Установка Microsoft Entra Подключение с помощью существующей базы данных ADSync

  • Статья

Microsoft Entra Подключение требует, чтобы база данных SQL Server хранила данные. Вы можете использовать sql Server 2019 Express LocalDB по умолчанию, установленный с помощью Microsoft Entra Подключение или использовать собственную полную версию SQL. Ранее при установке Microsoft Entra Подключение всегда создавалась новая база данных с именем ADSync. При использовании Microsoft Entra Подключение версии 1.1.613.0 (или после этого) вы можете установить Microsoft Entra Подключение, указав ее в существующую базу данных ADSync.

Преимущества использования имеющейся базы данных ADSync

Указание имеющейся базы данных ADSync:

  • За исключением учетных данных, конфигурация синхронизации, хранимая в базе данных ADSync, (включая пользовательские правила синхронизации, соединители, фильтрацию и конфигурацию дополнительных возможностей) автоматически восстанавливается и используется при установке. Учетные данные, используемые Microsoft Entra Подключение для синхронизации изменений с локальным AD и идентификатором Microsoft Entra, шифруются и могут получать доступ только к предыдущему серверу Microsoft Entra Подключение.
  • Также восстанавливаются все данные идентификации (связанные с пространствами соединителя и метавселенной) и файлы cookie синхронизации, хранимые в базе данных ADSync. Только что установленный сервер Microsoft Entra Подключение может продолжать синхронизироваться с предыдущего сервера Microsoft Entra Подключение, а не выполнять полную синхронизацию.

Сценарии, в которых использование имеющейся базы данных ADSync, является целесообразным

Эти преимущества полезны в следующих случаях:

  • У вас есть существующее развертывание Microsoft Entra Подключение. Существующий сервер Microsoft Entra Подключение больше не работает, но сервер SQL Server, содержащий базу данных ADSync, по-прежнему работает. Вы можете установить новый сервер Microsoft Entra Подключение и указать его существующей базе данных ADSync.
  • У вас есть существующее развертывание Microsoft Entra Подключение. Сервер SQL, на котором содержится база данных ADSync, больше не работает. Однако у вас есть недавняя резервная копия базы данных. Сначала можно восстановить базу данных ADSync на новом сервере SQL. После этого можно установить новый сервер Microsoft Entra Подключение и указать его на восстановленную базу данных ADSync.
  • У вас есть существующее развертывание Microsoft Entra Подключение, использующее LocalDB. Из-за ограничения в 10 ГБ, наложенного LocalDB, можно использовать полную версию SQL Server. Базу данных ADSync можно архивировать из LocalDB и восстановить на сервере SQL. После этого можно переустановить новый сервер Microsoft Entra Подключение и указать его на восстановленную базу данных ADSync.
  • Вы пытаетесь настроить промежуточный сервер и хотите убедиться, что его конфигурация соответствует конфигурации текущего активного сервера. Можно архивировать базу данных ADSync и восстановить ее на другом сервере SQL. После этого можно переустановить новый сервер Microsoft Entra Подключение и указать его на восстановленную базу данных ADSync.

Предварительные требования

Прежде чем продолжать, следует обратить внимание на некоторые важные примечания:

