Факторы, влияющие на производительность Microsoft Entra Подключение

  • Статья

Microsoft Entra Подключение синхронизирует Active Directory с идентификатором Microsoft Entra. Этот сервер имеет огромное значение при переносе удостоверений пользователей в облако. Основными факторами, влияющими на производительность Подключение Microsoft Entra, являются:

Фактор проектирования Определение
Топология Распределение конечных точек и компонентов Microsoft Entra Подключение должно управлять в сети.
Масштабировать Количество объектов, таких как пользователи, группы и подразделения, которыми управляет Microsoft Entra Подключение.
Оборудование Оборудование (физическое или виртуальное) для microsoft Entra Подключение и зависимой производительности каждого аппаратного компонента, включая ЦП, память, сеть и конфигурацию жесткого диска.
Настройка Как Microsoft Entra Подключение обрабатывает каталоги и сведения.
Загрузить Частота изменений объектов. Нагрузки могут меняться в течение часа, дня или недели. В зависимости от компонента может потребоваться разработка с учетом пиковой или средней нагрузки.

Цель этого документа — описать факторы, влияющие на производительность подсистемы подготовки Microsoft Entra Подключение. Крупные или сложные организации (организации, подготавливающие более 100 000 объектов), могут использовать рекомендации для оптимизации реализации Microsoft Entra Подключение, если они испытывают какие-либо проблемы с производительностью, описанные здесь. Другие компоненты Microsoft Entra Подключение, такие как Microsoft Entra Подключение Работоспособность и агенты, не рассматриваются здесь.

Важно!

Корпорация Майкрософт не поддерживает изменение или операционную Подключение Microsoft Entra за пределами официально документированных действий. Любое из этих действий может привести к несогласованным или неподдерживаемому состоянию Microsoft Entra Подключение Sync. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.

Факторы компонентов Microsoft Entra Подключение

На следующей схеме показана подробная архитектура модуля подготовки, подключенного к одному лесу, несмотря на то, что поддерживаются несколько лесов. В этой архитектуре показано, как различные компоненты взаимодействуют друг с другом.

Diagram shows how the Connected Directories and Microsoft Entra Connect provisioning engine interact, including Connector Space and Metaverse components in an SQL Database.

Модуль подготовки подключается к каждому лесу Active Directory и к идентификатору Microsoft Entra. Процесс считывания информации с каждого каталога называется "импорт". Экспорт относится к обновлению каталогов из модуля подготовки. Синхронизация оценивает правила передачи объектов в модуль подготовки. Дополнительные сведения см. в статье Microsoft Entra Подключение Sync: общие сведения об архитектуре.

Microsoft Entra Подключение использует следующие промежуточные области, правила и процессы, чтобы разрешить синхронизацию с Active Directory с идентификатором Microsoft Entra:

  • Пространство соединителя — объекты из каждого подключенного каталога, фактические каталоги, помещаются на промежуточное хранение сначала здесь, прежде чем их обработает соответствующий модуль. Идентификатор Microsoft Entra id имеет собственную CS, и каждый лес, к которому вы подключаетесь, имеет собственную CS.
  • Метавселенная — объекты, которые необходимо синхронизировать, создаются здесь на основе правил синхронизации. Объекты должны существовать в метавселенной, прежде чем они могут заполнить объекты и атрибуты в других подключенных каталогах. Есть только одна метавселенная.
  • Правила синхронизации — определяют, какие объекты будут созданы (спроектированы) или подключены (присоединены) к объектам в метавселенной. Правила синхронизации также определяют, какие значения атрибутов будут скопированы или преобразованы в каталоги и из них.
  • Профили выполнения — создают пакеты этапов процесса копирования объектов и значений их атрибутов в соответствии с правилами синхронизации между промежуточными областями и подключенными каталогами.

Для оптимизации производительности модуля подготовки существуют разные профили выполнения. Большинство организаций для обычных операций будут использовать расписания по умолчанию и профили выполнения, но некоторым организациям может потребоваться изменить расписание или активировать другие профили выполнения, учитывающие редкие ситуации. Доступны следующие профили выполнения.

