Importera och exportera konfigurationsinställningar för Microsoft Entra Connect
Microsoft Entra Connect-distributioner varierar från en expresslägesinstallation i en skog till komplexa distributioner som synkroniseras mellan flera skogar med hjälp av anpassade synkroniseringsregler. På grund av det stora antalet konfigurationsalternativ och mekanismer är det viktigt att förstå vilka inställningar som gäller och snabbt kunna distribuera en server med en identisk konfiguration. Den här funktionen introducerar möjligheten att katalogisera konfigurationen av en viss synkroniseringsserver och importera inställningarna till en ny distribution. Olika ögonblicksbilder av synkroniseringsinställningar kan jämföras för att enkelt visualisera skillnaderna mellan två servrar eller samma server över tid.
Varje gång konfigurationen ändras från Microsoft Entra Connect-guiden exporteras automatiskt en ny tidsstämplad JSON-inställningsfil till %ProgramData%\AADConnect. Filnamnet för inställningarna är av formatet Applied-SynchronizationPolicy-*. JSON, där den sista delen av filnamnet är en tidsstämpel.
Viktigt!
Endast ändringar som görs av Microsoft Entra Connect exporteras automatiskt. Alla ändringar som görs med hjälp av PowerShell, Service Manager för synkronisering eller Redigeraren för synkroniseringsregler måste exporteras på begäran efter behov för att upprätthålla en uppdaterad kopia. Export på begäran kan också användas för att placera en kopia av inställningarna på en säker plats i haveriberedskapssyfte.
Kommentar
Den här funktionen kan inte användas om Microsoft Entra Connect-installationen har ändrats för att inkludera G-SQL-anslutningsappen eller G-LDAP-anslutningsappen.
Kommentar
Den här funktionen kan inte kombineras med en befintlig ADSync-databas. Användningen av import-/exportkonfiguration och användning av befintlig databas är ömsesidigt uteslutande.
Exportera Microsoft Entra Connect-inställningar
Om du vill visa en sammanfattning av konfigurationsinställningarna öppnar du verktyget Microsoft Entra Connect och väljer den ytterligare uppgiften med namnet Visa eller Exportera aktuell konfiguration. En snabb sammanfattning av inställningarna visas tillsammans med möjligheten att exportera serverns fullständiga konfiguration.
Som standard exporteras inställningarna till %ProgramData%\AADConnect. Du kan också välja att spara inställningarna på en skyddad plats för att säkerställa tillgänglighet om en katastrof inträffar. Inställningarna exporteras med hjälp av JSON-filformatet och bör inte skapas för hand eller redigeras för att säkerställa logisk konsekvens. Import av en handskapad eller redigerad fil stöds inte och kan leda till oväntade resultat.
Importera Microsoft Entra Connect-inställningar
Så här importerar du tidigare exporterade inställningar:
Installera Microsoft Entra Connect på en ny server.
Välj alternativet Anpassa efter sidan Välkommen.
Välj Importera synkroniseringsinställningar. Bläddra efter den tidigare exporterade JSON-inställningsfilen.
Välj Installera.
Kommentar
Åsidosätt inställningar på den här sidan som användning av SQL Server i stället för LocalDB eller användning av ett befintligt tjänstkonto i stället för en standard-VSA. De här inställningarna importeras inte från konfigurationsinställningsfilen. De finns där i informations- och jämförelsesyfte.
Kommentar
Det går inte att ändra den exporterade JSON-filen för att ändra konfigurationen
Importera installationsupplevelse
Importinstallationsupplevelsen hålls avsiktligt enkel med minimala indata från användaren för att enkelt tillhandahålla reproducerbarhet för en befintlig server.
Här är de enda ändringar som kan göras under installationen. Alla andra ändringar kan göras efter installationen från Microsoft Entra Connect-guiden:
- Microsoft Entra-autentiseringsuppgifter: Kontonamnet för den globala Azure-administratören som används för att konfigurera den ursprungliga servern föreslås som standard. Den måste ändras om du vill synkronisera information till en ny katalog.
- Användarinloggning: Inloggningsalternativen som konfigurerats för den ursprungliga servern väljs som standard och uppmanas automatiskt att ange autentiseringsuppgifter eller annan information som behövs under konfigurationen. I sällsynta fall kan det finnas ett behov av att konfigurera en server med olika alternativ för att undvika att ändra beteendet för den aktiva servern. Annars väljer du Nästa för att använda samma inställningar.
- Autentiseringsuppgifter för lokal katalog: För varje lokal katalog som ingår i synkroniseringsinställningarna måste du ange autentiseringsuppgifter för att skapa ett synkroniseringskonto eller ange ett fördefinierad anpassat synkroniseringskonto. Den här proceduren är identisk med den rena installationsupplevelsen med undantaget att du inte kan lägga till eller ta bort kataloger.
- Konfigurationsalternativ: Precis som med en ren installation kan du välja att konfigurera de första inställningarna för om du vill starta automatisk synkronisering eller aktivera mellanlagringsläge. Den största skillnaden är att mellanlagringsläget är avsiktligt aktiverat som standard för att tillåta jämförelse av konfigurations- och synkroniseringsresultat innan resultatet aktivt exporteras till Azure.
Kommentar
Endast en synkroniseringsserver kan vara i den primära rollen och aktivt exportera konfigurationsändringar till Azure. Alla andra servrar måste placeras i mellanlagringsläge.