  • Обязательно просмотрите предварительные требования для установки Microsoft Entra Подключение на оборудовании и предварительных требованиях, а также учетные записи и разрешения, необходимые для установки Microsoft Entra Подключение. Разрешения, необходимые для установки Microsoft Entra Подключение с использованием режима использования существующей базы данных, совпадают с установкой custom.
  • Развертывание Microsoft Entra Подключение в существующей базе данных ADSync поддерживается только с полным sql. Оно не поддерживается для SQL Express LocalDB. Если у вас есть база данных ADSync в LocalDB, которую вы хотите использовать, необходимо сначала создать резервную копию базы данных ADSync (LocalDB), а затем восстановить ее на полнофункциональную платформу SQL. После этого вы можете развернуть Microsoft Entra Подключение в восстановленной базе данных с помощью этого метода.
  • Версия microsoft Entra Подключение, используемая для установки, должна соответствовать следующим критериям:
    • 1.1.613.0 или выше.
    • То же или выше, чем версия Microsoft Entra Подключение последней используемой с базой данных ADSync. Если версия Microsoft Entra Подключение, используемая для установки, выше последней версии, используемой с базой данных ADSync, может потребоваться полная синхронизация. Полная синхронизация необходима, если схема или правило синхронизации отличаются между двумя версиями.
  • Используемая база данных ADSync должна содержать относительно недавнее состояние синхронизации. Последнее действие синхронизации с существующей базой данных ADSync должно находиться в течение последних трех недель, в противном случае для обновления подложки каталога потребуется полный импорт из идентификатора Microsoft Entra.
  • При установке Microsoft Entra Подключение с помощью метода использования существующей базы данных метод входа, настроенный на предыдущем сервере Microsoft Entra Подключение, не сохраняется. Кроме того, настроить метод входа во время установки нельзя. Метод входа можно настроить только после завершения установки.
  • У вас не может быть несколько серверов Microsoft Entra Подключение совместно использовать одну и ту же базу данных ADSync. Метод "использовать существующую базу данных" позволяет повторно использовать существующую базу данных ADSync с новым сервером Microsoft Entra Подключение. Он не поддерживает совместное использование.

Шаги по установке Microsoft Entra Подключение с режимом использования существующей базы данных

  1. Скачайте установщик Microsoft Entra Подключение (AzureAD Подключение.MSI) на сервер Windows. Дважды щелкните установщик Microsoft Entra Подключение, чтобы начать установку Microsoft Entra Подключение.
  2. После завершения установки MSI мастер Microsoft Entra Подключение начинается с установки режима Express. Закройте экран, щелкнув значок "Выход". Screenshot that shows the
  3. Запустите новую командную строку или сеанс PowerShell. Перейдите в папку "C:\Program Files\Microsoft Entra Подключение". Выполните команду .\AzureAD Подключение.exe /useexistingdatabase, чтобы запустить мастер microsoft Entra Подключение в режиме установки существующей базы данных.

Примечание.

Используйте параметр /UseExistingDatabase, только если база данных уже содержит данные из более ранней установки Microsoft Entra Подключение. Например, при переходе из локальной базы данных в полную базу данных SQL Server или при перестроении сервера Microsoft Entra Подключение и восстановлена резервная копия базы данных ADSync из более ранней установки Microsoft Entra Подключение. Если база данных пуста, то есть она не содержит данных из предыдущей установки Microsoft Entra Подключение, пропустите этот шаг.

PowerShell

  1. Вы приветствуете экран приветствия в Microsoft Entra Подключение. После принятия условий лицензии и заявления о конфиденциальности, щелкните Продолжить. Screenshot that shows the

  2. На экране Установить требующиеся компоненты включен параметр Использовать существующий SQL Server. Укажите имя сервера SQL, на котором размещена база данных ADSync. Если экземпляр ядра SQL, используемый для размещения базы данных, не является экземпляром по умолчанию сервера SQL, необходимо указать ядро SQL и имя экземпляра. Кроме того, если просмотр SQL не включен, также необходимо указать номер порта экземпляра ядра SQL. Например:
    Screenshot that shows the

  3. На экране Подключение идентификатора Microsoft Entra необходимо указать учетные данные гибридного удостоверения Администратор istrator каталога Microsoft Entra. Рекомендуется использовать учетную запись в домене onmicrosoft.com по умолчанию. Эта учетная запись используется только для создания учетной записи службы в идентификаторе Microsoft Entra и не используется после завершения работы мастера. Connect

