實作 Microsoft Identity Manager 與 SharePoint Server 的部署考量
適用於:
Subscription Edition SharePoint in Microsoft 365
若要增加您在 SharePoint Server 中成功部署 MIM 的機會,請遵循下列建議:
計劃從您的測試環境移轉到生產環境
計劃、計劃、再計劃。 這個步驟說再多次都不嫌多。 大多數失敗的同步處理皆歸因於缺乏計劃。
在測試實驗室中正確安裝 MIM 同步處理服務,並謹慎計劃從測試實驗室移轉至生產,是將部署問題減至最少所不可或缺的要素。 建議您使用小型測試環境,以避免在測試新規則時處理數千個物件。
備份初始測試環境
安裝 MIM 且建立管理代理程式之後,備份 MIM 同步處理資料庫。 然後,您隨時可以載入此備份資料庫,重新建立全新的測試環境。
測試 MIM 備份和還原程序
一般的備份程序是保護資料免遭意外遺失所不可或缺的。 也建議您在發生緊急狀況之前,先測試備份和還原程式。 若要備份並還原 MIM,使用 Windows Server 2012 R2 作業系統和 SQL Server 2014 提供的備份工具。
在相同網域中安裝 MIM 同步處理服務和 SQL Server
在 MIM 同步處理設定期間,遠端資料庫存取取決於您用來執行安裝程式之目前登入帳戶的訪問許可權。 確定執行 Windows Server 2012 R2 操作系統的伺服器裝載 MIM 和裝載 SQL Server 的伺服器位於相同的網域中,而且您用來執行安裝程式的帳戶具有裝載 SQL Server 之伺服器的訪問許可權。
如果 SQL Server 安裝在遠端伺服器上,需設定存取權限
如果您將 SQL Server 安裝在遠端電腦上,也就是不在執行 MIM 的電腦上,請確保 SQL Server 服務帳戶的原則允許使用者從網路存取該電腦。 如果不允許存取,MIM 設定將會失敗。
重要事項
如果您在遠端電腦上安裝 SQL Server,並允許遠端電腦的網路存取,您會收到來自 MIM 安裝程式的安全性警告。 在此案例中,您可以忽略警告。
指定執行 SQL Server 的遠端伺服器的 TCP/IP 連接埠
如果在 MIM 的安裝過程中,您指定的 SQL Server 執行個體位於遠端電腦上,MIM 安裝程式就會使用預設的 TCP/IP 連接埠。 如果您想要指定其他連接埠,必須使用「SQL Server 用戶端網路公用程式 」(Windows\System32\cliconfg.exe) 和 SQL Server 提供的「伺服器網路公用程式」工具。 如需詳細資訊,請參閱<SQL Server 線上叢書>。
變更管理代理程式規則時,使用匯出管理代理程式來備份管理代理程式
使用「匯出管理代理程式」之後,您可以使用 Import Management Agent 命令匯入個別管理代理程式的特定版本。 您也可以使用 Export Server Configuration 和 Import Server Configuration 命令匯出和匯入管理代理程式,但這會匯入 Metaverse 結構描述和所有的管理代理程式。 如需如何設定和匯入的詳細資訊,請參閱設定 管理代理 程式和 匯入和匯出伺服器組態
在 Metaverse 中填入 displayName 屬性,讓搜尋結果更容易識別
使用 Metaverse 搜尋列出物件時,MIM 會傳回以 displayName 屬性識別出來的結果。 如果未填入 displayName 屬性,搜尋結果會由 GUID) (全域唯一標識符來識別。 如需如何使用 Metaverse 搜尋的詳細資訊,請 參閱使用 Metaverse 搜尋
設計流程規則,以根據物件狀態採取動作
使用物件狀態,而不是使用造成物件狀態的事件,來決定物件同步處理的下一個步驟。
重要事項
[!重要事項] 同步處理物件時,請勿依賴宣告式規則,或規則擴充中依特定順序評估的規則。 要以未排定順序的方式評估規則。
第一次將連接的資料來源移轉到 metaverse 時,停用佈建
當您第一次部署 MIM 時,建議您先移轉並加入所有連線的數據源,再啟用布建。 確認所有專案都已成功移轉並加入之後,您可以啟用布建並執行管理代理程式的完整同步處理,以將佈建規則套用至所有連線的物件。 如需如何設定布建規則的詳細資訊,請參閱 布建規則
在您的執行設定檔步驟中設定刪除臨界值,限制意外刪除數目
使用刪除臨界值設定,來限制可在匯入或匯出期間發生的意外刪除數目。 當達到臨界值限制時,刪除臨界值會停止管理代理程式,或防止它啟動。 如需詳細資訊, 請參閱設定管理代理程式。
使用搜尋連接器空間來檢查物件
您可以使用「搜尋連接器空間」,在連接器空間中搜尋管理代理程式的物件。 您可以依名稱或錯誤狀態,或是依物件的狀態 (找到物件,也就是它已連線、中斷連線,或等候匯入或匯出) 。
使用預覽測試同步處理,並針對錯誤進行疑難排解
使用「預覽」,您可以執行測試同步處理並檢視結果,不必認可 Metaverse 的變更。 您也可以使用預覽測試新的規則擴充,並解決因為加入失敗或結構描述違規導致的同步處理錯誤。
使用「差異同步處理」步驟排定週期性的執行設定檔,以自動處理斷路器
無法聯結的物件不會由 Delta Import and Delta Synchronization 執行配置檔步驟重新評估,而且可能會保持為中斷連線。 定期執行差異同步處理步驟將會重新評估和處理這些中斷連接器。 如需如何執行配置檔步驟的詳細資訊,請 參閱設定管理代理程式。
