Microsoft Entra Bağlan performansını etkileyen faktörler

  • Makale

Microsoft Entra Bağlan, Active Directory'nizi Microsoft Entra Id ile eşitler. Bu sunucu, kullanıcı kimliklerinizi buluta taşımanın kritik bir bileşenidir. Microsoft Entra Bağlan performansını etkileyen başlıca faktörler şunlardır:

Tasarım faktörü Tanım
Topoloji Microsoft Entra Bağlan uç noktaların ve bileşenlerin dağıtımı ağda yönetilmelidir.
Ölçek Microsoft Entra Bağlan tarafından yönetilecek kullanıcılar, gruplar ve OU'lar gibi nesnelerin sayısı.
Donanım Microsoft Entra için donanım (fiziksel veya sanal), CPU, bellek, ağ ve sabit sürücü yapılandırması dahil olmak üzere her donanım bileşeninin Bağlan ve bağımlı performans kapasitesi.
Yapılandırma Microsoft Entra Bağlan dizinleri ve bilgileri nasıl işler?
Yükleme Nesne değişikliklerinin sıklığı. Yükler bir saat, gün veya hafta boyunca değişebilir. Bileşene bağlı olarak, en yüksek yük veya ortalama yük için tasarlamanız gerekebilir.

Bu belgenin amacı, Microsoft Entra Bağlan sağlama altyapısının performansını etkileyen faktörleri açıklamaktır. Büyük veya karmaşık kuruluşlar (100.000'den fazla nesne hazırlayan kuruluşlar), burada özetlenen performans sorunlarıyla karşılaşırlarsa Microsoft Entra Bağlan uygulamalarını iyileştirmek için önerileri kullanabilir. Microsoft Entra Bağlan'nin Microsoft Entra Bağlan Health ve aracılar gibi diğer bileşenleri burada ele alınmıyor.

Önemli

Microsoft, Microsoft Entra Bağlan resmi olarak belgelenen eylemlerin dışında değiştirmeyi veya çalıştırmayı desteklemez. Bu eylemlerden herhangi biri Microsoft Entra Bağlan Sync'in tutarsız veya desteklenmeyen durumuna neden olabilir. Sonuç olarak, Microsoft bu tür dağıtımlar için teknik destek sağlayamaz.

Microsoft Entra Bağlan bileşen faktörleri

Aşağıdaki diyagramda, birden çok orman destekleniyor olsa da, tek bir ormana bağlanan sağlama altyapısının üst düzey mimarisi gösterilmektedir. Bu mimari, çeşitli bileşenlerin birbirleriyle nasıl etkileşime geçtiğini gösterir.

Diagram shows how the Connected Directories and Microsoft Entra Connect provisioning engine interact, including Connector Space and Metaverse components in an SQL Database.

Sağlama altyapısı her Active Directory ormanına ve Microsoft Entra Kimliği'ne bağlanır. Her dizinden bilgi okuma işlemine İçeri Aktarma adı verilir. Dışarı aktarma, dizinlerin sağlama altyapısından güncelleştirilmesini ifade eder. Eşitleme, nesnelerin sağlama altyapısı içinde nasıl akacağının kurallarını değerlendirir. Daha ayrıntılı bilgi için Bkz. Microsoft Entra Bağlan Sync: Mimariyi anlama.

Microsoft Entra Bağlan, Active Directory'den Microsoft Entra Id'ye eşitlemeye izin vermek için aşağıdaki hazırlama alanlarını, kuralları ve işlemleri kullanır:

  • Bağlan or Space (CS) - Gerçek dizinler olan her bağlı dizindeki (CD) nesneler, sağlama altyapısı tarafından işlenmeden önce burada hazırlanır. Microsoft Entra ID'nin kendi CS'si ve bağlandığınız her ormanın kendi CS'si vardır.
  • Metaverse (MV) - Eşitlenmesi gereken nesneler burada eşitleme kurallarına göre oluşturulur. Nesneler, diğer bağlı dizinlere yönelik nesneleri ve öznitelikleri doldurabilmek için önce MV'de bulunmalıdır. Sadece bir MV var.
  • Eşitleme kuralları - MV'deki nesnelere hangi nesnelerin oluşturulacağını (yansıtılacağını) veya bağlanacağını (birleştirileceğini) belirler. Eşitleme kuralları, dizinlere kopyalanacak veya dizinlerden hangi öznitelik değerlerinin dönüştürüleceğine de karar verir.
  • Çalıştırma profilleri - Nesneleri ve öznitelik değerlerini kopyalama işleminin adımlarını hazırlama alanları ve bağlı dizinler arasındaki eşitleme kurallarına göre paketler.

