使用現有的 ADSync 資料庫安裝 Microsoft Entra 連線

  • 發行項

Microsoft Entra 連線需要 SQL Server 資料庫來儲存資料。 您可以使用隨 Microsoft Entra 連線一起安裝的預設 SQL Server 2019 Express LocalDB,或使用您自己的 SQL 完整版本。 先前,當您安裝 Microsoft Entra 連線時,一律會建立名為 ADSync 的新資料庫。 透過 Microsoft Entra 連線 1.1.613.0 版(或更新版本),您可以選擇將 Microsoft Entra 安裝連線指向現有的 ADSync 資料庫。

使用現有 ADSync 資料庫的優點

藉由指向現有的 ADSync 資料庫:

  • 除了認證資訊外,儲存在 ADSync 資料庫中的同步處理組態(包括自訂同步處理規則、連接器、篩選和選擇性功能組態)會自動復原及使用安裝期間。 Microsoft Entra 連線用來同步處理內部部署 AD 和 Microsoft Entra 識別碼變更的認證會經過加密,而且只能由先前的 Microsoft Entra 連線 伺服器存取。
  • 所有身分識別資料(與連接器空間和 Metaverse 相關聯)和儲存在 ADSync 資料庫中的同步處理 Cookie 也會復原。 新安裝的 Microsoft Entra 連線 伺服器可以繼續同步處理先前的 Microsoft Entra 連線 伺服器已關閉的位置,而不需要執行完整同步處理。

使用現有 ADSync 資料庫的案例很有説明

這些優點在下列案例中很有用:

  • 您有現有的 Microsoft Entra 連線部署。 您現有的 Microsoft Entra 連線 伺服器已不再運作,但包含 ADSync 資料庫的 SQL Server 仍在運作中。 您可以安裝新的 Microsoft Entra 連線 伺服器,並將其指向現有的 ADSync 資料庫。
  • 您有現有的 Microsoft Entra 連線部署。 包含 ADSync 資料庫的 SQL Server 已不再運作。 不過,您最近有資料庫的備份。 您可以先將 ADSync 資料庫還原到新的 SQL Server。 之後,您可以安裝新的 Microsoft Entra 連線伺服器,並將它指向還原的 ADSync 資料庫。
  • 您有使用 LocalDB 的現有 Microsoft Entra 連線部署。 由於 LocalDB 強加的 10 GB 限制,因此您想要移轉至完整的 SQL。 您可以從 LocalDB 備份 ADSync 資料庫,並將其還原至 SQL Server。 之後,您可以重新安裝新的 Microsoft Entra 連線 伺服器,並將它指向還原的 ADSync 資料庫。
  • 您嘗試設定預備伺服器,並想要確定其組態符合目前使用中伺服器的組態。 您可以備份 ADSync 資料庫,並將其還原至另一部 SQL Server。 之後,您可以重新安裝新的 Microsoft Entra 連線 伺服器,並將它指向還原的 ADSync 資料庫。

先決條件資訊

繼續之前要記下的重要注意事項:

  • 請務必檢閱在硬體和必要條件安裝 Microsoft Entra 連線的必要條件,以及安裝 Microsoft Entra 連線所需的帳戶和許可權。 使用「使用現有資料庫」模式安裝 Microsoft Entra 連線所需的許可權與「自訂」安裝相同。
  • 只有完整 SQL 才支援針對現有的 ADSync 資料庫部署 Microsoft Entra 連線。 SQL Express LocalDB 不支援它。 如果您在 LocalDB 中有想要使用的現有 ADSync 資料庫,您必須先備份 ADSync 資料庫 (LocalDB),並將其還原至完整的 SQL。 之後,您可以使用此方法,針對還原的資料庫部署 Microsoft Entra 連線。
  • 用於安裝的 Microsoft Entra 連線版本必須符合下列準則:
    • 1.1.613.0 或更新版本、AND
    • 與 ADSync 資料庫上次使用的 Microsoft Entra 連線版本相同或更高。 如果用於安裝的 Microsoft Entra 連線 版本高於 ADSync 資料庫上次使用的版本,則可能需要完整同步處理。 如果兩個版本之間有架構或同步處理規則變更,則需要完整同步處理。
  • 使用的 ADSync 資料庫應該包含相對最近的同步處理狀態。 與現有 ADSync 資料庫的最後一個同步處理活動應在過去三周內,否則需要從 Microsoft Entra ID 完整匯入,才能更新目錄浮水印。
  • 使用「使用現有的資料庫」方法安裝 Microsoft Entra 連線時,不會保留先前 Microsoft Entra 連線 伺服器上設定的登入方法。 此外,您無法在安裝期間設定登入方法。 您只能在安裝完成之後設定登入方法。
  • 您無法有多個 Microsoft Entra 連線伺服器共用相同的 ADSync 資料庫。 「使用現有的資料庫」方法可讓您使用新的 Microsoft Entra 連線 伺服器重複使用現有的 ADSync 資料庫。 它不支援共用。

使用「使用現有資料庫」模式安裝 Microsoft Entra 連線的步驟

  1. 將 Microsoft Entra 連線 安裝程式 (AzureAD連線.MSI) 下載至 Windows 伺服器。 按兩下 Microsoft Entra 連線 安裝程式,開始安裝 Microsoft Entra 連線。
  2. MSI 安裝完成之後,Microsoft Entra 連線精靈會從快速模式設定開始。 按一下 [結束] 圖示以關閉畫面。 Screenshot that shows the
  3. 啟動新的命令提示字元或 PowerShell 會話。 流覽至資料夾 「C:\Program Files\Microsoft Entra 連線」。 執行命令 .\AzureAD連線.exe /useexistingdatabase,以「使用現有的資料庫」設定模式啟動 Microsoft Entra 連線 精靈。