Migrera inställningar från en befintlig server
Om en befintlig server inte stöder inställningshantering kan du antingen välja att uppgradera servern på plats eller migrera inställningarna för användning på en ny mellanlagringsserver.
Migrering kräver att du kör ett PowerShell-skript som extraherar de befintliga inställningarna för användning i en ny installation. Använd den här metoden för att katalogisera inställningarna för din befintliga server och sedan tillämpa dem på en nyligen installerad mellanlagringsserver. Om du jämför inställningarna för den ursprungliga servern med en nyligen skapad server visualiseras snabbt ändringarna mellan servrarna. Följ som alltid organisationens certifieringsprocess för att säkerställa att ingen ytterligare konfiguration krävs.
Migreringsprocessen
Så här migrerar du inställningarna:
Starta AzureADConnect.msi på den nya mellanlagringsservern och stanna på välkomstsidan i Microsoft Entra Connect.
Kopiera MigrateSettings.ps1 från katalogen Microsoft Entra Connect\Tools till en plats på den befintliga servern. Ett exempel är C:\setup, där installationen är en katalog som skapades på den befintliga servern.
Kommentar
Om du ser ett meddelande: "Det går inte att hitta en positionsparameter som accepterar argumentet True.", enligt nedan:
Redigera sedan filen MigrateSettings.ps1 och ta bort $true och kör skriptet:
Kör skriptet som visas här och spara hela serverkonfigurationskatalogen på nednivå. Kopiera den här katalogen till den nya mellanlagringsservern. Du måste kopiera hela mappen Exported-ServerConfiguration-* till den nya servern.
Starta Microsoft Entra Connect genom att dubbelklicka på ikonen på skrivbordet. Godkänn Licensvillkoren för Microsoft-programvara och välj Anpassa på nästa sida.
Markera kryssrutan Importera synkroniseringsinställningar . Välj Bläddra för att bläddra i mappen kopierad över exporterad serverkonfiguration*. Välj MigratedPolicy.json för att importera de migrerade inställningarna.
Verifiering efter installationen
Att jämföra den ursprungligen importerade inställningsfilen med den exporterade inställningsfilen för den nyligen distribuerade servern är ett viktigt steg för att förstå eventuella skillnader mellan den avsedda och den resulterande distributionen. Om du använder ditt favoritprogram för textjämförelse sida vid sida får du en omedelbar visualisering som snabbt markerar önskade eller oavsiktliga ändringar.
Även om många tidigare manuella konfigurationssteg nu har eliminerats bör du fortfarande följa organisationens certifieringsprocess för att säkerställa att ingen ytterligare konfiguration krävs. Den här konfigurationen kan inträffa om du använder avancerade inställningar, som för närvarande inte samlas in i den här versionen av inställningshantering.
Här är kända begränsningar:
- Synkroniseringsregler: Prioriteten för en anpassad regel måste ligga i det reserverade intervallet 0 till 99 för att undvika konflikter med Microsofts standardregler. Om du placerar en anpassad regel utanför det reserverade intervallet kan det leda till att din anpassade regel flyttas runt när standardregler läggs till i konfigurationen. Ett liknande problem uppstår om konfigurationen innehåller ändrade standardregler. Det rekommenderas inte att ändra en standardregel och regelplaceringen är sannolikt felaktig.
- Tillbakaskrivning av enhet: De här inställningarna är katalogiserade. De tillämpas för närvarande inte under konfigurationen. Om tillbakaskrivning av enhet har aktiverats för den ursprungliga servern måste du manuellt konfigurera funktionen på den nyligen distribuerade servern.
- Synkroniserade objekttyper: Även om det är möjligt att begränsa listan över synkroniserade objekttyper (till exempel användare, kontakter och grupper) med hjälp av Synkroniseringstjänsthanteraren stöds inte den här funktionen för närvarande via synkroniseringsinställningar. När du har slutfört installationen måste du manuellt använda den avancerade konfigurationen igen.
- Valda attribut: Även om det är möjligt att begränsa listan över synkroniserade attribut (till exempel tilläggsattribut) med hjälp av Synkroniseringstjänsthanteraren stöds inte den här funktionen för närvarande via synkroniseringsinställningar. När du har slutfört installationen måste du manuellt använda den avancerade konfigurationen igen.
- Anpassade körningsprofiler: Även om det är möjligt att ändra standarduppsättningen för körningsprofiler med hjälp av Service Manager för synkronisering stöds inte den här funktionen för närvarande via synkroniseringsinställningar. När du har slutfört installationen måste du manuellt använda den avancerade konfigurationen igen.
- Konfigurera etableringshierarkin: Den här avancerade funktionen i Synkroniseringstjänsthanteraren stöds inte via synkroniseringsinställningar. Den måste konfigureras om manuellt när du har slutfört den första distributionen.
- Active Directory Federation Services (AD FS) (AD FS) och PingFederate-autentisering: Inloggningsmetoderna som är associerade med dessa autentiseringsfunktioner är automatiskt förvalda. Du måste interaktivt ange alla andra nödvändiga konfigurationsparametrar.
- En inaktiverad anpassad synkroniseringsregel importeras som aktiverad: En inaktiverad anpassad synkroniseringsregel importeras som aktiverad. Se till att inaktivera den på den nya servern också.