匯入和匯出 Microsoft Entra Connect 組態設定

Microsoft Entra Connect 部署從單一樹系快速模式安裝，到使用自訂同步處理規則跨多個樹系同步處理的複雜部署，各有不同。 由於有大量的設定選項和機制，因此務必了解哪些設定有效，並且能夠使用相同設定快速部署伺服器。 這項功能引進了將指定同步處理伺服器的設定編目，以及將設定匯入新部署的功能。 您可以比較不同的同步處理設定快照集，輕鬆地將兩部伺服器之間的差異或相同伺服器一段時間內的差異視覺化。

每次從 Microsoft Entra Connect 精靈變更組態時，已加上時間戳記的新 JSON 設定檔案會自動匯出至 %ProgramData%\AADConnect。 設定檔案名稱的格式為 Applied-SynchronizationPolicy-*.JSON，其中檔案名稱的最後部分是時間戳記。

重要

只會自動匯出 Microsoft Entra Connect 所做的變更。 使用 PowerShell、Synchronization Service Manager 或同步處理規則編輯器所做的任何變更，都必須視需要隨選匯出，以維護最新的複本。 也可以使用隨選匯出，將設定的複本放在安全的位置，以供災害復原之用。

注意

如果 Microsoft Entra Connect 安裝已修改為包含 G-SQL 連接器或 G-LDAP 連接器，則無法使用此功能。

注意

此功能無法與現有的 ADSync 資料庫一起使用。 使用匯入/匯出設定和使用現有資料庫是互斥的。

匯出 Microsoft Entra Connect 設定

若要檢視組態設定的摘要，請開啟 Microsoft Entra Connect 工具，然後選取名為 [檢視或匯出目前組態] 的其他工作。 系統會顯示您設定的快速摘要，以及匯出伺服器完整設定的功能。

根據預設，設定會匯出至 %ProgramData%\AADConnect。 您也可以選擇將設定儲存到受保護的位置，以確保發生嚴重損壞時的可用性。 設定是使用 JSON 檔案格式匯出，不應手動建立或編輯，以確保邏輯一致性。 不支援匯入手動建立或編輯的檔案，而且可能會導致非預期的結果。

匯入 Microsoft Entra Connect 設定

若要匯入先前匯出的設定：

1. 在新伺服器上安裝 Microsoft Entra Connect。

2. 在 [歡迎使用] 頁面出現之後，選取 [自訂] 選項。

3. 選取 [匯入同步處理設定]。 瀏覽先前匯出的 JSON 設定檔案。

4. 選取 [安裝]。

   

注意

覆寫此頁面上的設定，例如使用 SQL Server 而不是 LocalDB，或使用現有的服務帳戶而不是預設 VSA。 這些設定不會從組態設定檔案匯入。 這些設定是用於資訊和比較用途。

注意

不支援修改匯出的 JSON 檔案來變更設定

匯入安裝經驗

匯入安裝體驗刻意保持簡單，只要使用者輸入最少量的資訊，就能輕鬆地提供現有伺服器的重現性。

以下是可以在安裝體驗期間進行的唯一變更。 從 Microsoft Entra Connect 精靈安裝之後，就可以進行其他所有變更：

• Microsoft Entra 認證：預設建議用來設定原始伺服器的 Azure 全域管理員帳戶名稱。 如果您想要將資訊同步處理至新的目錄，則必須加以變更。
• 使用者登入：預設會選取針對您的原始伺服器所設定的登入選項，並且會自動提示您輸入在設定期間所需的認證或其他資訊。 在罕見的情況下，可能需要使用不同的選項來設定伺服器，以避免變更作用中伺服器的行為。 否則，請選取 [下一步] 以使用相同的設定。
• 內部部署目錄認證：針對同步處理設定中包含的每個內部部署目錄，您必須提供認證以建立同步處理帳戶，或提供預先建立的自訂同步處理帳戶。 此程序與全新安裝體驗完全相同，不同的是您無法新增或移除目錄。
• 設定選項：如同全新安裝，您可能會選擇設定是否要啟動自動同步處理或啟用預備模式的初始設定。 主要的差異在於，預設會刻意啟用預備模式，以便在將結果主動匯出至 Azure 之前，先比較設定和同步處理結果。

