Поддержка параметров синхронизации профилей пользователей в SharePoint Server

ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365

Синхронизация профилей в SharePoint Server позволяет администратору экземпляра службы профилей пользователей синхронизировать данные профиля пользователя и группы, хранящиеся в хранилище профилей SharePoint Server, с данными профиля, хранящимися в службах каталогов на предприятии. После настройки синхронизации профилей пользователей необходимо завершить задачи для поддержки этих параметров. В число этих задач входят, к примеру, удаление пользователей, чьи учетные записи отключены или удалены, перемещение или переименование сервера, а также запуск и остановка службы синхронизации профилей пользователей. Дополнительные сведения см. в разделе Планирование синхронизации профилей для SharePoint Server 2013.

Чтобы запустить командлеты PowerShell, описанные в этой статье, убедитесь, что у вас есть следующие членства:

• Предопределенная роль сервера securityadmin для экземпляра SQL Server.

• Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

• Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

Важно!

В каждом разделе указывается версия SharePoint Server, к которому она применяется.

Переименование пользователей или изменение доменов пользователей

Примечание.

Этот раздел относится к SharePoint Server 2013, 2016 и 2019.

SharePoint Server позволяет обрабатывать несколько различных сценариев миграции пользователей. Ниже приведены сценарии, обрабатываемые службами каталогов Active Directory Domain Services (AD DS).

• Имя учетной записи ( sAMAccountName) меняется в AD DS, где существует имя пользователя.

• Меняется идентификатор безопасности (SID).

• Меняется различающееся имя (DN), куда включаются и изменения в контейнере подразделения (OU) в AD DS, где размещается учетная запись пользователя. Например, если различающееся имя пользователя перемещается в AD DS из User= EUROPE\John Smith, Manager=CN=John Rodman, OU=Users, DC=EMEA1, DC=corp, DC=contoso, DC=com в User= EUROPE\John Smith, Manager=CN=John Rodman, OU=Managers, DC=EMEA1, DC=corp, DC=contoso,DC=com, команда MigrateUser обновляет профиль пользователя, хранящийся для этого пользователя. Профиль пользователя John Smith обновляется при синхронизации профилей пользователей из доменных служб AD EMEA1.corp.contoso.com в хранилище профилей пользователей SharePoint Server.

Переименование пользователей или изменение доменов пользователей

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющего эту процедуру, принадлежит участнику группы администраторов фермы на компьютере, на котором выполняется веб-сайт Веб-сайт центра администрирования SharePoint.

• Учетная запись пользователя, которая выполняет эту процедуру, должна являться участником группы «Администраторы» на компьютере, где установлена служба синхронизации профилей пользователей.

2. При выполнении синхронизации откройте центр Центр администрирования и щелкните Управление приложениями-службами в разделе Управление приложениями. Выберите подходящее приложение-службу из списка приложений-служб. На странице Управление приложением-службой щелкните Остановить синхронизацию профиля.

3. Отключите задание добавочной синхронизации профилей пользователей.

4. Убедитесь, что миграция пользователей с помощью stsadm -o migrateuser выполнена успешно.

Примечание.

Move-SPUser также можно использовать для миграции пользователей.

5. Убедитесь, что профиль перенесенного пользователя можно получить, перейдя на личный сайт этого пользователя, например на новое имя учетной http://mysite/person.aspx?accountname=<записи>.

6. Выполните синхронизацию профилей пользователей. Дополнительные сведения см.в статье Запуск синхронизации профилей вручную в SharePoint Server.

7. Повторно проверьте доступ к профилю перенесенного пользователя путем поиска этого пользователя в личный сайтЛичный сайт.

8. Включите задание таймера добавочной синхронизации профилей пользователей.

Исключение пользователей с отключенными учетными записями

Примечание.

Этот раздел относится к SharePoint Server 2013.

Вы можете исключить пользователей, учетные записи которых отключены в AD DS, с помощью фильтров исключений в SharePoint Server 2013. Действия, необходимые для исключения пользователей, учетные записи которых отключены, см. в статье Синхронизация профилей пользователей и групп в SharePoint Server 2013.

Удаление устаревших пользователей и групп

Примечание.

Этот раздел относится к SharePoint Server 2013, 2016 и 2019.

Существует две причины, по которым устаревшие пользователи или группы могут существовать в хранилище профилей пользователей SharePoint Server:

• Устаревшие пользователи. Задание таймера очистки личного сайта не активно. Задание таймера синхронизации профилей пользователей помечает удаление пользователей, которые были удалены из источника каталога. При запуске задания очистки личного сайта оно ищет всех пользователей, помеченных для удаления, и удаляет их профили. Затем соответствующие личные сайты назначаются менеджеру для удаленного пользователя, и сообщение электронной почты уведомляет руководителя об этом удалении.

