Faktorer som påverkar prestanda för Microsoft Entra Anslut

  • Artikel

Microsoft Entra Anslut synkroniserar din Active Directory med Microsoft Entra-ID. Den här servern är en viktig komponent för att flytta dina användaridentiteter till molnet. De viktigaste faktorerna som påverkar prestanda för en Microsoft Entra-Anslut är:

Designfaktor Definition
Topologi Distributionen av slutpunkter och komponenter som Microsoft Entra Anslut måste hantera i nätverket.
Skala Antalet objekt som användare, grupper och organisationsenheter som ska hanteras av Microsoft Entra Anslut.
Maskinvara Maskinvaran (fysisk eller virtuell) för Microsoft Entra-Anslut och beroende prestandakapacitet för varje maskinvarukomponent, inklusive processor-, minnes-, nätverks- och hårddiskkonfiguration.
Konfiguration Så här bearbetar Microsoft Entra Anslut katalogerna och informationen.
Inläsning Frekvens för objektändringar. Belastningen kan variera under en timme, dag eller vecka. Beroende på komponenten kan du behöva utforma för högsta belastning eller genomsnittlig belastning.

Syftet med det här dokumentet är att beskriva de faktorer som påverkar prestanda för Microsoft Entra Anslut etableringsmotor. Stora eller komplexa organisationer (organisationer som etablerar fler än 100 000 objekt) kan använda rekommendationerna för att optimera sin Microsoft Entra-Anslut implementering, om de upplever prestandaproblem som beskrivs här. De andra komponenterna i Microsoft Entra Anslut, till exempel Microsoft Entra Anslut Health och agenter beskrivs inte här.

Viktigt!

Microsoft stöder inte ändring eller drift av Microsoft Entra-Anslut utanför de åtgärder som formellt dokumenteras. Någon av dessa åtgärder kan resultera i ett inkonsekvent eller tillstånd som inte stöds för Microsoft Entra Anslut Sync. Därför kan Microsoft inte tillhandahålla teknisk support för sådana distributioner.

Komponentfaktorer för Microsoft Entra Anslut

Följande diagram visar en arkitektur på hög nivå för etableringsmotor som ansluter till en enda skog, även om flera skogar stöds. Den här arkitekturen visar hur de olika komponenterna interagerar med varandra.

Diagram shows how the Connected Directories and Microsoft Entra Connect provisioning engine interact, including Connector Space and Metaverse components in an SQL Database.

Etableringsmotorn ansluter till varje Active Directory-skog och till Microsoft Entra-ID. Processen för att läsa information från varje katalog kallas Import. Export avser uppdatering av katalogerna från etableringsmotorn. Sync utvärderar reglerna för hur objekten ska flöda i etableringsmotorn. Mer information finns i Microsoft Entra Anslut Sync: Förstå arkitekturen.

Microsoft Entra Anslut använder följande mellanlagringsområden, regler och processer för att tillåta synkronisering från Active Directory till Microsoft Entra-ID:

  • Anslut eller Space (CS) – Objekt från varje ansluten katalog (CD), de faktiska katalogerna, mellanlagras här först innan de kan bearbetas av etableringsmotorn. Microsoft Entra ID har en egen CS och varje skog du ansluter till har sin egen CS.
  • Metaversum (MV) – Objekt som behöver synkroniseras skapas här baserat på synkroniseringsreglerna. Objekt måste finnas i MV innan de kan fylla i objekt och attribut till de andra anslutna katalogerna. Det finns bara en MV.
  • Synkroniseringsregler – De bestämmer vilka objekt som ska skapas (projiceras) eller anslutas (kopplas) till objekt i MV. Synkroniseringsreglerna bestämmer också vilka attributvärden som ska kopieras eller transformeras till och från katalogerna.
  • Kör profiler – Paketerar processstegen för att kopiera objekt och deras attributvärden enligt synkroniseringsreglerna mellan mellanlagringsområdena och anslutna kataloger.

