通过

使用 SharePoint Server 2016 实现 Microsoft Identity Manager 的部署注意事项

  • 项目

 

**上一次修改主题:**2017-03-13

**摘要:**了解有关在 SharePoint Server 2016 场中部署 Microsoft Identity Manager (MIM) 的部署注意事项。

为了提高在 SharePoint Server 2016 中成功部署 MIM 的概率,请遵循以下建议:

规划从测试环境到生产环境的迁移

规划、规划,不断规划更多操作。这一步丝毫不夸张。同步失败的大部分原因都可归结为缺乏规划。

测试实验室中 MIM 同步服务的正确安装以及对从测试实验室到生产的迁移的仔细规划是尽量减少部署问题的关键。为了在测试新规则时不浪费时间来处理成千上万个对象,建议使用小型测试环境。

备份初始测试环境

安装 MIM 并创建管理代理后,备份 MIM 同步数据库。然后,可以随时通过加载备份数据库重新创建新的测试环境。

测试 MIM 的备份和还原过程

定期备份过程对于保护数据免受意外损失而言是必不可少的。此外,强烈建议在发生紧急情况前测试备份和还原过程。若要备份和还原 MIM,请使用 Windows Server 2012 R2 操作系统随附的备份工具和 SQL Server 2014。

在同一域中安装 MIM 同步服务和 SQL Server

在 MIM 同步安装期间,远程数据库访问权限取决于用于运行安装程序的当前登录帐户的访问权限。确保运行托管 MIM 的 Windows Server 2012 R2 的操作系统的服务器和托管 SQL Server 的服务器位于同一个域中,并且用于运行安装程序的帐户具有对托管 SQL Server 的服务器的访问权限。

如果 SQL Server 安装在远程服务器上,则设置访问权限

如果在远程计算机上安装 SQL Server(即,在不运行 MIM 的另一台计算机上),以确保 SQL Server 服务帐户的策略允许用户通过网络访问该计算机。如果不允许进行访问,则 MIM 安装将失败。

重要

如果在远程计算机上安装 SQL Server 并允许网络访问远程计算机,则会收到 MIM 安装程序发出的一条安全警告。这种情况下,可以忽略此警告。

指定运行 SQL Server 的远程服务器的 TCP/IP 端口

如果在 MIM 安装期间指定的 SQL Server 实例位于远程计算机上,则 MIM 安装程序将使用默认的 TCP/IP 端口。如果想要指定其他端口,则必须使用 SQL Server 客户端网络实用工具 (Windows\System32\cliconfg.exe),以及 SQL Server 随附的 Server 网络实用工具。有关详细信息,请参阅 SQL Server 联机丛书。

每当更改管理代理规则时,使用导出管理代理来备份管理代理

使用导出管理代理后,可以使用“导入管理代理”命令来导入特定版本的单个管理代理。还可以使用“导出服务器配置”和“导入服务器配置”命令来导出和导入管理代理,但做这样会导入除 metaverse 架构之外的所有管理代理。有关如何进行配置和导入的其他信息,请参阅 Configuring Management Agents(配置管理代理)和 Importing and Exporting a Server Configuration(导入和导出服务器配置)

填充 metaverse 中的 displayName 属性以便更轻松地识别搜索结果

使用 Metaverse 搜索列出对象时,MIM 返回由 displayName 属性标识的结果。如果未填充 displayName 属性,则由全局唯一标识符 (GUID) 来标识搜索结果。有关如何使用 metaverse 搜索的其他信息,请参阅 Using Metaverse Search(使用 Metaverse 搜索)

设计作用于对象状态的流规则

使用对象的状态来确定同步对象的下一步,而不是使用导致对象状态的事件来确定。

重要

在同步对象时,不要依赖于声明性规则或要以指定顺序在规则扩展中进行评估的规则。以无次序的方式评估规则。

在将连接的数据源第一次迁移到 metaverse 时禁用预配

在第一次部署 MIM 时,建议先迁移和联接所有连接的数据源,然后再启用预配。确认所有内容都已成功迁移并联接后,则可以启用预配并运行管理代理的完全同步,将配置规则应用于所有已连接的对象。有关如何配置预配规则的其他信息,请参阅 Provisioning Rules(预配规则)

在运行配置文件步骤中设置删除阈值以限制意外删除的次数

使用删除阈值设置来限制导入或导出过程中可能会发生的意外删除次数。在达到阈值限制时,删除阈值将停止管理代理,或阻止它启动。有关其他信息,请参阅 Configuring Management Agents(配置管理代理)。

使用搜索连接器空间查看对象

借助搜索连接器空间,可以搜索管理代理的连接器空间中的对象。定位对象的方法如下:通过名称或错误状态,或通过对象的状态(即,该对象是否连接、断开连接或等待导入或导出)。

使用预览版来测试同步并修复错误

使用预览版,可以运行测试同步并查看结果,而无需将更改提交到 metaverse。还可以使用预览版来测试新的规则扩展,并修复由于联接失败或架构冲突导致的同步错误。

使用增量同步步骤安排定期的运行配置文件来自动处理断开器

不会通过增量导入和增量同步运行配置文件步骤重新评估无法联接的对象,这些对象可能仍保持为断开器。定期运行增量同步步骤将重新评估并处理这些断开器。有关如何运行配置文件步骤的其他信息,请参阅 Configuring Management Agents(配置管理代理)。