• Устаревшие пользователи и группы. Пользователи и группы, которые не были импортированы синхронизацией профилей, существуют в хранилище профилей пользователей. Это может произойти, например, если вы обновили более раннюю версию SharePoint Server и решили синхронизировать только подмножество доменов с SharePoint Server.

Поиск и удаление устаревших пользователей и групп с помощью PowerShell

1. Убедитесь, что вы являетесь участником следующих групп:

• Разрешение исполнения для хранимых процедур ImportExport_GetNonimportedObjects и ImportExport_PurgeNonimportedObjects в профиле баз данных.

2. Запустите командную консоль SharePoint.

3. В командной строке PowerShell выполните следующие действия.

4. Чтобы получить объект приложения-службы профилей пользователей, введите следующую команду:

$upa = Get-spserviceapplication <identity>

Где <удостоверение> — это GUID приложения службы синхронизации профилей пользователей.

2. Для просмотра удаляемых пользователей и групп введите следующую команду:

Set-SPProfileServiceApplication $upa -GetNonImportedObjects $true

3. Для удаления устаревших пользователей и групп введите следующую команду:

   Предостережение

   Это действие невозможно отменить.

Set-SPProfileServiceApplication $upa -PurgeNonImportedObjects $true

Дополнительные сведения см. в статьях Get-SPServiceApplication и Set-SPProfileServiceApplication.

Обслуживание изменений схем профилей

Примечание.

Этот раздел относится к SharePoint Server 2013.

Изменения схем профилей включают такие действия, как добавления нового свойства профиля пользователя, изменение сопоставление свойства профиля пользователя или изменение фильтра подключения синхронизации профилей. При изменении схемы профилей необходимо сначала выполнить полную непериодическую синхронизацию, прежде чем планировать периодическую синхронизацию профилей. Инструкции, необходимые для полной синхронизации профилей, не выполняющихся, см.в статье Запуск синхронизации профилей вручную в SharePoint Server.

Переименование сервера, на котором выполняется служба синхронизации профилей пользователей

Примечание.

Этот раздел относится к SharePoint Server 2013.

Воспользуйтесь следующей процедурой для переименования сервера синхронизации профилей.

Переименование сервера под управлением службы синхронизации профилей пользователей с помощью PowerShell

1. Запустите командную консоль SharePoint.

2. В командной строке PowerShell введите следующую команду:

Rename-SPServer <Identity> -Name <newName>

Где:

• Identity — это старое имя сервера.

• newName — это новое имя сервера.

Дополнительные сведения о переименовании сервера с помощью Microsoft PowerShell см. в разделе Rename-SPServer.

Перемещение службы синхронизации профилей пользователей на новый сервер

Примечание.

Этот раздел относится к SharePoint Server 2013.

Воспользуйтесь следующей процедурой для перемещения службы синхронизации профилей пользователей на новый сервер.

Перемещение службы синхронизации профилей пользователей на новый сервер с помощью центра администрирования

1. Убедитесь, что учетная запись пользователя, выполняющая эту процедуру, имеет следующие учетные данные.

• Учетная запись пользователя, выполняющего эту процедуру, принадлежит участнику группы администраторов фермы на компьютере, на котором выполняется веб-сайт Веб-сайт центра администрирования SharePoint.

• Учетная запись пользователя, выполняющего эту процедуру, принадлежит участнику группы администраторов на компьютере, на котором установлена служба синхронизации профилей пользователей. Это требуется для запуска службы синхронизации профилей пользователей. После запуска службы синхронизации профилей пользователей учетную запись фермы можно удалить из группы администраторов.

2. На сервере, где в настоящее время работает служба синхронизации профилей пользователей, запустите веб-сайт Веб-сайт центра администрирования SharePoint, затем в разделе Параметры системы щелкните Управление службами на сервере.

3. Рядом с пунктом Служба синхронизации профилей пользователей щелкните Остановить, чтобы остановить службу синхронизации профилей пользователей.

4. На новом сервере синхронизации профилей пользователей откройте веб-сайт Веб-сайт центра администрирования SharePoint, в разделе Параметры системы щелкните Управление службами на сервере.

5. Рядом с пунктом Служба синхронизации профилей пользователей щелкните Запустить, чтобы запустить службу синхронизации профилей пользователей.

6. На новом сервере синхронизации профилей пользователей откройте веб-сайт Веб-сайт центра администрирования SharePoint, затем в разделе Управление приложениями щелкните пункт Управление приложениями-службами.

7. На странице Приложения-службы щелкните ссылку на имя нужного приложения-службы профилей пользователей.

8. В разделе Синхронизация на странице Приложения-службы профилей пользователей щелкните пункт Запуск синхронизации профилей.

9. На странице Запуск синхронизации профилей выберите пункт Начать полную синхронизацию, затем нажмите кнопку ОК.