Профиль начальной синхронизации

Профиль начальной синхронизации — это процесс чтения подключенных каталогов, например леса Active Directory, в первый раз. Затем выполняется анализ всех записей в базе данных модуля синхронизации. Начальный цикл создаст новые объекты в идентификаторе Microsoft Entra ID и займет дополнительное время, если леса Active Directory являются большими. Начальная синхронизация включает следующие этапы:

  1. Полный импорт во всех соединителях.
  2. Полная синхронизация во всех соединителях.
  3. Экспорт во всех соединителях.

Профиль синхронизации изменений

Чтобы оптимизировать процесс синхронизации, этот профиль выполнения только обрабатывает изменения (операции создания, удаления и обновления) объектов в подключенных каталогах с момента последнего процесса синхронизации. По умолчанию профиль синхронизации изменений запускается каждые 30 минут. Организации должны стремиться сохранить время до 30 минут, чтобы убедиться, что идентификатор Microsoft Entra обновлен. Чтобы отслеживать работоспособность microsoft Entra Подключение, используйте агент мониторинга работоспособности, чтобы просмотреть все проблемы с процессом. Профиль синхронизации изменений включает следующие этапы:

  1. Импорт изменений во всех соединителях.
  2. Синхронизация изменений во всех соединителях.
  3. Экспорт во всех соединителях.

Ниже приведен типичный корпоративный сценарий синхронизации изменений организации:

  • примерно 1 % объектов удалено;
  • примерно 1 % объектов создано;
  • примерно 5 % объектов изменено.

Скорость изменения зависит от периодичности обновления пользователей в Active Directory в вашей организации. Например, большая скорость изменений может возникнуть в связи с сезонными колебаниями найма и сокращения сотрудников.

Профиль полной синхронизации

Цикл полной синхронизации необходим, если внесено одно из следующих изменений конфигурации:

  • Увеличена область объектов или атрибутов для импорта из подключенных каталогов. Например, при добавлении домена или подразделения в область импорта.
  • Внесены изменения в правила синхронизации. Например, при создании нового правила для заполнения заголовка пользователя в идентификаторе Microsoft Entra из extension_attribute3 в Active Directory. Для этого обновления требуется, чтобы модуль подготовки повторно проверил всех имеющихся пользователей и обновил их должности, чтобы применить изменение в дальнейшем.

Цикл полной синхронизации включает следующие операции:

  1. Полный импорт во всех соединителях.
  2. Полная синхронизация и синхронизация изменений во всех соединителях.
  3. Экспорт во всех соединителях.

Примечание.

Тщательное планирование необходимо при выполнении массовых обновлений для многих объектов в идентификаторе Active Directory или Microsoft Entra. При выполнении массовых обновлений процесс синхронизации изменений займет больше времени во время импорта, так как изменено большое количество объектов. Импорт может длится долго, даже если массовые обновления не повлияли на процесс синхронизации. Например, назначение лицензий многим пользователям в идентификаторе Записи Майкрософт приведет к длительному циклу импорта из идентификатора Microsoft Entra, но не приведет к изменениям атрибутов в Active Directory.

Синхронизация

Среда выполнения процесса синхронизации имеет следующие характеристики производительности:

  • Синхронизация является однопоточной, а это означает, что модуль подготовки не выполняет параллельную обработку профилей выполнения подключенных каталогов, объектов или атрибутов.
  • Время импорта растет линейно с количеством синхронизируемых объектов. Например, если импорт 10 000 объектов занимает 10 минут, то импорт 20 000 объектов займет около 20 минут на том же сервере.
  • Экспорт также линейный.
  • Период синхронизации будет увеличиваться экспоненциально в зависимости от числа объектов со ссылками на другие объекты. Членства в группах и вложенные группы больше всего влияют на производительность, так как участники групп ссылаются на объекты пользователя или другие группы. Эти ссылки необходимо найти и они должны вести к фактическим объектам в метавселенной, чтобы завершить цикл синхронизации.
  • Изменение члена группы приведет к повторной оценке всех участников группы. Например, если у вас есть группа с участниками 50K и вы обновляете только 1 член, это приведет к активации синхронизации всех 50K участников.

Фильтрация

Размер топологии Active Directory, которую необходимо импортировать, — это самый главный фактор, влияющий на производительность и общее время, которое уходит на обработку внутренних компонентов модуля подготовки.