定期保存并清除操作中的管理代理运行历史记录

操作记录每个管理代理运行的历史记录。每个管理代理运行历史记录会保存在 SQL Server 数据库中,并会导致数据库大小随着时间的推移而增长,从而影响性能。可以使用操作保存运行历史记录。有关如何使用操作的其他信息,请参阅 Using Operations(使用操作)。

备注

一次删除大量运行将需要很长时间。建议一次删除不超过 100 个运行。

在管理代理中使用多个分区来控制单个对象类型的同步

若要在基于文件的管理代理中控制单个对象类型的同步,请为每个对象类型创建一个分区。例如,要同步对象类型 mailboxgroup,请在管理代理中创建两个分区,将 mailbox 分配给一个分区,并将 group 分配给另一个分区。然后,为每个分区创建一个管理代理运行配置文件。使用此配置,将具有一个管理代理,可灵活地同步两个所选对象类型中的一个或全部。有关如何使用分区的其他信息,请参阅 The Metaverse and the Connector Space(Metaverse 和连接器空间)

容量规划

存在大量变量会影响 MIM 部署的总体容量和性能。

如果系统中的所有创建的数据库容量较小并设置为自动增长(尤其是按较小增量增长),这会对性能产生不利影响。SQL Server 所需的最小 RAM 为 16 GB,但如果提供更大内存,将会获得更佳性能。SQL Server 上应至少有 16 个 CPU 内核,但如果有更多内核,将有助于提升整体性能。

最后,建议不在同一台服务器上同时运行 MIM 和 SharePoint 数据库。

高可用性

MIM 解决方案专为实现高可用性而设计,以避免出现任何单点故障。为实现高可用性,应考虑使用以下组件:

备注

本节中的信息仅供参考。

  • MIM 同步服务- 尽管不支持 MIM 同步服务的群集,但可以部署温备用服务器以假定出现故障时主服务器的工作负荷。但是,应该不会出现硬件故障,因为 MIM 同步服务将在多个物理节点上托管的虚拟机上运行。另外,如果发生软件故障,托管同步服务器的虚拟机可以快速地从以前的备份中进行恢复或从头重建。此服务的停机时间对使用该解决方案的最终用户交互操作没有任何影响。它只会延迟所有访问权限预配和取消请求的实现。服务恢复联机后,这些操作将恢复,而且无数据丢失。MIM 同步服务的温备用服务器将连接到同一个 SQL Server 数据库作为主实例,并且必须通过脚本激活,以防主实例出现故障,无法及时重启。请注意,用于同步 MIM 同步服务数据库和 MIM 服务数据库之间数据的 MIM 管理代理必须指向本地 MIM 服务实例。

  • SQL Server- MIM 解决方案需要 SQL Server 群集才能为数据库层提供高可用性。MIM 群集包含两个服务器,前面的段落中对其规范进行了详细介绍。尽管每个 SQL 节点中安装了这两个 SQL 实例,但在给定的时间内只会激活两个实例中的一个。

    设计考虑充分利用群集虚拟机,不会超额占用每个节点,从而可能导致这两个节点在发生故障时无法正常工作。

    由于数据库托管在远程 SQL Server 上,MIM 服务器和 SQL Server 之间的网络连接必须是 1 Gbit。100 Mbit 网络并不能提供足够的带宽,并会使同步性能降低 20% 到 30%。

始终将 Active Directory 导入用作“用户配置文件管理”中的同步设置

如果计划使用 MIM 同步服务,则不要选择此项。而是选择Use SharePoint Active Directory Import选项。如果选择Enable External Identity Manager 选项,访问群体搜集和管理器属性会存在一个已知问题。

备注

此问题已在 2017 年 2 月的公开更新 (PU) 中得以解决,请参阅 February 21, 2017, update for SharePoint Server 2016 (KB3141517)(2017 年 2 月 21 日,SharePoint Server 2016 更新 (KB3141517))

不要在同步类型之间切换

如果使用SharePoint 管理中心网站中的Configure Synchronization Settings从一个同步类型切换到其他类型,则会遇到以下问题:在 SharePoint 连接器实例启动的情况下进行导入时不返回任何对象,ULS 日志中也没有任何结果。

若要从类型切换中恢复,请参阅 SharePoint 2016 中的恢复步骤部分:Issues due to Switching Between Synchronization Types in UPA AD Import / External Identity Manager (MIM)(由于在 UPA AD 导入/外部标识管理器 (MIM) 中切换同步类型而导致的问题)

将图片从 SharePoint 导出到 Active Directory

不支持将图片从 SharePoint 导出到 Active Directory,因此需要规划此迁移。

没有支持其他配置文件属性的 BCS 集成

没有在 MIM 中支持配置文件属性的 Business Connectivity Services 集成。可以手动配置连接器以实现此目的。

用户配置文件属性

可以在 SharePoint Server 2016 中创建新的用户配置文件属性,但在 MIM 中(而不是 SharePoint 中)创建映射。

NetBios 名称

如果选择了外部标识管理器,则应该在用户配置文件应用程序服务应用程序上创建 NetBIOSDomainNamesEnabled 属性后立即启用它,以支持域的 NetBIOS 名称不同于域的完全限定的域名 (FQDN) 的方案。

通过安全通道执行同步操作

由于同步通常包括个人身份信息,因此,强烈建议通过安全通道(例如 HTTPS 或 LDAPS)执行同步运行。

See also

Overview of Microsoft Identity Manager Synchronization Service in SharePoint Server 2016