybie przejściowym.

Jeśli automatyczne skalowanie nie powiedzie się, a mój serwer Microsoft Entra Connect nie zostanie uruchomiony, co należy zrobić?

W rzadkich przypadkach usługa Microsoft Entra Connect nie uruchamia się po wykonaniu uaktualnienia. W takich przypadkach ponowne uruchomienie serwera zwykle rozwiązuje problem. Jeśli usługa Microsoft Entra Connect nadal nie jest uruchamiana, otwórz bilet pomocy technicznej. Aby uzyskać więcej informacji, zobacz Tworzenie żądania obsługi w celu skontaktowania się z pomocą techniczną platformy Microsoft 365.

Nie jestem pewien, jakie są zagrożenia podczas uaktualniania do nowszej wersji programu Microsoft Entra Connect. Czy możesz zadzwonić do mnie, aby pomóc mi w uaktualnieniu?

Jeśli potrzebujesz pomocy dotyczącej uaktualniania do nowszej wersji programu Microsoft Entra Connect, otwórz bilet pomocy technicznej na stronie Tworzenie żądania obsługi, aby skontaktować się z pomocą techniczną platformy Microsoft 365.

Najlepsze rozwiązanie operacyjne

Poniżej przedstawiono kilka najlepszych rozwiązań, które należy zaimplementować podczas synchronizacji między usługą Active Directory systemu Windows Server i identyfikatorem entra firmy Microsoft.

Stosowanie uwierzytelniania wieloskładnikowego dla wszystkich zsynchronizowanych kont Microsoft Entra multifactor authentication pomaga chronić dostęp do danych i aplikacji przy zachowaniu prostoty dla użytkowników. Zapewnia dodatkowe zabezpieczenia, wymagając drugiej formy uwierzytelniania i zapewniając silne uwierzytelnianie za pośrednictwem szeregu łatwych w użyciu metod uwierzytelniania. Użytkownicy mogą lub nie mogą być kwestionowani w przypadku uwierzytelniania wieloskładnikowego na podstawie decyzji konfiguracyjnych, które podejmuje administrator. Więcej informacji na temat uwierzytelniania wieloskładnikowego można znaleźć tutaj: https://www.microsoft.com/security/business/identity/mfa?rtc=1

Postępuj zgodnie z wytycznymi dotyczącymi zabezpieczeń serwera Microsoft Entra Connect Serwer Entra Connect zawiera krytyczne dane tożsamości i powinny być traktowane jako składnik warstwy 0, jak opisano w modelu warstwy administracyjnej usługi Active Directory. Zapoznaj się również z naszymi wytycznymi dotyczącymi zabezpieczania serwera Microsoft Entra Connect.

Włącz funkcję PHS na potrzeby wykrywania wycieku poświadczeń wykrywania skrótów haseł umożliwia również wykrywanie wycieku poświadczeń dla kont hybrydowych. Firma Microsoft współpracuje z ciemnymi badaczami internetowymi i organami ścigania, aby znaleźć publicznie dostępne pary nazw użytkowników/haseł. Jeśli którakolwiek z tych par jest zgodna z tymi z Twoich użytkowników, skojarzone konto zostanie przeniesione na wysokie ryzyko.

Rozwiązywanie problemów

Jak uzyskać pomoc dotyczącą programu Microsoft Entra Connect?

Przeszukiwanie bazy wiedzy Microsoft Knowledge Base (KB)

• Wyszukaj w bazie wiedzy informacje o rozwiązaniach technicznych, aby zapoznać się z typowymi problemami dotyczącymi rozwiązywania problemów z obsługą programu Microsoft Entra Connect.

Strona pytań i odpowiedzi firmy Microsoft dla identyfikatora entra firmy Microsoft

• Wyszukaj pytania techniczne i odpowiedzi lub zadaj własne pytania, przechodząc do społeczności firmy Microsoft Entra.

Uzyskiwanie pomocy technicznej dotyczącej identyfikatora Entra firmy Microsoft

Dlaczego występują zdarzenia 6311 i 6401 po błędach kroku synchronizacji?

