Share via

Рекомендации по развертыванию Microsoft Identity Manager с помощью SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Чтобы повысить вероятность успешного развертывания MIM в SharePoint Server, следуйте приведенным ниже рекомендациям.

Спланируйте миграцию из тестовой среды в рабочую

Планирование, планирование и еще раз планирование. Этот шаг нельзя переоценить. Большинство проблем связано именно с недостаточным планированием.

Правильная настройка службы синхронизации MIM в тестовой лаборатории и тщательное планирование миграции в рабочую среду позволят уменьшить количество проблем с развертыванием. Рекомендуется использовать небольшую тестовую среду, чтобы избежать обработки тысяч объектов при тестировании новых правил.

Создайте резервную копию исходной тестовой среды

После установки MIM и создания агентов управления создайте резервную копию базы данных синхронизации MIM. Так вы сможете воссоздать тестовую среду в любое время, загрузив резервную базу данных.

Проверьте процедуры резервного копирования и восстановления MIM

Регулярное резервное копирование необходимо для защиты данных от случайных потерь. Также рекомендуется протестировать процедуры резервного копирования и восстановления до возникновения аварийной ситуации. Для резервного копирования и восстановления MIM используйте инструменты операционной системы Windows Server 2012 R2 и SQL Server 2014.

Установите службу синхронизации MIM и SQL Server в одном домене

Во время настройки синхронизации MIM удаленный доступ к базе данных зависит от прав доступа текущей учетной записи входа, используемой для запуска программы установки. Убедитесь, что сервер под управлением Windows Server 2012 операционной системы R2, на котором размещается MIM, и сервер, на котором размещены SQL Server, находятся в одном домене и что учетная запись, используемая для запуска программы установки, имеет права доступа к серверу, на котором размещается SQL Server.

Настройте права доступа, если SQL Server установлен на удаленном сервере

Если вы устанавливаете SQL Server на удаленном компьютере, то есть не на том компьютере, на котором работает MIM, убедитесь, что политика учетной записи службы SQL Server разрешает доступ к этому компьютеру из сети. Если доступ запрещен, установить MIM не удастся.

Важно!

Если установить SQL Server на удаленном компьютере и разрешить сетевой доступ к удаленному компьютеру, вы получите предупреждение системы безопасности от установки MIM. В этом случае его можно проигнорировать.

Укажите порт TCP/IP для удаленного сервера под управлением SQL Server

Если экземпляр SQL Server, указанный при установке MIM, находится на удаленном компьютере, программа установки MIM использует порт TCP/IP по умолчанию. Если вы хотите указать другой порт, используйте инструменты SQL Server Client Network Utility (Windows\System32\cliconfg.exe) и Server Network Utility. Дополнительные сведения см. в электронной документации на SQL Server.

Используйте команду "Экспортировать агент управления" для резервного копирования агентов управления при каждом изменении правил

После экспорта агента управления можно использовать команду Импортировать агент управления для импорта определенной версии агента управления. Агенты управления также можно экспортировать и импортировать с помощью команд Экспортировать конфигурацию сервера и Импортировать конфигурацию сервера, но при этом импортируются все агенты управления, а также схема метавселенной. Дополнительные сведения о настройке и импорте см. в разделе Настройка агентов управления и импорт и экспорт конфигурации сервера.

Укажите атрибут displayName в метавселенной, чтобы результаты поиска было легче идентифицировать

При перечислении объектов в случае поиска по метавселенной MIM возвращает результаты, которым присвоен атрибут displayName. Если атрибут displayName не указан, результатам поиска будет присвоен глобальный уникальный идентификатор (GUID). Дополнительные сведения об использовании поиска метавселенной см. в разделе Использование поиска метавселенной.

Сделайте так, чтобы правила потока действовали на основании состояния объекта

Для определения следующего этапа синхронизации объекта используйте состояние объекта, а не событие, которое его вызвало.

Важно!

Не следует полагаться на декларативные правила или правила в расширении правил, которые будут оцениваться в указанном порядке при синхронизации объекта. Правила оцениваются неупорядоченно.