Чтобы сократить количество объектов до количества синхронизированных объектов, следует использовать фильтрацию. Это позволит предотвратить обработку и экспорт ненужных объектов в идентификатор Microsoft Entra. Доступны следующие методы фильтрации (в порядке предпочтения):

  • Фильтрация на основе домена — используйте этот параметр, чтобы выбрать определенные домены для синхронизации с идентификатором Microsoft Entra. После установки Microsoft Entra Подключение Sync необходимо добавить и удалить домены из конфигурации подсистемы синхронизации.
  • Фильтрация подразделения организации — использует подразделения для целевых объектов в доменах Active Directory для подготовки к идентификатору Microsoft Entra. Фильтрация подразделений — это второй рекомендуемый механизм фильтрации, так как в нем используются простые запросы области LDAP для импорта меньшего подмножества объектов из Active Directory.
  • Фильтрация атрибутов для каждого объекта — использует значения атрибутов для объектов, чтобы определить, подготовлен ли конкретный объект в Active Directory в идентификаторе Microsoft Entra. Фильтрация атрибутов отлично подходит для точной настройки фильтров, если фильтрация доменов и подразделений не соответствует требованиям конкретной фильтрации. Фильтрация атрибутов не сокращает период импорта, но можно уменьшить период синхронизации и экспорта.
  • Фильтрация на основе групп — использует членство в группах для определения необходимости подготовки объектов в идентификаторе Microsoft Entra. Фильтрация на основе группы подходит только для тестирования и не рекомендуется для рабочей среды из-за дополнительной нагрузки в результате проверки членства в группе во время цикла синхронизации.

Наличие большого количества постоянных объектов разъединителя в пространстве соединителя Active Directory может привести к длительной синхронизации, так как модулю подготовки необходимо пересчитать каждый объект разъединителя для возможного подключения в цикле синхронизации. Чтобы решить эту проблему, рассмотрите одну из следующих рекомендаций:

  • Разместите объекты разъединителя за пределами области действия импорта с помощью фильтрации по доменам или фильтрации подразделения.
  • Project/join the objects to the MV and set the cloudFiltered attribute equal to True, чтобы предотвратить подготовку этих объектов в MICROSOFT Entra CS.

Примечание.

При фильтрации слишком большого количества объектов пользователи могут запутаться или могут возникнуть проблемы с разрешениями приложения. К примеру, в гибридной реализации Exchange Online пользователи с локальными почтовыми ящиками будут видеть большее количество пользователей в глобальном списке адресов, чем пользователи с почтовыми ящиками в Exchange Online. В других случаях пользователь может предоставить доступ в облачном приложении другому пользователю, который не входит в область отфильтрованного набора объектов.

Потоки атрибутов

Потоки атрибутов — это процесс копирования или преобразования значений атрибутов объектов из одного подключенного каталога в другой подключенный каталог. Они определены как часть правил синхронизации. Например, когда номер телефона пользователя изменяется в Active Directory, номер телефона в идентификаторе Microsoft Entra будет обновлен. Организации могут изменить потоки атрибутов в соответствии с различными требованиями. Мы рекомендуем скопировать имеющиеся потоки атрибутов, прежде чем изменять их.

Простые перенаправления, например передача значения атрибута другому атрибуту, не оказывают существенное влияние на производительность. Пример перенаправления — поток мобильного номера в Active Directory на номер телефона office в идентификаторе Microsoft Entra.

Преобразование значений атрибутов может негативно повлиять на производительность в процессе синхронизации. Преобразование значений атрибутов включает в себя изменение, форматирование, объединение или вычитание значений атрибутов.

Организации могут предотвратить поток определенных атрибутов в идентификатор Microsoft Entra, но это не влияет на производительность подсистемы подготовки.

Примечание.

Не удаляйте нежелательные потоки атрибутов в правилах синхронизации. Рекомендуется отключить их, так как удаленные правила повторно создаются во время обновления Microsoft Entra Подключение.

Факторы зависимостей Microsoft Entra Подключение

Производительность microsoft Entra Подключение зависит от производительности подключенных каталогов, в которые он импортирует и экспортирует. Например, размер Active Directory необходимо импортировать или задержку сети в службу Microsoft Entra. База данных SQL, которую использует подсистема подготовки, также влияет на общую производительность цикла синхронизации.

