Instalar o Microsoft Entra Connect usando um banco de dados ADSync existente

  • Artigo

O Microsoft Entra Connect requer um banco de dados SQL Server para armazenar dados. Você pode usar o padrão SQL Server 2019 Express LocalDB instalado com o Microsoft Entra Connect ou usar sua própria versão completa do SQL. Anteriormente, quando você instalava o Microsoft Entra Connect, um novo banco de dados chamado ADSync sempre era criado. Com o Microsoft Entra Connect versão 1.1.613.0 (ou posterior), você tem a opção de instalar o Microsoft Entra Connect apontando-o para um banco de dados ADSync existente.

Benefícios do uso de um banco de dados ADSync existente

Apontando para um banco de dados ADSync existente:

  • Exceto para informações de credenciais, a configuração de sincronização armazenada no banco de dados ADSync (incluindo regras de sincronização personalizadas, conectores, filtragem e configuração de recursos opcionais) é recuperada automaticamente e usada durante a instalação. As credenciais usadas pelo Microsoft Entra Connect para sincronizar alterações com AD local e ID do Microsoft Entra são criptografadas e só podem ser acessadas pelo servidor anterior do Microsoft Entra Connect.
  • Todos os dados de identidade (associados a espaços de conector e metaverso) e cookies de sincronização armazenados no banco de dados ADSync também são recuperados. O servidor Microsoft Entra Connect recém-instalado pode continuar a sincronizar de onde o servidor Microsoft Entra Connect anterior parou, em vez de ter a necessidade de executar uma sincronização completa.

Cenários em que o uso de um banco de dados ADSync existente é benéfico

Esses benefícios são úteis nos seguintes cenários:

  • Você tem uma implantação existente do Microsoft Entra Connect. Seu servidor Microsoft Entra Connect existente não está mais funcionando, mas o servidor SQL que contém o banco de dados ADSync ainda está funcionando. Você pode instalar um novo servidor Microsoft Entra Connect e apontá-lo para o banco de dados ADSync existente.
  • Você tem uma implantação existente do Microsoft Entra Connect. Seu servidor SQL que contém o banco de dados ADSync não está mais funcionando. No entanto, você tem um backup recente do banco de dados. Você pode restaurar o banco de dados ADSync para um novo servidor SQL primeiro. Depois disso, você pode instalar um novo servidor Microsoft Entra Connect e apontá-lo para o banco de dados ADSync restaurado.
  • Você tem uma implantação existente do Microsoft Entra Connect que está usando LocalDB. Devido ao limite de 10 GB imposto pelo LocalDB, você gostaria de migrar para o SQL completo. Você pode fazer backup do banco de dados ADSync do LocalDB e restaurá-lo para um servidor SQL. Depois disso, você pode reinstalar um novo servidor Microsoft Entra Connect e apontá-lo para o banco de dados ADSync restaurado.
  • Você está tentando configurar um servidor de preparo e deseja certificar-se de que sua configuração corresponde à do servidor ativo atual. Você pode fazer backup do banco de dados ADSync e restaurá-lo para outro servidor SQL. Depois disso, você pode reinstalar um novo servidor Microsoft Entra Connect e apontá-lo para o banco de dados ADSync restaurado.

Informações de pré-requisitos

Observações importantes a ter em conta antes de prosseguir:

  • Certifique-se de revisar os pré-requisitos para instalar o Microsoft Entra Connect em Hardware e pré-requisitos, e conta e permissões necessárias para instalar o Microsoft Entra Connect. As permissões necessárias para instalar o Microsoft Entra Connect usando o modo "usar banco de dados existente" é a mesma que a instalação "personalizada".
  • A implantação do Microsoft Entra Connect em um banco de dados ADSync existente só é suportada com SQL completo. Não há suporte com o SQL Express LocalDB. Se você tiver um banco de dados ADSync existente no LocalDB que deseja usar, você deve primeiro fazer backup do banco de dados ADSync (LocalDB) e restaurá-lo para SQL completo. Depois disso, você pode implantar o Microsoft Entra Connect no banco de dados restaurado usando esse método.
  • A versão do Microsoft Entra Connect usada para instalação deve atender aos seguintes critérios:
    • 1.1.613.0 ou superior, E
    • Igual ou superior à versão do Microsoft Entra Connect usada pela última vez com o banco de dados ADSync. Se a versão do Microsoft Entra Connect usada para instalação for maior do que a última versão usada com o banco de dados ADSync, uma sincronização completa pode ser necessária. A sincronização completa é necessária se houver alterações de esquema ou regra de sincronização entre as duas versões.
  • O banco de dados ADSync usado deve conter um estado de sincronização relativamente recente. A última atividade de sincronização com o banco de dados ADSync existente deve ocorrer nas últimas três semanas, caso contrário, será necessária uma importação completa da ID do Microsoft Entra para atualizar a marca d'água do diretório.
  • Ao instalar o Microsoft Entra Connect usando o método "usar banco de dados existente", o método de entrada configurado no servidor anterior do Microsoft Entra Connect não é preservado. Além disso, não é possível configurar o método de entrada durante a instalação. Você só pode configurar o método de entrada após a conclusão da instalação.
  • Não é possível que vários servidores Microsoft Entra Connect partilhem a mesma base de dados ADSync. O método "use existing database" permite reutilizar um banco de dados ADSync existente com um novo servidor Microsoft Entra Connect. Não suporta a partilha.

Etapas para instalar o Microsoft Entra Connect com o modo "usar banco de dados existente"

  1. Transfira o instalador do Microsoft Entra Connect (AzureADConnect.MSI) para o servidor Windows. Clique duas vezes no instalador do Microsoft Entra Connect para iniciar a instalação do Microsoft Entra Connect.
  2. Quando a instalação do MSI for concluída, o assistente do Microsoft Entra Connect será iniciado com a configuração do modo Express. Feche o ecrã ao clicar no ícone Sair. Screenshot that shows the
  3. Inicie uma nova linha de comandos ou a sessão do PowerShell. Navegue até a pasta "C:\Program Files\Microsoft Entra Connect". Execute o comando .\AzureADConnect.exe /useexistingdatabase para iniciar o assistente do Microsoft Entra Connect no modo de configuração "Usar banco de dados existente".

Nota

Use a opção /UseExistingDatabase somente quando o banco de dados já contiver dados de uma instalação anterior do Microsoft Entra Connect. Por exemplo, quando você está movendo de um banco de dados local para um banco de dados SQL Server completo ou quando o servidor Microsoft Entra Connect foi reconstruído e você restaurou um backup SQL do banco de dados ADSync de uma instalação anterior do Microsoft Entra Connect. Se o banco de dados estiver vazio, ou seja, não contiver dados de uma instalação anterior do Microsoft Entra Connect, ignore esta etapa.

PowerShell

  1. Você será recebido com a tela Bem-vindo ao Microsoft Entra Connect. Depois de aceitar os termos de licenciamento e o aviso de privacidade, clique em Continuar. Screenshot that shows the

  2. No ecrã Instalar componentes necessários, a opção Utilizar um servidor existente do SQL Server está ativada. Especifique o nome do servidor SQL que está a alojar a base de dados ADSync. Se a instância do motor SQL utilizada para alojar a base de dados ADSync não for a instância predefinida no servidor SQL, tem de especificar o nome da instância do motor SQL. Além disso, se a navegação do SQL Server não estiver ativada, também tem de especificar o número de porta da instância do motor SQL. Por exemplo:
    Screenshot that shows the

  3. Na tela Conectar à ID do Microsoft Entra, você deve fornecer as credenciais de um Administrador de Identidade Híbrida do diretório do Microsoft Entra. A recomendação é utilizar uma conta no domínio predefinido onmicrosoft.com. Essa conta só é usada para criar uma conta de serviço no Microsoft Entra ID e não é usada após a conclusão do assistente. Connect