Отключите подготовку при первом переносе подключенных источников данных в метавселенную

При первом развертывании MIM рекомендуется выполнить миграцию и присоединение всех подключенных источников данных перед включением подготовки. Убедившись, что все успешно перенесено и присоединено, можно включить подготовку и запустить полную синхронизацию агентов управления, чтобы применить правила подготовки ко всем подключенным объектам. Дополнительные сведения о настройке правил подготовки см. в разделе Правила подготовки.

Установите для удаления пороговое значение в профиле выполнения, чтобы ограничить количество случайно удаленных объектов

Установите для удаления пороговое значение, чтобы ограничить количество случайно удаленных объектов при импорте или экспорте. При достижении этого значения агент управления остановится или не запустится. Дополнительные сведения см. в разделе Настройка агентов управления.

Используйте пространство соединителя поиска для анализа объектов

С помощью функции поиска пространства соединителя можно искать объекты в пространстве соединителя для агента управления. Объекты можно найти по имени или состоянию ошибки или по состоянию объекта (т. е. независимо от того, подключен ли он, отключен или ожидает импорта или экспорта).

Используйте предварительный просмотр для проверки синхронизации и устранения неполадок

Вы можете запускать пробную синхронизацию и просматривать результаты, не внося изменения в метавселенную. Вы также можете проверять новые расширения правил и устранять ошибки синхронизации из-за сбоев объединения или нарушений схемы.

Настройте профиль периодического выполнения с помощью синхронизации изменений для автоматической обработки разъединителей

Объекты, которые не могут подключиться, не переоцениваются на этапе профиля выполнения синхронизации изменений и импорта изменений и могут оставаться разъединителями. Периодическое выполнение синхронизации изменений позволит переоценивать и обрабатывать эти разъединители. Дополнительные сведения о выполнении шагов профиля см. в разделе Настройка агентов управления.

Регулярно сохраняйте и очищайте историю запуска агентов управления с помощью функции операций

Операции записывают журнал каждого запуска агента управления. Каждый журнал выполнения агента управления сохраняется в базе данных SQL Server, что может привести к росту базы данных с течением времени, что влияет на производительность. Журнал выполнения можно сохранить с помощью операций. Дополнительные сведения об использовании операций см. в разделе Использование операций.

Примечание.

[!Примечание] Удаление сведений о большом количестве запусков за раз может занять много времени. Рекомендуется удалять не более 100 запусков одновременно.

Используйте несколько разделов для управления синхронизацией отдельных типов объектов

Чтобы управлять синхронизацией отдельных типов объектов в файловом агенте управления, создайте раздел для каждого из них. Например, чтобы синхронизировать типы объектов mailbox и group, создайте два раздела в агенте управления и назначьте mailbox для одного из них и group — для другого. Затем создайте профиль выполнения агента управления для каждого раздела. В этой конфигурации у вас есть один агент управления с возможностью синхронизации одного или обоих выбранных типов объектов. Дополнительные сведения об использовании секций см. в разделе Метавселенная и пространство соединителя.

Планирование мощности

Существует ряд переменных, которые могут повлиять на общую производительность развертывания MIM.

Производительность может ухудшиться из-за небольшого размера баз данных в системе при создании и их автоматического увеличения, особенно с небольшим шагом. Требуется не менее 16 ГБ ОЗУ для серверов SQL Server, но вы сможете воспользоваться дополнительным объемом памяти. На серверах SQL должно быть не менее 16 ядер ЦП, но больше ядер поможет повысить общую производительность.

Наконец, не рекомендуется запускать базы данных MIM и SharePoint вместе на одном сервере.

Высокая доступность

Решение MIM разработано с учетом требований к высокой доступности и лишено единых точек отказа. Для обеспечения высокой доступности следует учитывать следующие компоненты:

Примечание.

Сведения в этом разделе носят исключительно рекомендательный характер.