Ограничение подключения для синхронизации профилей пользователей конкретным контроллером домена

Используйте следующую процедуру для ограничения подключения к определенному контролеру домена для синхронизации профиля.

Ограничение синхронизации профилей пользователей для определенного контроллера домена с помощью Windows PowerShell

1. Запустите командную консоль SharePoint.

2. Чтобы получить объект приложения-службы профилей пользователей, введите следующую команду:

$upa=Get-SPServiceApplication <GUID>

Где <GUID> — это GUID приложения службы синхронизации профилей пользователей.

3. Чтобы ограничить подключение для синхронизации профилей определенным контролером домена, введите следующую команду:

Set-SPProfileServiceApplication $upa -UseOnlyPreferredDomainControllers $true

Примечание.

Распространение измененного значения свойства на веб-сайт центра администрирования SharePoint может занять пять минут. Сброс IIS на сервере центра администрирования приведет к немедленной загрузке нового значения. Дополнительные сведения о сбросе iis см. в разделе Действие сброса IIS.

Дополнительные сведения см. в статьях Get-SPServiceApplication и Set-SPProfileServiceApplication.

Регулировка времени ожидания синхронизации профилей пользователей

Примечание.

Этот раздел относится к SharePoint Server 2013.

Время ожидания может истечь в перечисленных ниже случаях.

• При попытке подключения к серверу службы каталогов на странице Добавление/изменение подключения для синхронизации в центре Центр администрирования.

• При попытке заполнения списка контейнеров на странице Добавление/изменение подключения для синхронизации в центре Центр администрирования. Отображается в виде ошибки времени ожидания JavaScript в строке состояния.

• При нажатии кнопки ОК на странице Добавление/изменение подключения для синхронизации в центре Центр администрирования. Это приведет к возникновению следующего сообщения об ошибке вследствие истечения времени ожидания веб-службой Forefront Identity Manager при создании или обновлении подключения для синхронизации профилей пользователей:

«Тайм-аут канала запроса во время ожидания ответа после истечения 00:01:29.9062626. Увеличьте значение времени тайм-аута, передаваемое вызову при запросе, или увеличьте значение SendTimeout в Binding. Время, назначенное для выполнения этой операции, может быть составной частью более длинного тайм-аута».

Настройка времени ожидания синхронизации профилей пользователей с помощью Windows PowerShell

1. Если необходимо изменить значение времени ожидания подключения к службе каталогов, выполните следующие действия.

2. Вставьте следующий код в текстовый редактор, например Блокнот:

$upsAppProxy = Get-SPServiceApplicationProxy <UPSAppProxyGUID>
$upsAppProxy.LDAPConnectionTimeout = <NewTimeout>
$upsAppProxy.Update()

2. Замените <UPSAppProxyGUID> идентификатором GUID прокси-сервера службы профилей пользователей, а <NewTimeout> — новым значением времени ожидания в секундах. Время ожидания по умолчанию составляет 120 секунд.

3. Сохраните файл как текстовый файл в кодировке ANSI с расширением PS1.

4. Если необходимо изменить значение времени ожидания для элемента управления заполнением контейнеров, выполните следующие действия.

5. Вставьте следующий код в текстовый редактор, например Блокнот:

$upsAppProxy = Get-SPServiceApplicationProxy <UPSAppProxyGUID>
$upsAppProxy.ImportConnAsyncTimeout = <NewTimeout>
$upsAppProxy.Update()

2. Если необходимо изменить значение времени ожидания для вызовов веб-службы Forefront Identity Manager, выполните следующие действия.

   Замените <UPSAppProxyGUID> идентификатором GUID прокси-сервера службы профилей пользователей, а <NewTimeout> — новым значением времени ожидания в секундах. Время ожидания по умолчанию составляет 1 000 секунд (приблизительно 17 минут).

3. Вставьте следующий код в текстовый редактор, например Блокнот:

$upsApp = Get-SPServiceApplication 
<UPSAppGUID>
$upsApp.FIMWebClientTimeOut = 
<NewTimeout>
$upsApp.Update()

4. Замените <UPSAppGUID> GUID приложения-службы профилей пользователей, а <NewTimeout> — новым значением времени ожидания в миллисекундах. Время ожидания по умолчанию составляет 300 000 миллисекунд (5 минут).

5. Сохраните файл как текстовый файл в кодировке ANSI с расширением PS1, например AdjustProfileSyncTimeouts.ps1.

6. В меню Пуск выберите пункт Все программы.

7. Щелкните Продукты Продукты Microsoft SharePoint 2013.

8. Выберите компонент Командная консоль SharePoint 2013.

9. Измените каталог сохранения файла.

10. В командной строке Microsoft PowerShell введите следующую команду, чтобы выполнить файл скрипта:

./<file name>.ps1

Где <имя> файла — это имя файла для выполнения.

Дополнительные сведения см. в статьях Get-SPServiceApplicationProxy и Get-SPServiceApplication.