Azure AD Connect sync: Scheduler

Det här avsnittet beskriver den inbyggda schemaläggaren i Azure AD Connect-synkronisering (synkroniseringsmotor).

Den här funktionen introducerades med version 1.1.105.0 (släpptes februari 2016).

Översikt

Azure AD Anslut synkronisering synkroniserar ändringar som inträffar i din lokala katalog med hjälp av en schemaläggare. Det finns två schemaläggningsprocesser, en för lösenordssynkronisering och en annan för synkronisering av objekt/attribut och underhållsaktiviteter. Det här avsnittet beskriver det senare.

I tidigare versioner var schemaläggaren för objekt och attribut utanför synkroniseringsmotorn. Den använde Windows schemaläggare eller en separat Windows-tjänst för att utlösa synkroniseringsprocessen. Schemaläggaren är med 1.1-versionerna inbyggda i synkroniseringsmotorn och tillåter viss anpassning. Den nya standardsynkroniseringsfrekvensen är 30 minuter.

Schemaläggaren ansvarar för två uppgifter:

  • Synkroniseringscykel. Processen för att importera, synkronisera och exportera ändringar.
  • Underhållsaktiviteter. Förnya nycklar och certifikat för lösenordsåterställning och enhetsregistreringstjänsten (DRS). Rensa gamla poster i driftloggen.

Själva schemaläggaren körs alltid, men den kan konfigureras för att endast köra en eller ingen av dessa uppgifter. Om du till exempel behöver ha en egen synkroniseringscykelprocess kan du inaktivera den här aktiviteten i schemaläggaren men ändå köra underhållsaktiviteten.

Viktigt

Som standard körs en synkroniseringscykel var 30:e minut. Om du har ändrat synkroniseringscykeln måste du se till att en synkroniseringscykel körs minst en gång var sjunde dag.

  • En deltasynkronisering måste ske inom 7 dagar från den senaste deltasynkroniseringen.
  • En deltasynkronisering (efter en fullständig synkronisering) måste ske inom 7 dagar från det att den senaste fullständiga synkroniseringen slutfördes.

Om du inte gör det kan det orsaka synkroniseringsproblem som kräver att du kör en fullständig synkronisering för att lösa problemet. Detta gäller även för servrar i mellanlagringsläge.

Scheduler-konfiguration

Om du vill se dina aktuella konfigurationsinställningar går du till PowerShell och kör Get-ADSyncScheduler. Den visar något som liknar den här bilden:

GetSyncScheduler

Om du ser Synkroniseringskommandot eller cmdleten är inte tillgängligt när du kör den här cmdleten läses inte PowerShell-modulen in. Det här problemet kan inträffa om du kör Azure AD Anslut på en domänkontrollant eller på en server med högre PowerShell-begränsningsnivåer än standardinställningarna. Om du ser det här felet kör Import-Module ADSync du för att göra cmdleten tillgänglig.

  • AllowedSyncCycleInterval. Det kortaste tidsintervallet mellan synkroniseringscykler som tillåts av Azure AD. Du kan inte synkronisera oftare än den här inställningen och stöds fortfarande.
  • CurrentlyEffectiveSyncCycleInterval. Schemat gäller för närvarande. Det har samma värde som CustomizedSyncInterval (om det anges) om det inte är vanligare än AllowedSyncInterval. Om du använder en version före 1.1.281 och ändrar CustomizedSyncCycleInterval börjar den här ändringen gälla efter nästa synkroniseringscykel. Från version 1.1.281 börjar ändringen gälla omedelbart.
  • CustomizedSyncCycleInterval. Om du vill att schemaläggaren ska köras med någon annan frekvens än standardvärdet 30 minuter konfigurerar du den här inställningen. I bilden ovan har schemaläggaren ställts in på att köras varje timme i stället. Om du ställer in den här inställningen på ett värde som är lägre än AllowedSyncInterval används den senare.
  • NextSyncCyclePolicyType. Antingen Delta eller Initial. Definierar om nästa körning endast ska bearbeta deltaändringar, eller om nästa körning ska göra en fullständig import och synkronisering. Det senare skulle också omarbeta alla nya eller ändrade regler.
  • NextSyncCycleStartTimeInUTC. Nästa gång schemaläggaren startar nästa synkroniseringscykel.
  • PurgeRunHistoryInterval. Tidsåtgärdsloggarna ska behållas. Dessa loggar kan granskas i hanteraren för synkroniseringstjänsten. Standardvärdet är att behålla dessa loggar i 7 dagar.
  • SyncCycleEnabled. Anger om schemaläggaren kör import-, synkroniserings- och exportprocesserna som en del av åtgärden.
  • MaintenanceEnabled. Visar om underhållsprocessen är aktiverad. Den uppdaterar certifikaten/nycklarna och rensar driftloggen.
  • StagingModeEnabled. Visar om mellanlagringsläget är aktiverat. Om den här inställningen är aktiverad förhindras exporterna från att köras men kör fortfarande import och synkronisering.
  • SchedulerSuspended. Anges av Anslut under en uppgradering för att tillfälligt blockera schemaläggaren från att köras.