  4. No ecrã Ligar aos diretórios, a floresta do AD existente configurada para a sincronização de diretórios está listada com um ícone vermelho junto à mesma. Para sincronizar alterações de uma floresta do AD local, precisa de uma conta do AD DS. O assistente do Microsoft Entra Connect não consegue recuperar as credenciais da conta do AD DS armazenadas no banco de dados ADSync porque as credenciais são criptografadas e só podem ser descriptografadas pelo servidor anterior do Microsoft Entra Connect. Clique em Alterar Credenciais para especificar a conta do AD DS para a floresta do AD. Directories

  5. Na caixa de diálogo pop-up, você pode (i) fornecer uma credencial de administrador corporativo e permitir que o Microsoft Entra Connect crie a conta do AD DS para você ou (ii) criar a conta do AD DS você mesmo e fornecer sua credencial ao Microsoft Entra Connect. Assim que tiver selecionado uma opção e apresentado as credenciais exigidas, clique em OK para fechar a caixa de diálogo pop-up. Screenshot that shows the pop-up dialog

  6. Depois de apresentar as credenciais, o ícone com uma cruz vermelha é substituído por um ícone com um visto verde. Clique em Next. Screenshot that shows the

  7. No ecrã Preparado para configurar, clique em Instalar. Welcome

  8. Após a conclusão da instalação, o servidor Microsoft Entra Connect é automaticamente ativado para o Modo de Preparo. É recomendado que reveja se existem alterações inesperadas na configuração do servidor e nas exportações pendentes antes de desativar o Modo de Teste.

Tarefas de pós-instalação

Ao restaurar um backup de banco de dados criado por uma versão do Microsoft Entra Connect anterior à 1.2.65.0, o servidor de preparo selecionará automaticamente um método de entrada de Não configurar. Embora as preferências de repetição de escrita de palavras-passe e sincronização do hash de palavras-passe sejam restauradas, deve subsequentemente alterar o método de início de sessão para corresponder a outras políticas em vigor no servidor de sincronização ativo. A falha na conclusão dessas etapas pode impedir que os usuários entrem caso esse servidor fique ativo.

Use a tabela abaixo para verificar as etapas adicionais necessárias.

Funcionalidade Passos
Sincronização do Hash de Palavras-passe as configurações de Sincronização de Hash de Senha e Write-back de Senha são totalmente restauradas para versões do Microsoft Entra Connect a partir de 1.2.65.0. Se estiver restaurando usando uma versão mais antiga do Microsoft Entra Connect, revise as configurações de opção de sincronização desses recursos para garantir que eles correspondam ao seu servidor de sincronização ativo. Nenhuma outra etapa de configuração deve ser necessária.
Federação com o AD FS As autenticações do Azure continuarão a usar a política do AD FS configurada para seu servidor de sincronização ativo. Se você usar o Microsoft Entra Connect para gerenciar seu farm do AD FS, poderá opcionalmente alterar o método de entrada para federação do AD FS em preparação para que seu servidor em espera se torne a instância de sincronização ativa. Se as opções de dispositivo estiverem habilitadas no servidor de sincronização ativo, configure essas opções nesse servidor executando a tarefa "Configurar opções de dispositivo".
Autenticação de passagem e Logon Único na Área de Trabalho Atualize o método de entrada para corresponder à configuração no servidor de sincronização ativo. Se isso não for seguido antes de promover o servidor para primário, a autenticação de passagem junto com o Logon Único Contínuo será desabilitada e seu locatário poderá ser bloqueado se você não tiver a sincronização de hash de senha como opção de login de backup. Observe também que, quando você habilita a autenticação de passagem no modo de preparação, um novo agente de autenticação será instalado, registrado e executado como um agente de alta disponibilidade que aceitará solicitações de login.
Federação com o PingFederate As autenticações do Azure continuarão a usar a política PingFederate configurada para seu servidor de sincronização ativo. Opcionalmente, você pode alterar o método de entrada para PingFederate em preparação para que seu servidor em espera se torne a instância de sincronização ativa. Esta etapa pode ser adiada até que você precise federar domínios adicionais com o PingFederate.

Próximos passos