Zdarzenia 6311 — serwer napotkał nieoczekiwany błąd podczas wykonywania wywołania zwrotnego i 6401 — kontroler agenta zarządzania napotkał nieoczekiwany błąd — są zawsze rejestrowane po błędzie kroku synchronizacji. Aby usunąć te błędy, należy wyczyścić błędy kroku synchronizacji. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z błędami podczas synchronizacji i rozwiązywanie problemów z synchronizacją obiektów za pomocą usługi Microsoft Entra Connect Sync

Firma Microsoft zaleca wzmocnienie zabezpieczeń serwera Microsoft Entra Connect w celu zmniejszenia obszaru ataków na zabezpieczenia dla tego krytycznego składnika środowiska IT. Wykonanie tych zaleceń zmniejsza ryzyko bezpieczeństwa organizacji.

• Wdróż program Microsoft Entra Connect na serwerze przyłączonym do domeny i ogranicz dostęp administracyjny do administratorów domeny lub innych ściśle kontrolowanych grup zabezpieczeń.

Aby dowiedzieć się więcej, zobacz:

• Zabezpieczanie grup administratorów

• Zabezpieczanie wbudowanych kont administratorów

• Poprawa bezpieczeństwa i utrzymanie dzięki zmniejszeniu powierzchni ataków

• Zmniejszanie obszaru podatnego na ataki w usłudze Active Directory

Od lutego 2016 r. jest obsługiwany ten scenariusz.

Instalacja programu Microsoft Entra Connect jest obsługiwana tylko w przypadku korzystania z kreatora instalacji. Nienadzorowana instalacja dyskretna nie jest obsługiwana.

Od lutego 2016 r. jest obsługiwany ten scenariusz.

Tak. Po zainstalowaniu agenta można ukończyć proces rejestracji przy użyciu następującego polecenia cmdlet programu PowerShell:

Register-AzureADConnectHealthADDSAgent -Credentials $cred

Tak, ten scenariusz jest obsługiwany. Zapoznaj się z wieloma domenami.

Nie, wiele łączników dla tej samej domeny usługi AD nie jest obsługiwanych.

Tak, poniższe kroki zawierają ogólne wskazówki dotyczące tego przenoszenia. Aby uzyskać więcej informacji, zobacz Przenoszenie bazy danych Microsoft Entra Connect z programu SQL Server Express do zdalnego programu SQL Server

1. Tworzenie kopii zapasowej bazy danych LocalDB ADSync. Najprostszym sposobem tworzenia kopii zapasowej jest użycie programu SQL Server Management Studio zainstalowanego na tej samej maszynie co microsoft Entra Connect. Połącz się z bazą danych (LocalDb).\ADSync, a następnie utwórz kopię zapasową bazy danych ADSync.

2. Przywróć bazę danych ADSync do zdalnego wystąpienia programu SQL Server.

3. Zainstaluj program Microsoft Entra Connect z istniejącą zdalną bazą danych SQL. W tym artykule pokazano, jak przeprowadzić migrację do lokalnej bazy danych SQL. Jeśli przeprowadzasz migrację do zdalnej bazy danych SQL, w kroku 5 procesu musisz również wprowadzić istniejące konto usługi używane przez usługę Windows ADSync. To konto usługi aparatu synchronizacji zostało opisane tutaj:

   Użyj istniejącego konta usługi: domyślnie program Microsoft Entra Connect używa konta usługi wirtualnej do użycia przez usługi synchronizacji. W przypadku zdalnego wystąpienia programu SQL Server lub internetowego serwera proxy z uwierzytelnianiem użyj zarządzanego konta usługi lub konta usługi w domenie. W takich przypadkach wprowadź konto do użycia. Upewnij się, że użytkownicy, którzy uruchamiają instalację, są administratorami systemu w programie SQL, aby można było utworzyć poświadczenia logowania dla konta usługi. Aby uzyskać więcej informacji, zobacz Microsoft Entra Connect accounts and permissions (Konta i uprawnienia programu Microsoft Entra Connect).