Du kan ändra några av de här inställningarna med Set-ADSyncScheduler. Följande parametrar kan ändras:

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

I tidigare versioner av Azure AD Connect exponerades isStagingModeEnabled i Set-ADSyncScheduler. Det stöds inte att ange den här egenskapen. Egenskapen SchedulerSuspended bör endast ändras av Anslut. Det stöds inte att ange detta med PowerShell direkt.

Scheduler-konfigurationen lagras i Azure AD. Om du har en mellanlagringsserver påverkar alla ändringar på den primära servern även mellanlagringsservern (förutom IsStagingModeEnabled).

CustomizedSyncCycleInterval

Syntax: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dagar, HH - timmar, mm - minuter, ss - sekunder

Exempel: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Ändrar schemaläggaren så att den körs var 3:e timme.

Exempel: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Ändringar ändrar schemaläggaren så att den körs dagligen.

Inaktivera schemaläggaren

Om du behöver göra konfigurationsändringar vill du inaktivera schemaläggaren. Till exempel när du konfigurerar filtrering eller gör ändringar i synkroniseringsregler.

Om du vill inaktivera schemaläggaren kör du Set-ADSyncScheduler -SyncCycleEnabled $false.

Inaktivera schemaläggaren

När du har gjort dina ändringar ska du inte glömma att aktivera schemaläggaren igen med Set-ADSyncScheduler -SyncCycleEnabled $true.

Starta schemaläggaren

Schemaläggaren körs som standard var 30:e minut. I vissa fall kanske du vill köra en synkroniseringscykel mellan de schemalagda cyklerna eller så måste du köra en annan typ.

Deltasynkroniseringscykel

En deltasynkroniseringscykel innehåller följande steg:

  • Deltaimport för alla anslutningsappar
  • Deltasynkronisering för alla anslutningsappar
  • Exportera på alla anslutningsappar

Fullständig synkroniseringscykel

En fullständig synkroniseringscykel innehåller följande steg:

  • Fullständig import för alla anslutningsappar
  • Fullständig synkronisering för alla anslutningsappar
  • Exportera på alla anslutningsappar

Det kan vara så att du har en brådskande ändring som måste synkroniseras omedelbart, vilket är anledningen till att du behöver köra en cykel manuellt.

Om du behöver köra en synkroniseringscykel manuellt kör du från PowerShell Start-ADSyncSyncCycle -PolicyType Delta.

Starta en fullständig synkroniseringscykel genom att köra Start-ADSyncSyncCycle -PolicyType Initial från en PowerShell-kommandotolk.

Det kan ta mycket lång tid att köra en fullständig synkroniseringscykel. Läs nästa avsnitt för att läsa om hur du optimerar den här processen.

Synkroniseringssteg som krävs för olika konfigurationsändringar

Olika konfigurationsändringar kräver olika synkroniseringssteg för att säkerställa att ändringarna tillämpas korrekt på alla objekt.

  • Fler objekt eller attribut som ska importeras från en källkatalog har lagts till (genom att synkroniseringsreglerna läggs till/ändras)
    • En fullständig import krävs för anslutningsappen för källkatalogen
  • Gjorde ändringar i synkroniseringsreglerna
    • En fullständig synkronisering krävs i anslutningsprogrammet för de ändrade synkroniseringsreglerna
  • Ändrad filtrering så att ett annat antal objekt ska inkluderas
    • En fullständig import krävs för anslutningsappen för varje AD-anslutningsapp om du inte använder attributbaserad filtrering baserat på attribut som redan importeras till synkroniseringsmotorn

Anpassa en synkroniseringscykel kör rätt blandning av delta- och fullständig synkroniseringssteg