Det finns olika körningsprofiler för att optimera prestanda för etableringsmotorn. De flesta organisationer använder standardscheman och kör profiler för normala åtgärder, men vissa organisationer kan behöva ändra schemat eller utlösa andra körningsprofiler för att hantera ovanliga situationer. Följande körningsprofiler är tillgängliga:

Inledande synkroniseringsprofil

Den inledande synkroniseringsprofilen är processen att läsa de anslutna katalogerna, till exempel en Active Directory-skog, för första gången. Sedan gör den en analys av alla poster i synkroniseringsmotordatabasen. Den inledande cykeln skapar nya objekt i Microsoft Entra-ID och tar extra tid att slutföra om dina Active Directory-skogar är stora. Den inledande synkroniseringen innehåller följande steg:

  1. Fullständig import för alla anslutningsappar
  2. Fullständig synkronisering av alla anslutningsappar
  3. Exportera på alla anslutningsappar

Deltasynkroniseringsprofil

För att optimera synkroniseringsprocessen bearbetar den här körningsprofilen endast ändringarna (skapar, tar bort och uppdaterar) objekt i dina anslutna kataloger sedan den senaste synkroniseringsprocessen. Som standard körs deltasynkroniseringsprofilen var 30:e minut. Organisationer bör sträva efter att hålla den tid det tar till under 30 minuter för att se till att Microsoft Entra-ID:t är uppdaterat. Om du vill övervaka hälsotillståndet för Microsoft Entra Anslut använder du hälsoövervakningsagenten för att se eventuella problem med processen. Deltasynkroniseringsprofilen innehåller följande steg:

  1. Deltaimport på alla anslutningsappar
  2. Deltasynkronisering för alla anslutningsappar
  3. Exportera på alla anslutningsappar

Ett typiskt deltasynkroniseringsscenario för företagsorganisation är:

  • ~1 % av objekten tas bort
  • ~1 % av objekten skapas
  • ~5 % av objekten ändras

Din ändringsfrekvens kan variera beroende på hur ofta din organisation uppdaterar användare i Active Directory. Till exempel kan en högre förändringstakt ske med säsongsvariationen för att anställa och minska arbetskraften.

Fullständig synkroniseringsprofil

En fullständig synkroniseringscykel krävs om du har gjort någon av följande konfigurationsändringar:

  • Ökade omfånget för de objekt eller attribut som ska importeras från de anslutna katalogerna. När du till exempel lägger till en domän eller organisationsenhet i importomfånget.
  • Gjorde ändringar i synkroniseringsreglerna. När du till exempel skapar en ny regel för att fylla i en användares rubrik i Microsoft Entra-ID från extension_attribute3 i Active Directory. Den här uppdateringen kräver att etableringsmotorn undersöker alla befintliga användare igen för att uppdatera sina titlar för att tillämpa ändringen framöver.

Följande åtgärder ingår i en fullständig synkroniseringscykel:

  1. Fullständig import för alla anslutningsappar
  2. Fullständig/Delta-synkronisering på alla anslutningsappar
  3. Exportera på alla anslutningsappar

Kommentar

Noggrann planering krävs när du gör massuppdateringar av många objekt i active directory- eller Microsoft Entra-ID:t. Massuppdateringar gör att deltasynkroniseringsprocessen tar längre tid vid import, eftersom många objekt har ändrats. Långa importer kan inträffa även om massuppdateringen inte påverkar synkroniseringsprocessen. Om du till exempel tilldelar licenser till många användare i Microsoft Entra-ID kommer det att orsaka en lång importcykel från Microsoft Entra-ID, men det resulterar inte i några attributändringar i Active Directory.

Synkronisering

Körningen av synkroniseringsprocessen har följande prestandaegenskaper:

  • Sync är entrådad, vilket innebär att etableringsmotorn inte utför någon parallell bearbetning av körningsprofiler för anslutna kataloger, objekt eller attribut.
  • Importtiden växer linjärt med antalet objekt som synkroniseras. Om till exempel 10 000 objekt tar 10 minuter att importera tar det cirka 20 000 objekt ungefär 20 minuter på samma server.
  • Exporten är också linjär.
  • Synkroniseringen växer exponentiellt baserat på antalet objekt med referenser till andra objekt. Gruppmedlemskap och kapslade grupper har den största prestandapåverkan, eftersom deras medlemmar refererar till användarobjekt eller andra grupper. Dessa referenser måste hittas och refereras till faktiska objekt i MV för att slutföra synkroniseringscykeln.
  • Om du ändrar en gruppmedlem blir det en omvärdering av alla gruppmedlemmar. Om du till exempel har en grupp med 50 000 medlemmar och endast uppdaterar en medlem utlöser detta en synkronisering av alla 50 000 medlemmar.

Filtrering

Storleken på den Active Directory-topologi som du vill importera är den viktigaste faktorn som påverkar prestanda och den totala tid som de interna komponenterna i etableringsmotorn tar.