注意

只有一部同步處理伺服器可以在主要角色中，並主動將設定變更匯出至 Azure。 所有其他伺服器都必須放在預備模式中。

從現有伺服器遷移設定

如果現有的伺服器不支援設定管理，您可以選擇就地升級伺服器，或遷移設定以便在新的預備伺服器上使用。

移轉需要執行 PowerShell 指令碼以擷取現有的設定，以便在新的安裝中使用。 使用這個方法來為現有伺服器的設定編目，然後將其套用至新安裝的預備伺服器。 將原始伺服器設定與新建立伺服器設定進行比較，可以快速視覺化伺服器之間的變更。 如往常一樣，請遵循組織的認證程序，以確保不需要進行其他設定。

移轉程序

若要遷移設定：

1. 在新的預備伺服器上啟動 AzureADConnect.msi，然後停留在 Microsoft Entra Connect 的 [歡迎使用] 頁面。

2. 從 Microsoft Entra Connect\Tools 目錄將 MigrateSettings.ps1 複製到現有伺服器上的位置。 例如 C:\setup，其中 setup 是在現有伺服器上建立的目錄。
   

   注意

   如果您看到訊息：「找不到可接受引數 True 的位置參數。」，如下所示：

   然後編輯 MigrateSettings.ps1 檔案、移除 $true 並執行指令碼：

3. 執行如下所示的指令碼，並儲存整個下層伺服器設定目錄。 將此目錄複製到新的預備伺服器。 您必須將整個 Exported-ServerConfiguration-* 資料夾複製到新的伺服器。

4. 按兩下桌面上的圖示，開始 Microsoft Entra Connect。 接受 Microsoft 軟體授權條款，然後在下一個頁面上選取 [自訂]。

5. 選取 [匯入同步處理設定] 核取方塊。 選取 [瀏覽] 以瀏覽複製的 Exported-ServerConfiguration-* 資料夾。 選取 MigratedPolicy.json 以匯入遷移的設定。

   

安裝後驗證

比較原始匯入的設定檔案與新部署伺服器的匯出設定檔案，是了解預期與產生部署之間任何差異的重要步驟。 使用您最愛的並列文字比較應用程式，產生立即的視覺效果，以快速醒目顯示任何所需或意外的變更。

雖然現在已排除許多先前手動設定的步驟，但是您仍應遵循組織的認證程序，以確保不需要進行其他設定。 如果您使用進階設定 (目前在這個版本的設定管理中無法擷取)，則可能會發生這個設定。

以下是已知的限制：

• 同步處理規則：自訂規則的優先順序必須在 0 到 99 的保留範圍內，以避免與 Microsoft 的標準規則發生衝突。 將自訂規則放在保留範圍之外，可能會導致您的自訂規則在標準規則新增至設定時四處移動。 如果您的設定包含修改過的標準規則，將會發生類似的問題。 不建議修改標準規則，而且規則放置可能會不正確。
• 裝置回寫：這些設定已編目。 目前不會在設定期間套用。 如果您的原始伺服器已啟用裝置回寫，您必須在新部署的伺服器上手動設定此功能。
• 已同步處理的物件類型：雖然可以使用 Synchronization Service Manager 來限制已同步處理的物件類型清單 (例如使用者、連絡人和群組)，但是目前還無法透過同步處理設定來支援此功能。 完成安裝之後，您必須手動重新套用進階設定。
• 自訂執行設定檔：雖然您可以使用 Synchronization Service Manager 來修改一組預設的執行設定檔，但是目前還無法透過同步處理設定來支援此功能。 完成安裝之後，您必須手動重新套用進階設定。
• 設定佈建階層：無法透過同步處理設定支援 Synchronization Service Manager 的這項進階功能。 您必須在完成初始部署之後，以手動方式重新設定。
• Active Directory 同盟服務 (AD FS) 和 PingFederate 驗證：會自動預先選取與這些驗證功能相關聯的登入方法。 您必須以互動方式提供所有其他必要的設定參數。
• 已停用的自訂同步處理規則將匯入為已啟用：已停用的自訂同步處理規則會匯入為已啟用。 務必也在新伺服器上停用。

下一步

• 硬體和先決條件
• 快速設定
• 自訂設定
• 安裝 Microsoft Entra Connect Health 代理程式