För att undvika att köra en fullständig synkroniseringscykel kan du markera specifika anslutningsappar för att köra ett fullständigt steg med hjälp av följande cmdletar.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Exempel: Om du har gjort ändringar i synkroniseringsreglerna för anslutningsappen "AD Forest A" som inte kräver att några nya attribut importeras kör du följande cmdletar för att köra en deltasynkroniseringscykel som även utförde ett steg för fullständig synkronisering för anslutningsprogrammet.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Exempel: Om du har gjort ändringar i synkroniseringsreglerna för anslutningsappen "AD Forest A" så att de nu kräver att ett nytt attribut importeras, kör du följande cmdletar för att köra en deltasynkroniseringscykel som också gjorde ett steg för fullständig import och fullständig synkronisering för anslutningsprogrammet.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Stoppa schemaläggaren

Om schemaläggaren för närvarande kör en synkroniseringscykel kan du behöva stoppa den. Om du till exempel startar installationsguiden och får det här felet:

Skärmbild som visar felmeddelandet Det går inte att ändra konfigurationen.

När en synkroniseringscykel körs kan du inte göra konfigurationsändringar. Du kan vänta tills schemaläggaren har slutfört processen, men du kan också stoppa den så att du kan göra dina ändringar omedelbart. Det är inte skadligt att stoppa den aktuella cykeln och väntande ändringar bearbetas vid nästa körning.

  1. Börja med att be schemaläggaren att stoppa sin aktuella cykel med PowerShell-cmdleten Stop-ADSyncSyncCycle.

  2. Om du använder en version före 1.1.281 stoppas inte den aktuella anslutningsappen från den aktuella aktiviteten om du stoppar schemaläggaren. Utför följande åtgärder för att tvinga anslutningsappen att stoppa:

    Skärmbild som visar synkronisering Service Manager med anslutningsappar markerade och en anslutningsapp som körs markerad med åtgärden Stoppa markerad.

    • Starta synkroniseringstjänsten från Start-menyn. Gå till Anslutningsappar, markera anslutningsappen med tillståndet Körs och välj Stoppa från Åtgärderna.

Schemaläggaren är fortfarande aktiv och startar igen vid nästa affärsmöjlighet.

Anpassad schemaläggare

De cmdletar som beskrivs i det här avsnittet är endast tillgängliga i version 1.1.130.0 och senare.

Om den inbyggda schemaläggaren inte uppfyller dina krav kan du schemalägga anslutningsapparna med hjälp av PowerShell.

Invoke-ADSyncRunProfile

Du kan starta en profil för ett anslutningsprogram på det här sättet:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Namnen som ska användas för anslutningsappens namn och Körningsprofilnamn finns i användargränssnittet för synkronisering Service Manager.

Anropa körningsprofil

Cmdleten Invoke-ADSyncRunProfile är synkron, d.v.s. den returnerar inte kontrollen förrän anslutningsappen har slutfört åtgärden, antingen korrekt eller med ett fel.

När du schemalägger dina anslutningsappar rekommenderar vi att du schemalägger dem i följande ordning:

  1. (Fullständig/Delta) Importera från lokala kataloger, till exempel Active Directory
  2. (Fullständig/Delta) Importera från Azure AD
  3. (Fullständig/Delta) Synkronisering från lokala kataloger, till exempel Active Directory
  4. (Fullständig/Delta) Synkronisering från Azure AD
  5. Exportera till Azure AD
  6. Exportera till lokala kataloger, till exempel Active Directory

Den här ordningen är hur den inbyggda schemaläggaren kör anslutningsapparna.

Get-ADSyncConnectorRunStatus

Du kan också övervaka synkroniseringsmotorn för att se om den är upptagen eller inaktiv. Den här cmdleten returnerar ett tomt resultat om synkroniseringsmotorn är inaktiv och inte kör ett anslutningsprogram. Om ett anslutningsprogram körs returneras namnet på anslutningsappen.

Get-ADSyncConnectorRunStatus

Körningsstatus för anslutningsapp
I bilden ovan är den första raden från ett tillstånd där synkroniseringsmotorn är inaktiv. Den andra raden från när Azure AD Connector körs.

Scheduler och installationsguiden

Om du startar installationsguiden pausas schemaläggaren tillfälligt. Detta beror på att det förutsätts att du gör konfigurationsändringar och de här inställningarna kan inte tillämpas om synkroniseringsmotorn körs aktivt. Därför ska du inte lämna installationsguiden öppen eftersom den hindrar synkroniseringsmotorn från att utföra några synkroniseringsåtgärder.

Nästa steg

Läs mer om synkroniseringskonfigurationen för Azure AD Connect.

Läs mer om hur du integrerar dina lokala identiteter med Azure Active Directory.