定期儲存並清除 Operations 中的管理代理程式歷程記錄
作業會記錄每個管理代理程式執行的歷程記錄。 每個管理代理程式執行歷程記錄會儲存在 SQL Server 資料庫中,使資料庫逐漸增大,進而影響效能。 可以使用 Operations 儲存執行歷程記錄。 如需如何使用作業的詳細資訊,請參閱 使用作業。
注意事項
[!附註] 一次刪除非常大量的執行需要相當長時間。 建議您一次刪除不超過 100 次的執行。
使用管理代理程式中的多個分割區,來控制單一物件類型的控制項同步處理
若要控制檔案型管理代理程式中單一物件類型的同步處理,請為每一個物件類型建立一個分割區。 例如,若要同步處理 mailbox 和 group 物件類型,請在管理代理程式中建立兩個分割區,指派 mailbox 到其中一個分割區,並指派 group 到另一個分割區。 然後,為每個分割區建立管理代理程式執行設定檔。 這樣設定時,您的管理代理程式就具有同步處理一或兩個選取之物件類型的彈性。 如需如何使用分割區的詳細資訊, 請參閱 Metaverse 和連接器空間
容量規劃
有許多變數可能會影響 MIM 部署的整體容量和效能。
如果系統中的所有資料庫都是以較小的大小建立,並且設定為自動成長,特別是以小增量來自動成長,效能可能會受到負面影響。 SQL Server 至少需要 16 GB 的 RAM,但您將受益於更多記憶體。 您應該在 SQL 伺服器上至少有 16 個 CPU 核心,但更多核心將有助於整體效能。
最後,建議您不要在同一部伺服器上一起執行 MIM 和 SharePoint 資料庫。
高可用性
MIM 解決方案是為了高可用性而設計,以防止任何單一點的失敗。 下列元件可視為高可用性:
注意事項
本節中的資訊僅為建議。
MIM 同步處理服務 - 雖然不支援 MIM 同步處理服務的叢集,但是可以在發生失敗時部署暖待命伺服器來假設主要伺服器的工作負載。 不過,硬體故障不應該是考慮問題,因為 MIM 同步處理服務會在裝載於多個實體節點的虛擬機上執行。 此外,如果軟體失敗,裝載同步處理伺服器的虛擬機可以從先前的備份快速復原,或從頭重建。 這項服務的停機時間不會影響使用者與解決方案之間的互動。 它只會延遲履行所有存取佈建和取消的要求。 當服務恢復時,這些作業會繼續,不會有資料遺失。 MIM 同步處理服務的暖待命會連線到與主要實例相同的 SQL Server 資料庫,而且必須透過腳本啟用,以防主要實例關閉且無法及時重新啟動。 請注意,原先用來在 MIM 同步處理服務資料庫和 MIM 服務資料庫之間同步處理資料的 MIM 管理代理程式,必須指向 MIM 服務本機執行個體。
SQL Server - MIM 解決方案需要SQL Server 叢集,才能提供資料庫層的高可用性。 MIM 叢集會包含兩個伺服器 (詳述於之前的段落)。 即使在每個 SQL 節點安裝兩個 SQL 執行個體,在指定的時間內,只有其中一個執行個體可以使用。
設計會將叢集虛擬機的最佳用法納入考慮,而不會過度訂閱每個節點,而且可能會在發生故障轉移時導致這兩個節點關閉。
當資料庫裝載於遠端 SQL Server 時,MIM 伺服器和 SQL Server 之間的網路連線必須是 1Gbit。 100 Mbit 網路不會提供足夠的頻寬,而且會將同步處理效能降低 20% 到 30%。
在使用者設定檔管理中永遠使用 Active Directory 匯入作為同步處理設定
如果您打算使用 MIM 同步處理服務,請勿選取它。 改為選取 [ Use SharePoint Active Directory Import ] 選項。 如果選取 [ 啟用外部 身分識別管理員] 選項,則對象編譯和管理員屬性有已知問題。
注意事項
這個問題已在 2017 年 2 月的公開更新 (PU) 中修正,請參閱<2017 年 2 月 21日,SharePoint Server 2016 更新(KB3141517)>。
請勿在同步處理類型之間切換
如果您使用 SharePoint 管理中心網站中的 [設定 同步處理設定 ] 從一個同步處理類型切換到另一個同步處理類型,則在啟動 SharePoint 連接器實例的匯入時,不會傳回任何物件,且 ULS 記錄中不會有任何結果。
若要復原類型切換,請參閱< 修復步驟 >中的< SharePoint 2016:在 UPA AD 匯入/外部身分識別管理員中切換同步處理類型引發的問題 (MIM)>
從 SharePoint 將圖片匯出至 Active Directory
Microsoft Identity Manager 支援將使用者配置文件圖片從 SharePoint 導出至 Active Directory。
沒有 BCS 整合可支援其他的設定檔屬性
沒有 Business Connectivity Services 整合可支援 MIM 中的設定檔屬性。 您可以手動設定連接器來達成這個目的。
使用者設定檔屬性
您可以在 SharePoint Server 中建立新的使用者配置文件屬性;不過,不會在 SharePoint 中建立對應,而是在 MIM 中建立。
NetBIOS 名稱
如果選取了外部身分識別管理員,您應該在「使用者設定檔應用程式」服務應用程式中建立 NetBIOSDomainNamesEnabled 屬性時立即加以啟用,以因應您的網域 NetBIOS 名稱與網域的完整網域名稱 (FQDN) 不同的情況。
透過安全通道執行同步處理作業
由於同步處理通常會包含個人標識資訊,因此建議透過 HTTPS 或 LDAPS 等安全通道執行同步執行。