Sağlama altyapısının performansını iyileştirmek için farklı çalıştırma profilleri vardır. Çoğu kuruluş normal işlemler için varsayılan zamanlamaları ve çalıştırma profillerini kullanır, ancak bazı kuruluşların sık karşılaşılan durumları karşılamak için zamanlamayı değiştirmesi veya diğer çalıştırma profillerini tetiklemesi gerekebilir. Aşağıdaki çalıştırma profilleri kullanılabilir:

İlk eşitleme profili

İlk eşitleme profili, Active Directory ormanı gibi bağlı dizinleri ilk kez okuma işlemidir. Ardından eşitleme altyapısı veritabanındaki tüm girişler üzerinde bir analiz yapar. İlk döngü, Microsoft Entra Id'de yeni nesneler oluşturur ve Active Directory ormanlarınız büyükse tamamlanması fazladan zaman alır. İlk eşitleme aşağıdaki adımları içerir:

  1. Tüm bağlayıcılarda tam içeri aktarma
  2. Tüm bağlayıcılarda tam eşitleme
  3. Tüm bağlayıcılarda dışarı aktarma

Delta eşitleme profili

Eşitleme işlemini iyileştirmek için bu çalıştırma profili, son eşitleme işleminden bu yana bağlı dizinlerinizdeki nesnelerin değişikliklerini (oluşturur, siler ve güncelleştirir) yalnızca işler. Varsayılan olarak, delta eşitleme profili 30 dakikada bir çalışır. Kuruluşlar, Microsoft Entra Kimliğinin güncel olduğundan emin olmak için gereken süreyi 30 dakikanın altında tutmaya çaba göstermelidir. Microsoft Entra Bağlan durumunu izlemek için sistem durumu izleme aracısını kullanarak işlemle ilgili sorunları görün. Delta eşitleme profili aşağıdaki adımları içerir:

  1. Tüm bağlayıcılarda delta içeri aktarma
  2. Tüm bağlayıcılarda delta eşitleme
  3. Tüm bağlayıcılarda dışarı aktarma

Tipik bir kurumsal kuruluş delta eşitleme senaryosu şöyledir:

  • Nesnelerin yaklaşık %1'i siliniyor
  • Nesnelerin yaklaşık %1'i oluşturulur
  • Nesnelerin yaklaşık %5'i değiştirildi

Değişiklik oranınız, kuruluşunuzun Active Directory'nizdeki kullanıcıları güncelleştirme sıklıklarına bağlı olarak değişebilir. Örneğin, işe alım ve iş gücünün azaltılmasının mevsimselliği ile daha yüksek değişim oranları ortaya çıkabilir.

Tam eşitleme profili

Aşağıdaki yapılandırma değişikliklerinden herhangi birini yaptıysanız tam eşitleme döngüsü gereklidir:

  • Bağlı dizinlerden içeri aktarılacak nesnelerin veya özniteliklerin kapsamı artırıldı. Örneğin, içeri aktarma kapsamınıza bir etki alanı veya OU eklediğinizde.
  • Eşitleme kurallarında değişiklikler yapıldı. Örneğin, Active Directory'deki extension_attribute3 Microsoft Entra Id'de bir kullanıcının başlığını doldurmak için yeni bir kural oluşturduğunuzda. Bu güncelleştirme, sağlama altyapısının tüm mevcut kullanıcıları yeniden inceleyerek başlıklarını ileriye dönük değişikliği uygulayacak şekilde güncelleştirmesini gerektirir.

Aşağıdaki işlemler tam eşitleme döngüsüne dahil edilir:

  1. Tüm bağlayıcılarda tam içeri aktarma
  2. Tüm bağlayıcılarda Tam/Delta eşitleme
  3. Tüm bağlayıcılarda dışarı aktarma

Dekont

Active Directory veya Microsoft Entra Id'nizdeki birçok nesnede toplu güncelleştirmeler yaparken dikkatli bir planlama gereklidir. Toplu güncelleştirmeler, çok fazla nesne değiştiğinden içeri aktarma sırasında delta eşitleme işleminin daha uzun sürmesine neden olur. Toplu güncelleştirme eşitleme işlemini etkilemese bile uzun içeri aktarma işlemleri gerçekleşebilir. Örneğin, Microsoft Entra Id'de birçok kullanıcıya lisans atamak Microsoft Entra Id'den uzun bir içeri aktarma döngüsüne neden olur, ancak Active Directory'de öznitelik değişikliklerine neden olmaz.