注意

只有在資料庫已經包含先前 Microsoft Entra 連線 安裝的資料時,才使用 參數 /UseExistingDatabase 。 例如,當您從本機資料庫移至完整的 SQL Server 資料庫,或重建 Microsoft Entra 連線 伺服器時,並從先前安裝的 Microsoft Entra 連線 還原 ADSync 資料庫的 SQL 備份。 如果資料庫是空的,也就是說,它不包含先前 Microsoft Entra 連線安裝的任何資料,請略過此步驟。

PowerShell

  1. 您受到歡迎使用 Microsoft Entra 連線 畫面的問候。 一旦您同意授權條款和隱私權通知,請按一下 [ 繼續]。 Screenshot that shows the

  2. 在 [ 安裝必要元件 ] 畫面上,已啟用 [ 使用現有的 SQL Server ] 選項。 指定裝載 ADSync 資料庫的 SQL 伺服器名稱。 如果用來裝載 ADSync 資料庫的 SQL 引擎實例不是 SQL Server 上的預設實例,您必須指定 SQL 引擎實例名稱。 此外,如果未啟用 SQL 流覽,您也必須指定 SQL 引擎實例埠號碼。 例如:
    Screenshot that shows the

  3. [連線至 Microsoft Entra ID ] 畫面上,您必須提供 Microsoft Entra 目錄的混合式身分識別管理員istrator 認證。 建議在預設 onmicrosoft.com 網域中使用帳戶。 此帳戶僅用於在 Microsoft Entra ID 中建立服務帳戶,而且不會在精靈完成之後使用。 Connect

  4. 在連線 目錄 畫面上,針對目錄同步處理設定的現有 AD 樹系會列在目錄同步處理旁邊,並加上紅色十字圖示。 若要同步處理來自內部部署 AD 樹系的變更,則需要 AD DS 帳戶。 Microsoft Entra 連線精靈無法擷取儲存在 ADSync 資料庫中的 AD DS 帳號憑證,因為認證已加密,而且只能由先前的 Microsoft Entra 連線 伺服器解密。 按一下 [變更認證 ] 以指定 AD 樹系的 AD DS 帳戶。 Directories

  5. 在快顯對話方塊中,您可以提供企業管理員認證,讓 Microsoft Entra 連線為您建立 AD DS 帳戶,或 (ii) 自行建立 AD DS 帳戶,並將其認證提供給 Microsoft Entra 連線。 選取選項並提供必要的認證之後,請按一下 [ 確定 ] 以關閉快顯對話方塊。 Screenshot that shows the pop-up dialog

  6. 提供認證之後,紅色十字圖示會取代為綠色刻度圖示。 按一下 [下一步] 。 Screenshot that shows the

  7. 在 [ 準備設定] 畫面上,按一下 [ 安裝 ]。 Welcome

  8. 安裝完成之後,系統會自動為預備模式啟用 Microsoft Entra 連線 伺服器。 建議您在停用預備模式之前,先檢閱伺服器組態和擱置中的匯出,以取得非預期的變更。

安裝後工作

還原 Microsoft Entra 版本所建立的資料庫備份時,連線 1.2.65.0 之前,預備伺服器會自動選取 [不要 設定] 的 登入方法。 當您的密碼雜湊同步處理和密碼回寫喜好設定將會還原時,您後續必須變更登入方法,以符合作用中同步處理伺服器的其他原則。 如果無法完成這些步驟,可能會防止使用者登入此伺服器變成作用中狀態。

使用下表來驗證所需的任何其他步驟。

功能 步驟
密碼雜湊同步處理 從 1.2.65.0 開始,Microsoft Entra 連線版本會完整還原密碼雜湊同步處理和密碼回寫設定。 如果使用舊版 Microsoft Entra 連線進行還原,請檢閱這些功能的同步處理選項設定,以確保它們符合作用中的同步處理伺服器。 不需要其他設定步驟。
與 AD FS 同盟 Azure 驗證會繼續使用針對作用中同步處理伺服器設定的 AD FS 原則。 如果您使用 Microsoft Entra 連線來管理 AD FS 伺服器陣列,您可以選擇性地將登入方法變更為 AD FS 同盟,以準備讓待命伺服器成為作用中的同步處理實例。 如果在作用中的同步處理伺服器上啟用裝置選項,請執行 [設定裝置選項] 工作,在此伺服器上設定這些選項。
傳遞驗證和桌面單一登入 更新登入方法,以符合作用中同步處理伺服器上的組態。 如果在將伺服器升級為主要伺服器之前未遵循這項操作,將會停用傳遞驗證以及無縫單一登入,而且如果您未使用密碼雜湊同步作為備份登入選項,您的租使用者可能會遭到鎖定。 另請注意,當您在預備模式中啟用傳遞驗證時,將會安裝、註冊新的驗證代理程式,並將以高可用性代理程式的形式執行,以接受登入要求。
與 PingFederate 同盟 Azure 驗證會繼續使用針對作用中同步處理伺服器設定的 PingFederate 原則。 您可以選擇性地將登入方法變更為 PingFederate,以準備讓待命伺服器成為作用中的同步處理實例。 此步驟可能會延後,直到您需要將其他網域與 PingFederate 同盟為止。

下一步