Filtrering bör användas för att minska objekten till synkroniserade objekt. Det förhindrar att onödiga objekt bearbetas och exporteras till Microsoft Entra-ID. I prioritetsordning är följande metoder för filtrering tillgängliga:

  • Domänbaserad filtrering – använd det här alternativet för att välja specifika domäner som ska synkroniseras med Microsoft Entra-ID. Du måste lägga till och ta bort domäner från synkroniseringsmotorns konfiguration när du gör ändringar i din lokala infrastruktur när du har installerat Microsoft Entra Anslut Sync.
  • Organisationsenhetsfiltrering (OU) – använder organisationsenheter för att rikta specifika objekt i Active Directory-domäner för etablering till Microsoft Entra-ID. OU-filtrering är den andra rekommenderade filtreringsmekanismen eftersom den använder enkla LDAP-omfångsfrågor för att importera en mindre delmängd av objekt från Active Directory.
  • Attributfiltrering per objekt – använder attributvärdena för objekt för att avgöra om specifika objekt i Active Directory etableras i Microsoft Entra-ID. Attributfiltrering är bra för att finjustera dina filter, när domän- och OU-filtrering inte uppfyller de specifika filtreringskraven. Attributfiltrering minskar inte importtiden, men kan minska synkroniserings- och exporttiderna.
  • Gruppbaserad filtrering – använder gruppmedlemskap för att avgöra om objekt ska etableras i Microsoft Entra-ID. Gruppbaserad filtrering lämpar sig endast för testsituationer och rekommenderas inte för produktion, på grund av de extra kostnader som krävs för att kontrollera gruppmedlemskap under synkroniseringscykeln.

Många beständiga frånkopplingsobjekt i Active Directory CS kan orsaka längre synkroniseringstider, eftersom etableringsmotorn måste omvärdera varje frånkopplingsobjekt för eventuell anslutning i synkroniseringscykeln. Överväg något av följande rekommendationer för att lösa problemet:

  • Placera frånkopplingsobjekten utanför omfånget för import med hjälp av domän- eller OU-filtrering.
  • Projicera/koppla objekten till MV och ange attributet cloudFiltered som True för att förhindra etablering av dessa objekt i Microsoft Entra CS.

Kommentar

Användare kan bli förvirrade eller problem med programbehörigheter när för många objekt filtreras. I en hybridimplementering av Exchange Online ser användare med lokala postlådor till exempel fler användare i sin globala adresslista än användare med postlådor i Exchange Online. I andra fall kanske en användare vill bevilja åtkomst i en molnapp till en annan användare som inte ingår i omfånget för den filtrerade uppsättningen objekt.

Attributflöden

Attributflöden är processen för att kopiera eller transformera attributvärden för objekt från en ansluten katalog till en annan ansluten katalog. De definieras som en del av synkroniseringsreglerna. När till exempel telefonnumret för en användare ändras i din Active Directory uppdateras telefonnumret i Microsoft Entra-ID:t. Organisationer kan ändra attributflödena så att de uppfyller olika krav. Vi rekommenderar att du kopierar de befintliga attributflödena innan du ändrar dem.

Enkla omdirigeringar, som att flöda ett attributvärde till ett annat attribut, har ingen väsentlig prestandapåverkan. Ett exempel på en omdirigering flödar ett mobilnummer i Active Directory till office-telefonnumret i Microsoft Entra-ID.

Transformering av attributvärden kan ha en prestandapåverkan på synkroniseringsprocessen. Transformering av attributvärden omfattar ändring, omformatering, sammanfogning eller subtrahering av attributvärden.

Organisationer kan förhindra att vissa attribut flödar till Microsoft Entra-ID, men det påverkar inte etableringsmotorns prestanda.

Kommentar

Ta inte bort oönskade attributflöden i dina synkroniseringsregler. Vi rekommenderar att du inaktiverar dem i stället eftersom borttagna regler återskapas under Microsoft Entra-Anslut uppgraderingar.

Beroendefaktorer för Microsoft Entra Anslut

Prestandan för Microsoft Entra Anslut beror på prestanda för de anslutna kataloger som den importerar och exporterar till. Till exempel storleken på den Active Directory som den behöver importera eller nätverksfördröjningen till Microsoft Entra-tjänsten. Den SQL-databas som etableringsmotorn använder påverkar också synkroniseringscykelns övergripande prestanda.