   W najnowszej kompilacji administrator SQL może aprowizować bazę danych i udzielać administratorowi programu Microsoft Entra Connect prawa właściciela bazy danych w celu zainstalowania produktu. Aby uzyskać więcej informacji, zobacz Install Microsoft Entra Connect by using SQL delegated administrator permissions (Instalowanie programu Microsoft Entra Connect przy użyciu delegowanych uprawnień administratora SQL).

Aby zachować prostotę, zalecamy użytkownikom, którzy instalują program Microsoft Entra Connectto, mają uprawnienia administratora systemu w programie SQL. Jednak w przypadku ostatnich kompilacji można teraz używać delegowanych administratorów SQL, zgodnie z opisem w temacie Instalowanie programu Microsoft Entra Connect przy użyciu delegowanych uprawnień administratora SQL.

Poniżej znajduje się dokument informacyjny, który przedstawia niektóre z najlepszych rozwiązań, które zostały opracowane przez lata przez inżynierów, pomoc techniczną i naszych konsultantów. Jest to prezentowane na liście punktowanej, do których można szybko się odwoływać. Chociaż ta lista próbuje być kompleksowa, mogą istnieć inne najlepsze rozwiązania, które mogą zostać dodane do listy w przyszłości.

• Jeśli używasz pełnej bazy danych SQL, powinna pozostać lokalna a zdalna:
  • Mniej przeskoków
  • Łatwiejsze rozwiązywanie problemów
  • Mniejsza złożoność
  • Należy wyznaczyć zasoby do programu SQL i zezwolić na obciążenie związane z programem Microsoft Entra Connect i systemem operacyjnym.
• Pomiń serwer proxy sieci Web, jeśli to możliwe, w przeciwnym razie upewnij się, że wartość limitu czasu internetowego serwera proxy jest większa niż 5 minut.
• Jeśli wymagany jest internetowy serwer proxy, musisz dodać konfigurację internetowego serwera proxy do pliku machine.config.
• Należy pamiętać o lokalnych zadaniach SQL i konserwacji oraz sposobach ich wpływu na program Microsoft Entra Connect — szczególnie ponowne indeksowanie.
• Upewnij się, że system DNS może rozpoznawać nazwy zewnętrznie.
• Upewnij się, że specyfikacje serwera są zalecane niezależnie od tego, czy używasz serwerów fizycznych, czy wirtualnych.
• Upewnij się, że jeśli używasz serwera wirtualnego, wymagane zasoby są dedykowane.
• Upewnij się, że masz konfigurację dysku i dysku, spełniają najlepsze rozwiązania dotyczące programu SQL Server.
• Zainstaluj i skonfiguruj program Microsoft Entra Connect Health do monitorowania.
• Użyj progu usuwania eksportu wbudowanego w program Microsoft Entra Connect, aby zapobiec przypadkowemu usunięciu.
• Dokładnie przejrzyj aktualizacje wersji, aby przygotować się do wszystkich zmian i nowych atrybutów, które mogą zostać dodane.
• Wykonaj kopię zapasową wszystkiego:
  • Klucze kopii zapasowej
  • Reguły synchronizacji kopii zapasowych
  • Konfiguracja serwera kopii zapasowych
  • Tworzenie kopii zapasowej bazy danych SQL Database
• Unikaj używania usługi Azure Backup dla bazy danych ADSync, ponieważ może to prowadzić do zakleszczenia i potencjalnie spowodować zablokowanie profilu uruchamiania.
• Upewnij się, że nie ma agentów kopii zapasowych innych firm, którzy tworzą kopię zapasową bazy danych SQL bez składnika zapisywania usługi VSS SQL (typowe w przypadku serwerów wirtualnych z migawkami innych firm).
• Ogranicz liczbę niestandardowych reguł synchronizacji, które są używane, ponieważ dodają złożoność.
• Traktuj serwery Microsoft Entra Connect jako serwery warstwy 0.
• Bądź w stanie zmodyfikować reguły synchronizacji chmury bez lepszego zrozumienia wpływu i odpowiednich czynników biznesowych.
• Upewnij się, że poprawne adresy URL i porty zapory są otwarte w celu obsługi programów Microsoft Entra Connect i Microsoft Entra Connect Health.
• Skorzystaj z atrybutu filtrowanego w chmurze, aby rozwiązać problemy i zapobiec obiektom phantom.
• W przypadku serwera przejściowego upewnij się, że używasz narzędzia Microsoft Entra Connect Configuration Documenter w celu zapewnienia spójności między serwerami.
• Serwery przejściowe powinny znajdować się w oddzielnych centrach danych (lokalizacjach fizycznych).
• Serwery przejściowe nie są przeznaczone do zapewnienia wysokiej dostępności, ale można mieć wiele serwerów przejściowych.
• Wprowadzenie serwerów przejściowych "Opóźnienie" może ograniczyć potencjalny przestój w przypadku problemu.
• Najpierw przetestuj i zweryfikuj wszystkie uaktualnienia na serwerze przejściowym.
• Zawsze weryfikuj eksporty przed przełączeniem na serwer przejściowy. Skorzystaj z serwera przejściowego na potrzeby pełnych importów i pełnej synchronizacji, aby zmniejszyć wpływ na działalność biznesową.
• Zachowaj spójność wersji między serwerami Microsoft Entra Connect jak najwięcej.