Eşitleme

Eşitleme işlemi çalışma zamanı aşağıdaki performans özelliklerine sahiptir:

  • Eşitleme tek iş parçacıklı olduğundan, sağlama altyapısı bağlı dizinlerin, nesnelerin veya özniteliklerin çalıştırma profillerini paralel olarak işlemez.
  • İçeri aktarma süresi, eşitlenen nesne sayısıyla birlikte doğrusal olarak artar. Örneğin, 10.000 nesnenin içeri aktarılması 10 dakika sürerse, aynı sunucuda 20.000 nesne yaklaşık 20 dakika sürer.
  • Dışarı aktarma da doğrusaldır.
  • Eşitleme, diğer nesnelere başvurular içeren nesne sayısına bağlı olarak katlanarak büyür. Üyeleri kullanıcı nesnelerine veya diğer gruplara başvuracağından, grup üyelikleri ve iç içe gruplar ana performans etkisine sahiptir. Eşitleme döngüsünü tamamlamak için bu başvurular bulunmalıdır ve MV'deki gerçek nesnelere başvurulmalıdır.
  • Grup üyesinin değiştirilmesi, tüm grup üyelerinin yeniden değerlendirilmesine neden olur. Örneğin, 50.000 üyesi olan bir grubunuz varsa ve yalnızca 1 üyeyi güncelleştirirseniz, bu işlem 50.000 üyenin tümünün eşitlenmesini tetikler.

Filtreleme

İçeri aktarmak istediğiniz Active Directory topolojisinin boyutu, sağlama altyapısının iç bileşenlerinin performansını ve genel süresini etkileyen bir numaralı faktördür.

Nesneleri eşitlenene küçültmek için filtreleme kullanılmalıdır. Gereksiz nesnelerin işlenmesini ve Microsoft Entra Id'ye dışarı aktarılmasını engeller. Tercih sırasına göre, aşağıdaki filtreleme teknikleri kullanılabilir:

  • Etki alanı tabanlı filtreleme – Microsoft Entra Id ile eşitlenecek belirli etki alanlarını seçmek için bu seçeneği kullanın. Microsoft Entra Bağlan Sync'i yükledikten sonra şirket içi altyapınızda değişiklik yaparken eşitleme altyapısı yapılandırmasına etki alanları eklemeniz ve kaldırmanız gerekir.
  • Kuruluş Birimi (OU) filtrelemesi - Microsoft Entra Id'ye sağlama için Active Directory etki alanlarındaki belirli nesneleri hedeflemek için OU'ları kullanır. OU filtrelemesi, Active Directory'den daha küçük bir nesne alt kümesini içeri aktarmak için basit LDAP kapsam sorguları kullandığından önerilen ikinci filtreleme mekanizmasıdır.
  • Nesne başına öznitelik filtreleme - Active Directory'deki belirli bir nesnenin Microsoft Entra Kimliği'nde sağlanıp sağlanmayacağına karar vermek için nesnelerdeki öznitelik değerlerini kullanır. Etki alanı ve OU filtrelemesi belirli filtreleme gereksinimlerini karşılamadığında, öznitelik filtrelemesi filtrelerinizde ince ayarlamalar yapmak için mükemmeldir. Öznitelik filtreleme, içeri aktarma süresini azaltmaz, ancak eşitleme ve dışarı aktarma sürelerini azaltabilir.
  • Grup tabanlı filtreleme - Nesnelerin Microsoft Entra Kimliği'nde sağlanıp sağlanmayacağına karar vermek için grup üyeliğini kullanır. Grup tabanlı filtreleme yalnızca test durumlarına uygundur ve eşitleme döngüsü sırasında grup üyeliğini denetlemek için gereken ek yük nedeniyle üretim için önerilmez.