Active Directory-faktorer

Som tidigare nämnts påverkar antalet objekt som ska importeras prestanda avsevärt. Maskinvaran och kraven för Microsoft Entra Anslut beskriva specifika maskinvarunivåer baserat på distributionens storlek. Microsoft Entra Anslut stöder endast specifika topologier som beskrivs i Topologier för Microsoft Entra Anslut. Det finns inga prestandaoptimeringar och rekommendationer för topologier som inte stöds.

Kontrollera att Microsoft Entra Anslut-servern uppfyller maskinvarukraven baserat på din Active Directory-storlek som du vill importera. Felaktig eller långsam nätverksanslutning mellan Microsoft Entra Anslut-servern och dina Active Directory-domänkontrollanter kan göra importen långsammare.

Microsoft Entra ID-faktorer

Microsoft Entra ID använder begränsning för att skydda molntjänsten från DoS-attacker (Denial-of-Service). För närvarande har Microsoft Entra-ID en begränsningsgräns på 7 000 skrivningar per 5 minuter (84 000 per timme). Följande åtgärder kan till exempel begränsas:

  • Microsoft Entra Anslut exportera till Microsoft Entra-ID.
  • PowerShell-skript eller program som uppdaterar Microsoft Entra-ID:t direkt även i bakgrunden, till exempel Dynamiska gruppmedlemskap.
  • Användare uppdaterar sina egna identitetsposter, till exempel registrering för MFA eller SSPR (självbetjäning av lösenordsåterställning).
  • Åtgärder i det grafiska användargränssnittet.

Planera för distributions- och underhållsaktiviteter för att se till att din Microsoft Entra-Anslut Sync-cykel inte påverkas av begränsningsgränser. Om du till exempel har en stor anställningsvåg där du skapar tusentals användaridentiteter kan det orsaka uppdateringar av dynamiska gruppmedlemskap, licenstilldelningar och registreringar för lösenordsåterställning med självbetjäning. Det är bättre att sprida dessa skrivningar under flera timmar eller några dagar.

SQL-databasfaktorer

Storleken på din Active Directory-källtopologi påverkar sql-databasens prestanda. Följ maskinvarukraven för SQL Server-databasen och tänk på följande rekommendationer:

  • Organisationer med fler än 100 000 användare kan minska nätverksfördröjningen genom att samlokalisera SQL-databasen och etableringsmotorn på samma server.
  • SQL Named Pipes-protokollet stöds inte eftersom det medför betydande fördröjningar i synkroniseringscykeln och bör inaktiveras i Konfigurationshanteraren för SQL Server under SQL Native Clients och SQL Server Network. Observera att ändring av konfigurationen för namngivna pipes endast börjar gälla efter omstart av databas- och ADSync-tjänster.
  • På grund av kraven på hög diskinmatning och utdata (I/O) i synkroniseringsprocessen använder du SSD (Solid State Drives) för SQL-databasen i etableringsmotorn för optimala resultat, om inte möjligt, överväg RAID 0- eller RAID 1-konfigurationer.
  • Gör inte en fullständig synkronisering förebyggande; det orsakar onödig omsättning och långsammare svarstider.

Slutsats

Om du vill optimera prestandan för din Microsoft Entra-Anslut implementering bör du överväga följande rekommendationer:

  • Använd den rekommenderade maskinvarukonfigurationen baserat på implementeringsstorleken för Microsoft Entra Anslut-servern.
  • När du uppgraderar Microsoft Entra Anslut i storskaliga distributioner bör du överväga att använda metoden för swingmigrering för att se till att du har minst stilleståndstid och bästa tillförlitlighet.
  • Använd SSD för SQL-databasen för bästa skrivprestanda.
  • Filtrera Active Directory-omfånget så att det endast innehåller objekt som behöver etableras i Microsoft Entra-ID med hjälp av domän-, organisationsenhets- eller attributfiltrering.
  • Om du behöver ändra standardreglerna för attributflöde kopierar du först regeln och ändrar sedan kopian och inaktiverar den ursprungliga regeln. Kom ihåg att köra en fullständig synkronisering igen.
  • Planera tillräckligt med tid för den inledande fullständiga synkroniseringskörningsprofilen.
  • Sträva efter att slutföra deltasynkroniseringscykeln på 30 minuter. Om deltasynkroniseringsprofilen inte slutförs på 30 minuter ändrar du standardsynkroniseringsfrekvensen så att den innehåller en fullständig deltasynkroniseringscykel.
  • Övervaka din Microsoft Entra Anslut Sync-hälsa i Microsoft Entra-ID.

Nästa steg

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.