Nie, aby zezwolić firmie Microsoft Entra Connect na automatyczne tworzenie konta łącznika Microsoft Entra Connector, komputer musi być przyłączony do domeny.

Wszystkie oprogramowanie sieciowe, urządzenia fizyczne lub cokolwiek innego, który ogranicza maksymalny czas otwierania połączeń, powinien używać progu wynoszącego co najmniej pięć minut (300 sekund) na potrzeby łączności między serwerem, na którym jest zainstalowany klient Microsoft Entra Connect i Microsoft Entra ID. To zalecenie dotyczy również wszystkich wcześniej wydanych narzędzi do synchronizacji tożsamości firmy Microsoft.

Zdecydowanie zalecamy użycie tej konfiguracji sieci (zobacz artykuł), jednak korzystanie z programu Microsoft Entra Connect Sync z domeną z pojedynczą etykietą jest obsługiwane, o ile konfiguracja sieci dla domeny pojedynczego poziomu działa prawidłowo. W scenariuszach SLD, w których nazwa domeny NetBIOS usługi Active Directory różni się od nazwy domeny FQDN, nie jest obsługiwana instalacja programu Microsoft Entra Connect.

Nie, program Microsoft Entra Connect nie obsługuje lasów lokalnych, które zawierają rozłączne przestrzenie nazw.

Nie, firma Microsoft Entra Connect nie obsługuje lokalnych lasów ani domen, w których nazwa NetBIOS zawiera kropkę (.).

Nie, microsoft Entra Connect nie obsługuje czystego środowiska IPv6.

Nie, używanie programu Microsoft Entra Connect za pośrednictwem translatora adresów sieciowych nie jest obsługiwane, ponieważ jest zależne od usługi Active Directory, która nie obsługuje translatora adresów sieciowych. Zobacz ograniczenia obsługi usługi Active Directory za pośrednictwem translatora adresów sieciowych.

Aby uzyskać wskazówki dotyczące odnawiania certyfikatu, zobacz odnawianie certyfikatów.

Skorzystaj ze wskazówek opisanych w artykule Odnawianie certyfikatów.

L.p. Zmiana nazwy serwera powoduje, że aparat synchronizacji nie może nawiązać połączenia z wystąpieniem bazy danych SQL, a usługa nie może się uruchomić.

L.p. Nie są one obsługiwane.

Synchronizowane urządzenia mogą być tworzone lub zarządzane lokalnie. Jeśli zsynchronizowane urządzenie jest włączone lokalnie, może zostać ponownie włączone w centrum administracyjnym firmy Microsoft Entra, nawet jeśli wcześniej zostało wyłączone przez administratora. Aby wyłączyć zsynchronizowane urządzenie, użyj lokalna usługa Active Directory, aby wyłączyć konto komputera.

Synchronizowani użytkownicy mogą być autorami lub zarządzanymi lokalnie. Jeśli konto jest włączone lokalnie, może odblokować blok logowania umieszczony przez administratora.