Active Directory CS'nizdeki birçok kalıcı bağlantı kesme nesnesi daha uzun eşitleme sürelerine neden olabilir, çünkü sağlama altyapısı eşitleme döngüsündeki olası bağlantı için her bir bağlantı kesici nesnesini yeniden değerlendirmelidir. Bu sorunun üstesinden gelmek için aşağıdaki önerilerden birini göz önünde bulundurun:

  • Etki alanı veya OU filtrelemesini kullanarak disconnector nesnelerini içeri aktarma için kapsamın dışına yerleştirin.
  • Microsoft Entra CS'de bu nesnelerin sağlanmasını önlemek için nesneleri MV'ye yansıtın/birleştirin ve cloudFiltered özniteliğini True olarak ayarlayın.

Dekont

Kullanıcıların kafası karışabilir veya çok fazla nesne filtrelendiğinde uygulama izinleri sorunları oluşabilir. Örneğin, karma bir Exchange online uygulamasında, şirket içi posta kutuları olan kullanıcılar genel adres listelerinde Exchange Online'da posta kutuları olan kullanıcılara göre daha fazla kullanıcı görür. Diğer durumlarda, bir kullanıcı filtrelenmiş nesne kümesinin kapsamının bir parçası olmayan başka bir kullanıcıya bulut uygulamasında erişim vermek isteyebilir.

Öznitelik akışları

Öznitelik akışları, nesnelerin öznitelik değerlerini bağlı bir dizinden başka bir bağlı dizine kopyalama veya dönüştürme işlemidir. Bunlar eşitleme kurallarının bir parçası olarak tanımlanır. Örneğin, Active Directory'nizde bir kullanıcının telefon numarası değiştirildiğinde, Microsoft Entra Id'deki telefon numarası güncelleştirilir. Kuruluşlar çeşitli gereksinimleri karşılamak için öznitelik akışlarını değiştirebilir. Mevcut öznitelik akışlarını değiştirmeden önce kopyalamanız önerilir.

Öznitelik değerini farklı bir özniteliğe akması gibi basit yeniden yönlendirmelerin maddi performans etkisi yoktur. Active Directory'deki bir cep telefonu numarasını Microsoft Entra Id'deki ofis telefon numarasına akan bir yeniden yönlendirme örneğidir.

Öznitelik değerlerini dönüştürmenin eşitleme işlemi üzerinde bir performans etkisi olabilir. Öznitelik değerlerini dönüştürme, özniteliklerin değerlerini değiştirmeyi, yeniden biçimlendirmeyi, birleştirmeyi veya çıkarmayı içerir.

Kuruluşlar belirli özniteliklerin Microsoft Entra Kimliği'ne akışını engelleyebilir, ancak sağlama altyapısının performansını etkilemeyecektir.

Dekont

Eşitleme kurallarınızda istenmeyen öznitelik akışlarını silmeyin. Silinen kurallar Microsoft Entra Bağlan yükseltmeleri sırasında yeniden oluşturulduğundan, bunları devre dışı bırakmanız önerilir.

Microsoft Entra Bağlan bağımlılık faktörleri

Microsoft Entra Bağlan'nin performansı, içeri ve dışarı aktarmış olduğu bağlı dizinlerin performansına bağlıdır. Örneğin, içeri aktarması gereken Active Directory'nin boyutu veya Microsoft Entra hizmetine ağ gecikme süresi. Sağlama altyapısının kullandığı SQL veritabanı, eşitleme döngüsünün genel performansını da etkiler.

Active Directory faktörleri

Daha önce belirtildiği gibi, içeri aktarılacak nesne sayısı performansı önemli ölçüde etkiler. Microsoft Entra Bağlan için donanım ve önkoşullar, dağıtımınızın boyutuna göre belirli donanım katmanlarını özetler. Microsoft Entra Bağlan yalnızca Microsoft Entra Bağlan için Topolojiler'de açıklandığı gibi belirli topolojileri destekler. Desteklenmeyen topolojiler için performans iyileştirmeleri ve öneriler yoktur.

Microsoft Entra Bağlan sunucunuzun içeri aktarmak istediğiniz Active Directory boyutuna göre donanım gereksinimlerini karşıladığından emin olun. Microsoft Entra Bağlan sunucusu ile Active Directory etki alanı denetleyicileriniz arasındaki hatalı veya yavaş ağ bağlantısı içeri aktarma işleminizi yavaşlatabilir.