  4. На экране Подключить каталоги имеющийся лес AD, настроенный для синхронизации каталогов, помечен красным значком с крестиком. Для синхронизации изменений из локального леса AD необходима учетная запись AD DS. Мастер microsoft Entra Подключение не может получить учетные данные учетной записи AD DS, хранящейся в базе данных ADSync, так как учетные данные шифруются и могут быть расшифрованы только предыдущим сервером Microsoft Entra Подключение. Щелкните Изменить учетные данные, чтобы указать учетную запись AD DS для леса AD. Directories

  5. Во всплывающем диалоговом окне можно указать учетные данные корпоративного Администратор и позволить Microsoft Entra Подключение создать учетную запись AD DS для вас или (ii) создать учетную запись AD DS самостоятельно и указать свои учетные данные Microsoft Entra Подключение. После выбора варианта и предоставления необходимых учетных данных щелкните ОК, чтобы закрыть всплывающее диалоговое окно. Screenshot that shows the pop-up dialog

  6. После предоставления учетных данных красный значок с крестиком заменяется зеленым значком с галочкой. Нажмите кнопку Далее. Screenshot that shows the

  7. На экране Все готово к настройке щелкните Установить. Welcome

  8. После завершения установки сервер Microsoft Entra Подключение автоматически включен для промежуточного режима. Перед отключением промежуточного режима рекомендуется проверить конфигурацию сервера и ожидающие операции экспорта на наличие неожиданных изменений.

Действия после установки

При восстановлении резервной копии базы данных, созданной версией Microsoft Entra Подключение до 1.2.65.0, промежуточный сервер автоматически выбирает метод входа в Do Not Configure. Хотя при этом будут восстановлены настройки синхронизации хэшей паролей и обратной записи паролей, вам придется позднее изменить метод входа в соответствии с политиками, действующими для активного сервера синхронизации. Невыполнение этих действий приведет к тому, что пользователи не смогут зарегистрироваться, когда этот сервер станет активным.

Следующая таблица поможет вам выбрать необходимые дополнительные шаги.

Компонент Шаги
Синхронизации хэша паролей Параметры синхронизации хэша паролей и обратной записи паролей полностью восстанавливаются для версий Microsoft Entra Подключение начиная с 1.2.65.0. Если восстановление с помощью более старой версии Microsoft Entra Подключение, просмотрите параметры синхронизации для этих функций, чтобы убедиться, что они соответствуют активному серверу синхронизации. Никаких других действий по настройке не требуется.
Федерация с AD FS Для проверки подлинности Azure будет и далее использоваться политика AD FS, настроенная для активного сервера синхронизации. Если вы используете Microsoft Entra Подключение для управления фермой AD FS, вы можете при необходимости изменить метод входа на федерацию AD FS при подготовке резервного сервера к тому, чтобы стать активным экземпляром синхронизации. Если на активном сервере синхронизации включены параметры синхронизации, их можно перенести на настраиваемый сервер с помощью задачи "Настройка параметров устройства".
Сквозная проверка подлинности и единый вход на рабочий стол Измените метод входа в соответствии с конфигурацией активного сервера синхронизации. Если вы не выполните это действие, прежде чем повысить уровень сервера до первичного, сквозная проверка подлинности и простой единый вход будут отключены и ваш арендатор не сможет выполнить вход, если не настроена синхронизация паролей как резервный метод входа. Также не забывайте, что при включении сквозной проверки подлинности в промежуточном режиме будет установлен и зарегистрирован новый агент аутентификации, который будет выполняться как агент высокого уровня доступности и принимать запросы на вход.
Федерация с PingFederate Для проверки подлинности Azure будет и далее использоваться политика PingFederate, настроенная для активного сервера синхронизации. Вы можете изменить метод входа на PingFederate в процессе подготовки резервного сервера к переключению в режим активного экземпляра синхронизации. Этот шаг можно отложить до того момента, пока вам понадобится добавить в федерацию с PingFederate дополнительные домены.

Следующие шаги