Aby uzyskać informacje, zobacz następujące artykuły:

• Nazwy użytkowników platformy Microsoft 365, platformy Azure lub usługi Intune nie są zgodne z lokalną nazwą UPN lub alternatywnym identyfikatorem logowania
• Zmiany nie są synchronizowane przez narzędzie synchronizacji usługi Azure Active Directory po zmianie nazwy UPN konta użytkownika w celu używania innej domeny federacyjnej

Można również skonfigurować identyfikator entra firmy Microsoft, aby umożliwić aparatowi synchronizacji zaktualizowanie nazwy UPN zgodnie z opisem w temacie Funkcje usługi Microsoft Entra Connect Sync.

Tak, to miękkie dopasowanie jest oparte na proxyAddress. Dopasowywanie nietrwałe nie jest obsługiwane w przypadku grup, które nie są włączone do poczty.

Nie, ręcznie ustawiając atrybut ImmutableId w istniejącej grupie Microsoft Entra lub obiekcie kontaktowym, aby trwale dopasować go nie jest obsługiwany.

Z wyjątkiem poleceń cmdlet, które są udokumentowane w tej witrynie, inne polecenia cmdlet programu PowerShell znalezione w programie Microsoft Entra Connect nie są obsługiwane do użytku przez klienta.

L.p. Ta opcja nie pobiera wszystkich ustawień konfiguracji i nie powinna być używana. Zamiast tego użyj kreatora, aby utworzyć podstawową konfigurację na drugim serwerze i użyć edytora reguł synchronizacji, aby wygenerować skrypty programu PowerShell, aby przenieść dowolną regułę niestandardową między serwerami. Aby uzyskać więcej informacji, zobacz Migracja huśtawka.

Obecnie modyfikowanie atrybutów HTML pola Hasło , w tym tagu autouzupełniania, nie jest obsługiwane. Obecnie pracujemy nad funkcją, która umożliwia używanie niestandardowego kodu JavaScript, co umożliwia dodanie dowolnego atrybutu do pola Hasło .

Obecnie modyfikowanie atrybutów HTML pola Wprowadzanie hasła , w tym tag autouzupełniania, nie jest obsługiwane. Obecnie pracujemy nad funkcją, która umożliwia używanie niestandardowego kodu JavaScript, co umożliwia dodanie dowolnego atrybutu do pola Hasło .

L.p.

Doradzamy wszystkim klientom, aby włączyli automatyczną gradację dla instalacji programu Microsoft Entra Connect. Korzyść jest taka, że zawsze otrzymujesz najnowsze poprawki, w tym aktualizacje zabezpieczeń dotyczące luk w zabezpieczeniach znalezionych w programie Microsoft Entra Connect. Proces uaktualniania jest bezbolesny i odbywa się automatycznie natychmiast po udostępnieniu nowej wersji. Wiele tysięcy klientów programu Microsoft Entra Connect korzysta z autougradowania w każdej nowej wersji.

Proces automatycznego skalowania zawsze określa, czy instalacja kwalifikuje się do autougradacji. Jeśli kwalifikuje się, uaktualnienie zostanie wykonane i przetestowane. Proces obejmuje również wyszukiwanie niestandardowych zmian w regułach i konkretnych czynników środowiskowych. Jeśli testy pokazują, że uaktualnienie nie powiedzie się, poprzednia wersja zostanie automatycznie przywrócona.

W zależności od rozmiaru środowiska proces może potrwać kilka godzin. Podczas uaktualniania nie ma synchronizacji między usługą Active Directory systemu Windows Server i identyfikatorem Entra firmy Microsoft.

W zeszłym roku wydaliśmy wersję programu Microsoft Entra Connect, która w pewnych okolicznościach mogła wyłączyć funkcję automatycznego zwiększania poziomu na serwerze. Rozwiązaliśmy problem w programie Microsoft Entra Connect w wersji 1.1.750.0. Jeśli problem został naruszony, możesz go rozwiązać, uruchamiając skrypt programu PowerShell, aby go naprawić lub ręcznie uaktualniając do najnowszej wersji programu Microsoft Entra Connect.