Microsoft Entra ID faktörleri

Microsoft Entra ID, bulut hizmetini hizmet reddi (DoS) saldırılarına karşı korumak için azaltmayı kullanır. Şu anda Microsoft Entra Id'de 5 dakikada 7.000 yazma (saatte 84.000) azaltma sınırı vardır. Örneğin, aşağıdaki işlemler kısıtlanabilir:

  • Microsoft Entra Bağlan Microsoft Entra Id'ye aktarın.
  • Dinamik grup üyelikleri gibi Doğrudan arka planda bile Microsoft Entra Kimliğini güncelleştiren PowerShell betikleri veya uygulamaları.
  • Kullanıcılar, MFA veya SSPR'ye kaydolma (self servis parola sıfırlama) gibi kendi kimlik kayıtlarını güncelleştirir.
  • Grafik kullanıcı arabirimindeki işlemler.

Microsoft Entra Bağlan Eşitleme döngünüzün azaltma sınırlarının etkilenmediğinden emin olmak için dağıtım ve bakım görevlerini planlayın. Örneğin, binlerce kullanıcı kimliği oluşturduğunuz büyük bir işe alma dalganız varsa bu, dinamik grup üyeliklerinde, lisans atamalarında ve self servis parola sıfırlama kayıtlarında güncelleştirmelere neden olabilir. Bu yazmaları birkaç saat veya birkaç güne yaymak daha iyidir.

SQL veritabanı faktörleri

Kaynak Active Directory topolojinizin boyutu SQL veritabanı performansınızı etkiler. SQL server veritabanı için donanım gereksinimlerini izleyin ve aşağıdaki önerileri göz önünde bulundurun:

  • 100.000'den fazla kullanıcısı olan kuruluşlar, SQL veritabanını ve sağlama altyapısını aynı sunucuda birlikte konumlandırarak ağ gecikme sürelerini azaltabilir.
  • SQL Adlandırılmış Kanallar protokolü, eşitleme döngüsünde önemli gecikmeler içerdiğinden desteklenmez ve SQL Yerel İstemcileri ve SQL Server Ağı altındaki SQL Server Yapılandırma Yöneticisi devre dışı bırakılmalıdır. Adlandırılmış Kanallar yapılandırmasının değiştirilmesinin yalnızca veritabanı ve AD Eşitleme hizmetleri yeniden başlatıldıktan sonra geçerli olduğunu lütfen unutmayın.
  • Eşitleme işleminin yüksek disk girişi ve çıkışı (G/Ç) gereksinimleri nedeniyle, mümkün değilse RAID 0 veya RAID 1 yapılandırmalarını göz önünde bulundurun.
  • Tam eşitlemeyi önceden yapmayın; gereksiz değişim sıklığına ve daha yavaş yanıt sürelerine neden olur.

Sonuç

Microsoft Entra Bağlan uygulamanızın performansını iyileştirmek için aşağıdaki önerileri göz önünde bulundurun:

  • Microsoft Entra Bağlan sunucusu için uygulama boyutunuz temelinde önerilen donanım yapılandırmasını kullanın.
  • Microsoft Entra Bağlan büyük ölçekli dağıtımlarda yükseltirken, en düşük kapalı kalma süresine ve en iyi güvenilirliğe sahip olduğunuzdan emin olmak için swing migration yöntemini kullanmayı göz önünde bulundurun.
  • En iyi yazma performansı için SQL veritabanı için SSD kullanın.
  • Active Directory kapsamını yalnızca etki alanı, OU veya öznitelik filtreleme kullanarak Microsoft Entra Id'de sağlanması gereken nesneleri içerecek şekilde filtreleyin.
  • Varsayılan öznitelik akışı kurallarını değiştirmeniz gerekiyorsa, önce kuralı kopyalayın, sonra kopyayı değiştirin ve özgün kuralı devre dışı bırakın. Tam eşitlemeyi yeniden çalıştırmayı unutmayın.
  • İlk tam eşitleme çalıştırma profili için yeterli zamanı planlayın.
  • Delta eşitleme döngüsünü 30 dakika içinde tamamlamaya çalışın. Delta eşitleme profili 30 dakika içinde tamamlanmazsa, varsayılan eşitleme sıklığını tam bir delta eşitleme döngüsü içerecek şekilde değiştirin.
  • Microsoft Entra id'de Microsoft Entra Bağlan Eşitleme durumunuzu izleyin.

Sonraki adımlar

Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.