共用方式為

實作 Microsoft Identity Manager 與 2016年 SharePoint Server 的部署考量

  • 發行項

 

**適用版本:**SharePoint Server 2016

**上次修改主題的時間:**2017-03-13

**摘要:**了解在 SharePoint Server 2016 伺服器陣式中部署 Microsoft Identity Manager (MIM) 的考量。

若要增加在 SharePoint Server 2016 中成功部署 MIM 的機會,請遵循下列建議:

計劃從您的測試環境移轉到生產環境

計劃、計劃、再計劃。這個步驟說再多次都不嫌多。大多數失敗的同步處理皆歸因於缺乏計劃。

在測試實驗室中正確安裝 MIM 同步處理服務,並謹慎計劃從測試實驗室移轉至生產,是將部署問題減至最少所不可或缺的要素。測試新規則時,為了不浪費時間處理上千個物件,建議您使用小型測試環境。

備份初始測試環境

安裝 MIM 且建立管理代理程式之後,備份 MIM 同步處理資料庫。然後,您隨時可以載入此備份資料庫,重新建立全新的測試環境。

測試 MIM 備份和還原程序

一般的備份程序是保護資料免遭意外遺失所不可或缺的。此外,強烈建議您在緊急情況發生之前測試備份和還原程序。若要備份並還原 MIM,使用 Windows Server 2012 R2 作業系統和 SQL Server 2014 提供的備份工具。

在相同網域中安裝 MIM 同步處理服務和 SQL Server

在安裝 MIM 同步處理期間,遠端資料庫的存取權取決於您用來執行安裝程式的目前登入帳戶存取權限。請確定執行裝載 MIM 之 Windows Server 2012 R2 作業系統的伺服器,和裝載 SQL Server 的伺服器位於相同的網域,且您用來執行安裝程式的帳戶有權存取裝載 SQL Server 的伺服器。

如果 SQL Server 安裝在遠端伺服器上,需設定存取權限

如果您將 SQL Server 安裝在遠端電腦上,也就是不在執行 MIM 的電腦上,請確保 SQL Server 服務帳戶的原則允許使用者從網路存取該電腦。如果不允許存取,MIM 安裝將會失敗。

重要

如果您在遠端電腦上安裝 SQL Server,並允許遠端電腦從網路存取,您會收到 MIM 安裝程式發出的安全性警告。在此案例中,您可以忽略警告。

指定執行 SQL Server 的遠端伺服器的 TCP/IP 連接埠

如果在 MIM 的安裝過程中,您指定的 SQL Server 執行個體位於遠端電腦上,MIM 安裝程式就會使用預設的 TCP/IP 連接埠。如果您想要指定其他連接埠,必須使用「SQL Server 用戶端網路公用程式 」(Windows\System32\cliconfg.exe) 和 SQL Server 提供的「伺服器網路公用程式」工具。如需詳細資訊,請參閱<SQL Server 線上叢書>。

變更管理代理程式規則時,使用匯出管理代理程式來備份管理代理程式

使用「匯出管理代理程式」之後,您可以使用 Import Management Agent 命令匯入個別管理代理程式的特定版本。您也可以使用 Export Server ConfigurationImport Server Configuration 命令匯出和匯入管理代理程式,但這會匯入 Metaverse 結構描述和所有的管理代理程式。如需有關如何設定及匯入的詳細資訊,請參閱<設定管理程式>和<匯入及匯出伺服器設定>。

在 Metaverse 中填入 displayName 屬性,讓搜尋結果更容易識別

使用 Metaverse 搜尋列出物件時,MIM 會傳回以 displayName 屬性識別出來的結果。如果沒有填入 displayName 屬性,系統會以全域唯一識別碼 (GUID) 來識別搜尋結果。如需有關如何使用 Metaverse 搜尋的詳細資訊,請參閱<使用 Metaverse 搜尋>。