Aby uruchomić skrypt programu PowerShell, pobierz skrypt i uruchom go na serwerze Microsoft Entra Connect w oknie administracyjnego programu PowerShell. Aby dowiedzieć się, jak uruchomić skrypt, zobacz ten krótki film wideo.

Aby ręcznie uaktualnić, należy pobrać i uruchomić najnowszą wersję AADConnect.msi pliku.

• Jeśli bieżąca wersja jest starsza niż 1.1.750.0, pobierz i uaktualnij ją do najnowszej wersji.
• Jeśli twoja wersja programu Microsoft Entra Connect to 1.1.750.0 lub nowsza, nie jest wymagana żadna dalsza akcja. Używasz już wersji zawierającej poprawkę autougradacji.

Tak, należy przeprowadzić uaktualnienie do wersji 1.1.750.0 lub nowszej, aby ponownie włączyć automatyczne uaktualnianie. Pobierz i uaktualnij do najnowszej wersji.

Tak, nadal musisz przeprowadzić uaktualnienie do wersji 1.1.750.0 lub nowszej. Włączenie usługi autoupgradacji przy użyciu programu PowerShell nie ogranicza problemu z autougradowaniem występującym w wersjach wcześniejszych niż 1.1.750.0.

Nie musisz znać nazwy użytkownika i hasła, które zostało początkowo użyte do uaktualnienia programu Microsoft Entra Connect. Użyj dowolnego konta Microsoft Entra z rolą Administratora tożsamości hybrydowej.

Aby sprawdzić, która wersja programu Microsoft Entra Connect jest zainstalowana na serwerze, przejdź do Panel sterowania i wyszukaj zainstalowaną wersję programu Microsoft Entra Connect, wybierając pozycję Programy>i funkcje, jak pokazano poniżej:

Aby dowiedzieć się, jak uaktualnić do najnowszej wersji, zobacz Microsoft Entra Connect: uaktualnianie z poprzedniej wersji do najnowszej.

Zespół firmy Microsoft Entra Connect często aktualizuje usługę. Aby korzystać z poprawek błędów i aktualizacji zabezpieczeń, a także nowych funkcji, ważne jest, aby zapewnić aktualność serwera przy użyciu najnowszej wersji. Jeśli włączysz automatyczne skalowanie, wersja oprogramowania zostanie automatycznie zaktualizowana. Aby znaleźć historię wersji programu Microsoft Entra Connect, zobacz Microsoft Entra Connect: historia wersji.

Czas potrzebny do uaktualnienia zależy od rozmiaru dzierżawy. W przypadku większych organizacji najlepszym rozwiązaniem może być przeprowadzenie uaktualnienia w godzinach wieczornych lub weekendowych. Podczas uaktualniania nie odbywa się żadne działanie synchronizacji.

Zespół pakietu Office pracuje nad uzyskaniem aktualizacji portalu pakietu Office w celu odzwierciedlenia bieżącej nazwy produktu. Nie odzwierciedla używanego narzędzia do synchronizacji.

Usterka została wprowadzona w poprzedniej wersji, która w pewnych okolicznościach pozostawia stan autougradacji ustawiony na "Zawieszone". Ręczne włączanie jest technicznie możliwe, ale wymagałoby kilku złożonych kroków. Najlepszą rzeczą, którą można zrobić, jest zainstalowanie najnowszej wersji programu Microsoft Entra Connect.

Nie, nie ma takiej funkcji dzisiaj. Funkcja jest oceniana pod kątem przyszłej wersji.

Nie otrzymasz powiadomienia o wyniku uaktualnienia. Funkcja jest oceniana pod kątem przyszłej wersji.

Autoupgrade to pierwszy krok w procesie wydawania nowszej wersji. Za każdym razem, gdy pojawi się nowa wersja, uaktualnienia są wypychane automatycznie. Nowsze wersje programu Microsoft Entra Connect są wstępnie ogłoszone w harmonogramie działania firmy Microsoft Entra.

Tak, automatyczne uaktualnianie również uaktualnia program Microsoft Entra Connect Health.