  • Служба синхронизации MIM . Хотя кластеризация службы синхронизации MIM не поддерживается, можно развернуть сервер горячего резервирования, чтобы предположить рабочую нагрузку основной службы в случае сбоя. Однако сбой оборудования не должен быть проблемой, так как служба синхронизации MIM будет работать на виртуальной машине, размещенной на нескольких физических узлах. Кроме того, в случае сбоя программного обеспечения виртуальная машина, на котором размещен сервер синхронизации, может быть быстро восстановлена из предыдущей резервной копии или восстановлена с нуля. Время простоя этой службы не влияет на взаимодействие конечных пользователей с решением. Это только отложит выполнение всех запросов на подготовку доступа и отзыв. Когда служба будет возвращена в режим "в сети", эти операции возобновятся без потери данных. Служба синхронизации MIM будет подключена к той же базе данных SQL Server, что и основной экземпляр, и должна быть активирована с помощью скрипта, если первичный экземпляр выйдет из строя и не может быть своевременно перезапущен. Обратите внимание, что агент управления MIM, используемый для синхронизации данных между базой данных службы синхронизации MIM и базой данных службы MIM, должен указывать на локальный экземпляр службы MIM.

  • SQL Server . Для обеспечения высокой доступности уровня базы данных решение MIM требует SQL Server кластера. Кластер MIM будет состоять из двух серверов со спецификациями, описанными в предыдущих абзацах. Несмотря на то, что на каждом узле SQL установлены оба экземпляра SQL, только один из двух экземпляров будет активен в данный момент времени.

    Конструкция предусматривает эффективное использование кластерных виртуальных машин без превышения нагрузки на каждый узел, из-за чего оба могут выйти из строя в случае отработки отказа.

    Так как базы данных размещены на удаленном сервере SQL Server, скорость сетевого подключения между серверами MIM и серверами SQL Server должна составлять 1 Гбит. Сеть со скоростью 100 Мбит не обеспечит достаточную пропускную способность и снизит скорость синхронизации на 20–30 %.

Всегда используйте "Импорт Active Directory" в качестве параметра синхронизации в Центре администрирования профилей пользователей

Если вы планируете использовать службу синхронизации MIM, не выбирайте ее. Вместо этого выберите параметр Использовать импорт SharePoint Active Directory . Существует известная проблема с компиляцией аудитории и атрибутом Manager, если выбран параметр Включить диспетчер внешних удостоверений .

Примечание.

Эта проблема устранена в обновлении SharePoint Server 2016 от 21 февраля 2017 г. (KB3141517).

Придерживайтесь выбранного способа синхронизации

При переключении с одного типа синхронизации на другой с помощью настройки параметров синхронизации на веб-сайте центра администрирования SharePoint при запуске импорта в экземпляре соединителя SharePoint возникнут проблемы, связанные с отсутствием возвращаемых объектов и отсутствием результатов в журналах ULS.

Инструкции по восстановлению в случае изменения такого способа см. в статье SharePoint 2016: проблемы, связанные со сменой типа синхронизации, то есть с переходом от импорта AD (UPA) к использованию внешнего диспетчера удостоверений (MIM) и наоборот.

Экспорт изображений из SharePoint в Active Directory

Microsoft Identity Manager поддерживает экспорт изображений профилей пользователей из SharePoint в Active Directory.

Интеграция с BCS для поддержки дополнительных свойств профилей отсутствует

В MIM нет интеграции с Business Connectivity Services для поддержки свойств профилей. Для этой цели можно настроить соединители вручную.

Свойства профилей пользователей

На серверах SharePoint можно создать новые свойства профиля пользователя; однако сопоставления создаются не в SharePoint, а в MIM.

Имя NetBios

Если выбран внешний диспетчер удостоверений и имя NetBIOS вашего домена отличается от полного доменного имени (FQDN), в приложении-службе профилей пользователей сразу после его создания необходимо включить свойство NetBIOSDomainNamesEnabled.

Выполняйте синхронизацию по защищенному каналу

Так как синхронизация часто включает личные сведения, рекомендуется выполнять синхронизацию по защищенному каналу, такому как HTTPS или LDAPS.

См. также

Другие ресурсы

Обзор службы синхронизации Microsoft Identity Manager в SharePoint Server