設計流程規則,以根據物件狀態採取動作

使用物件狀態,而不是使用造成物件狀態的事件,來決定物件同步處理的下一個步驟。

重要

同步處理物件時,請勿依賴宣告式規則,或規則擴充中依特定順序評估的規則。要以未排定順序的方式評估規則。

第一次將連接的資料來源移轉到 metaverse 時,停用佈建

當您第一次部署 MIM 時,建議您在啟用佈建之前,先移轉並加入所有連接的資料來源。確認所有項目皆順利移轉並加入之後,您可以啟用佈建,然後執行管理代理程式的完整同步處理,將佈建規則套用至所有連接的物件。如需有關如何設定佈建規則的詳細資訊,請參閱<佈建規則>。

在您的執行設定檔步驟中設定刪除臨界值,限制意外刪除數目

使用刪除臨界值設定,來限制可在匯入或匯出期間發生的意外刪除數目。當達到臨界值限制時,刪除臨界值會停止管理代理程式,或防止它啟動。如需詳細資訊,請參閱<設定管理代理程式>。

使用搜尋連接器空間來檢查物件

您可以使用「搜尋連接器空間」,在連接器空間中搜尋管理代理程式的物件。您可以依名稱、錯誤狀態、或依物件的狀態 (也就是連線、斷線、或等候匯入或匯出) 找出物件。

使用預覽測試同步處理,並針對錯誤進行疑難排解

使用「預覽」,您可以執行測試同步處理並檢視結果,不必認可 Metaverse 的變更。您也可以使用預覽測試新的規則擴充,並解決因為加入失敗或結構描述違規導致的同步處理錯誤。

使用「差異同步處理」步驟排定週期性的執行設定檔,以自動處理斷路器

差異匯入和差異同步處理執行設定檔的步驟,不會重新評估無法加入的物件,這些物件可能仍是斷路器。定期執行差異同步處理的步驟會重新評估並處理這些斷路器。如需有關如何執行設定檔步驟的詳細資訊,請參閱<設定管理代理程式>。

定期儲存並清除 Operations 中的管理代理程式歷程記錄

Operations 會記錄每個管理代理程式執行的歷程記錄。每個管理代理程式執行歷程記錄會儲存在 SQL Server 資料庫中,使資料庫逐漸增大,進而影響效能。可以使用 Operations 儲存執行歷程記錄。如需有關如何使用 Operations 的詳細資訊,請參閱<使用 Operations>。

注意

一次刪除非常大量的執行需要相當長時間。建議您一次不要刪除超過 100 個執行。

使用管理代理程式中的多個分割區,來控制單一物件類型的控制項同步處理

若要控制檔案型管理代理程式中單一物件類型的同步處理,請為每一個物件類型建立一個分割區。例如,若要同步處理 mailboxgroup 物件類型,請在管理代理程式中建立兩個分割區,指派 mailbox 到其中一個分割區,並指派 group 到另一個分割區。然後,為每個分割區建立管理代理程式執行設定檔。這樣設定時,您的管理代理程式就具有同步處理一或兩個選取之物件類型的彈性。如需有關如何使用分割區的詳細資訊,請參閱<Metaverse 和連接器空>。

容量規劃

有一些變數會影響 MIM 部署的整體容量和效能。

如果系統中的所有資料庫都是以較小的大小建立,並且設定為自動成長 (尤其是以微小增量成長),就會對效能產生負面影響。SQL Server 需要最少 16GB 的 RAM,但更多的記憶體能讓您獲益更多。您的 SQL 伺服器應該至少有 16 個 CPU 核心,但更多核心有助於整體效能。

最後,最好不要在相同伺服器上同時執行 MIM 和 SharePoint 資料庫。

高可用性

MIM 解決方案是為了高可用性而設計,以防止任何單一點的失敗。下列元件可視為高可用性:

注意

本節中的資訊僅為建議。

  • MIM 同步處理服務 - 暖待命伺服器雖然不支援 MIM 同步處理服務的叢集,但可以部署為在發生失敗時承擔主要工作負載。不過,硬體故障應該不是問題,因為 MIM 同步處理服務會在裝載多個實體節點的虛擬機器上執行。同樣地,軟體故障時,裝載同步處理伺服器的虛擬機器可能會快速地從先前的備份復原或從頭重建。這項服務的停機時間不會影響使用者與解決方案之間的互動。它只會延遲履行所有存取佈建和取消的要求。當服務恢復時,這些作業會繼續,不會有資料遺失。MIM 同步處理服務的暖待命將連線到相同的 SQL Server 資料庫,作為主要的執行個體,而且必須在主要執行個體故障時透過指令碼加以啟動,且無法即時重新啟動。請注意,原先用來在 MIM 同步處理服務資料庫和 MIM 服務資料庫之間同步處理資料的 MIM 管理代理程式,必須指向 MIM 服務本機執行個體。

  • SQL Server - MIM 解決方案需要SQL Server 叢集,才能提供資料庫層的高可用性。MIM 叢集會包含兩個伺服器 (詳述於之前的段落)。即使在每個 SQL 節點安裝兩個 SQL 執行個體,在指定的時間內,只有其中一個執行個體可以使用。

    此設計考量的是叢集中虛擬機器的最佳運用方式,不會超額訂用每個節點,以免在錯誤發生時兩個節點可能皆無法使用。

    當資料庫裝載於遠端 SQL Server 時,MIM 伺服器和 SQL Server 之間的網路連線必須是 1Gbit。100Mbit 的網路無法提供足夠的頻寬,會使同步處理的效能降低百分之 20 到 30。

在使用者設定檔管理中永遠使用 Active Directory 匯入作為同步處理設定

如果您打算使用 MIM 同步處理服務,請勿選取此項目。改為選取 [Use SharePoint Active Directory Import] 選項。目前已經知道,如果選取 [Enable External Identity Manager] 選項,Audience 編譯和 Manager 屬性會發生問題。

注意

這個問題已在 2017 年 2 月的公開更新 (PU) 中修正,請參閱<2017 年 2 月 21日,SharePoint Server 2016 更新(KB3141517)>。

請勿在同步處理類型之間切換

如果您在 SharePoint 管理中心網站 中使用 Configure Synchronization Settings 從一個同步處理類型切換到另一個,當 SharePoint 連接器執行個體上啟動匯入時,您會遇到沒有物件傳回、且 ULS 記錄檔中沒有結果的問題。

若要復原類型切換,請參閱<修復步驟>中的<SharePoint 2016:在 UPA AD 匯入/外部身分識別管理員中切換同步處理類型引發的問題 (MIM)

從 SharePoint 將圖片匯出至 Active Directory

不支援從 SharePoint 將圖片匯出至 Active Directory,所以您需要為此移轉先作計劃。

沒有 BCS 整合可支援其他的設定檔屬性

沒有任何 Business Connectivity Service (BCS) 整合支援 MIM 中的設定檔屬性。您可以手動設定連接器來達成這個目的。

使用者設定檔屬性

可以在 SharePoint Server 2016 中建立新的使用者設定檔屬性,但不會在 SharePoint 中建立對應,而是在 MIM 中建立。

NetBIOS 名稱

如果選取了外部身分識別管理員,您應該在「使用者設定檔應用程式」服務應用程式中建立 NetBIOSDomainNamesEnabled 屬性時立即加以啟用,以因應您的網域 NetBIOS 名稱與網域的完整網域名稱 (FQDN) 不同的情況。

透過安全通道執行同步處理作業

同步處理通常會納入個人識別資訊,因此強烈建議您透過安全通道執行同步處理,例如 HTTPS 或 LDAPS。

See also

Overview of Microsoft Identity Manager Synchronization Service in SharePoint Server 2016