Tak, możesz przeprowadzić automatyczne skalowanie serwera Microsoft Entra Connect, który jest w trybie przejściowym.

W rzadkich przypadkach usługa Microsoft Entra Connect nie uruchamia się po wykonaniu uaktualnienia. W takich przypadkach ponowne uruchomienie serwera zwykle rozwiązuje problem. Jeśli usługa Microsoft Entra Connect nadal nie jest uruchamiana, otwórz bilet pomocy technicznej. Aby uzyskać więcej informacji, zobacz Tworzenie żądania obsługi w celu skontaktowania się z pomocą techniczną platformy Microsoft 365.

Jeśli potrzebujesz pomocy dotyczącej uaktualniania do nowszej wersji programu Microsoft Entra Connect, otwórz bilet pomocy technicznej na stronie Tworzenie żądania obsługi, aby skontaktować się z pomocą techniczną platformy Microsoft 365.

Poniżej przedstawiono kilka najlepszych rozwiązań, które należy zaimplementować podczas synchronizacji między usługą Active Directory systemu Windows Server i identyfikatorem entra firmy Microsoft.

Stosowanie uwierzytelniania wieloskładnikowego dla wszystkich zsynchronizowanych kont Microsoft Entra multifactor authentication pomaga chronić dostęp do danych i aplikacji przy zachowaniu prostoty dla użytkowników. Zapewnia dodatkowe zabezpieczenia, wymagając drugiej formy uwierzytelniania i zapewniając silne uwierzytelnianie za pośrednictwem szeregu łatwych w użyciu metod uwierzytelniania. Użytkownicy mogą lub nie mogą być kwestionowani w przypadku uwierzytelniania wieloskładnikowego na podstawie decyzji konfiguracyjnych, które podejmuje administrator. Więcej informacji na temat uwierzytelniania wieloskładnikowego można znaleźć tutaj: https://www.microsoft.com/security/business/identity/mfa?rtc=1

Postępuj zgodnie z wytycznymi dotyczącymi zabezpieczeń serwera Microsoft Entra Connect Serwer Entra Connect zawiera krytyczne dane tożsamości i powinny być traktowane jako składnik warstwy 0, jak opisano w modelu warstwy administracyjnej usługi Active Directory. Zapoznaj się również z naszymi wytycznymi dotyczącymi zabezpieczania serwera Microsoft Entra Connect.

Włącz funkcję PHS na potrzeby wykrywania wycieku poświadczeń wykrywania skrótów haseł umożliwia również wykrywanie wycieku poświadczeń dla kont hybrydowych. Firma Microsoft współpracuje z ciemnymi badaczami internetowymi i organami ścigania, aby znaleźć publicznie dostępne pary nazw użytkowników/haseł. Jeśli którakolwiek z tych par jest zgodna z tymi z Twoich użytkowników, skojarzone konto zostanie przeniesione na wysokie ryzyko.

Przeszukiwanie bazy wiedzy Microsoft Knowledge Base (KB)

• Wyszukaj w bazie wiedzy informacje o rozwiązaniach technicznych, aby zapoznać się z typowymi problemami dotyczącymi rozwiązywania problemów z obsługą programu Microsoft Entra Connect.

Strona pytań i odpowiedzi firmy Microsoft dla identyfikatora entra firmy Microsoft

• Wyszukaj pytania techniczne i odpowiedzi lub zadaj własne pytania, przechodząc do społeczności firmy Microsoft Entra.

Uzyskiwanie pomocy technicznej dotyczącej identyfikatora Entra firmy Microsoft

Zdarzenia 6311 — serwer napotkał nieoczekiwany błąd podczas wykonywania wywołania zwrotnego i 6401 — kontroler agenta zarządzania napotkał nieoczekiwany błąd — są zawsze rejestrowane po błędzie kroku synchronizacji. Aby usunąć te błędy, należy wyczyścić błędy kroku synchronizacji. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z błędami podczas synchronizacji i rozwiązywanie problemów z synchronizacją obiektów za pomocą usługi Microsoft Entra Connect Sync