Факторы Active Directory

Как упоминалось ранее, количество импортируемых объектов значительно влияет на производительность. Оборудование и предварительные требования для Microsoft Entra Подключение очертить определенные уровни оборудования на основе размера развертывания. Microsoft Entra Подключение поддерживать только определенные топологии, как описано в топологиях для Microsoft Entra Подключение. Для неподдерживаемых топологий не предусмотрены оптимизация производительности и рекомендации.

Убедитесь, что сервер Microsoft Entra Подключение соответствует требованиям к оборудованию на основе размера Active Directory, который вы хотите импортировать. Плохое или медленное сетевое подключение между сервером Microsoft Entra Подключение и контроллерами домена Active Directory может замедлить импорт.

Факторы идентификатора Microsoft Entra

Идентификатор Microsoft Entra использует регулирование для защиты облачной службы от атак типа "отказ в обслуживании" (DoS). В настоящее время идентификатор Microsoft Entra ID имеет ограничение регулирования в 7000 записей за 5 минут (84 000 в час). Например, можно регулировать следующие операции:

  • Microsoft Entra Подключение экспортировать в идентификатор Microsoft Entra.
  • Скрипты Или приложения PowerShell обновляют идентификатор Microsoft Entra напрямую даже в фоновом режиме, например членство в динамических группах.
  • Обновление записей удостоверений пользователей, например регистрация для MFA или SSPR (самостоятельный сброс пароля).
  • Операции в графическом пользовательском интерфейсе.

Запланируйте задачи развертывания и обслуживания, чтобы убедиться, что цикл синхронизации Microsoft Entra Подключение не влияет на ограничения регулирования. Например, при значительном расширении штата, когда вы создаете тысячи удостоверений пользователей, могут обновится динамические членства в группах, будут назначены лицензии и может быть выполнена регистрация для самостоятельного сброса пароля. Лучше распределить эти операции записи на несколько часов или дней.

Факторы базы данных SQL

Размер исходной топологии Active Directory влияет на производительность базы данных SQL. Выполните необходимые условия для оборудования для базы данных SQL Server и учтите следующие рекомендации:

  • Организации с более чем 100 000 пользователей могут уменьшить сетевые задержки, разместив базу данных SQL и модуль подготовки на одном сервере.
  • Протокол именованных каналов SQL не поддерживается, так как он приводит к значительным задержкам в цикле синхронизации и должен быть отключен в диспетчер конфигурации SQL Server в рамках собственных клиентов SQL и сети SQL Server. Обратите внимание, что изменение конфигурации именованных каналов вступило в силу только после перезапуска баз данных и служб ADSync.
  • Из-за высоких требований к входным и выходным данным диска (операции ввода-вывода) процесса синхронизации используйте твердотельные накопители (SSD) для базы данных SQL модуля подготовки, чтобы получить оптимальные результаты. Если это невозможно, рассмотрите конфигурации RAID 0 или RAID 1.
  • Не выполняйте полную синхронизацию раньше, чем это необходимо, так как она приводит к ненужной нагрузке и увеличению времени отклика.

Заключение

Чтобы оптимизировать производительность реализации Microsoft Entra Подключение, рассмотрите следующие рекомендации:

  • Используйте рекомендуемую конфигурацию оборудования на основе размера реализации для сервера Microsoft Entra Подключение.
  • При обновлении Microsoft Entra Подключение в крупномасштабных развертываниях рекомендуется использовать метод миграции качели, чтобы обеспечить минимальное время простоя и оптимальную надежность.
  • Для высокой производительности операций записи используйте SSD в базе данных SQL.
  • Отфильтруйте область Active Directory, чтобы включить только объекты, которые необходимо подготовить в идентификаторе Microsoft Entra, используя домен, подразделение или фильтрацию атрибутов.
  • Если требуется изменить правила передачи атрибутов по умолчанию, сначала скопируйте правило, а затем измените копию и отключите исходное правило. Не забудьте повторно выполнить полную синхронизацию.
  • Выделите достаточное количество времени для профиля выполнения начальной полной синхронизации.
  • Постарайтесь завершить цикл синхронизации изменений в течение 30 минут. Если профиль синхронизации изменений не завершается в течение 30 минут, добавьте в частоту синхронизации по умолчанию цикл полной синхронизации изменений.
  • Отслеживайте работоспособность синхронизации Microsoft Entra Подключение в идентификаторе Microsoft Entra.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.