Поделиться через

Импорт и экспорт параметров конфигурации Microsoft Entra Connect

  • Статья

Microsoft Entra Connect deployments vary from a single forest Express mode installation to complex deployments that synchronize across multiple forests by using custom synchronization rules. Из-за большого количества параметров и механизмов конфигурации важно понимать, какие параметры действуют, чтобы иметь возможность быстро развернуть сервер с идентичной конфигурацией. Эта функция добавляет возможность каталогизировать конфигурацию данного сервера синхронизации для импорта параметров в новое развертывание. Можно также сравнить разные моментальные снимки параметров синхронизации, чтобы легко визуализировать различия между двумя серверами или изменения одного сервера с течением времени.

При каждом изменении конфигурации из мастера Microsoft Entra Connect новый файл параметров JSON с меткой времени автоматически экспортируется в %ProgramData%\AADConnect. Имя файла параметров имеет формат Applied-SynchronizationPolicy-*.JSON, где последняя часть имени файла — это метка времени.

Внимание

Автоматически экспортируются только изменения, внесенные Microsoft Entra Connect. Любые изменения, внесенные с помощью PowerShell, Synchronization Service Manager или редактора правил синхронизации, необходимо экспортировать самостоятельно, чтобы поддерживать актуальную копию. Экспорт по требованию также можно использовать для размещения копии параметров в безопасном месте для аварийного восстановления.

Примечание.

Эту функцию нельзя использовать, если установка Microsoft Entra Connect была изменена, чтобы включить соединитель G-SQL или соединитель G-LDAP.

Примечание.

Эта функция не может использоваться в сочетании с существующей базой данных ADSync. Использование конфигурации импорта и экспорта и использование существующей базы данных являются взаимоисключающими.

Экспорт параметров Microsoft Entra Connect

Чтобы просмотреть сводку параметров конфигурации, откройте средство Microsoft Entra Connect и выберите дополнительную задачу с именем View или Export Current Configuration. В нем отображается краткая сводка параметров, а также наличие возможности экспорта полной конфигурации сервера.

По умолчанию параметры экспортируются в %ProgramData%\AADConnect. Вы также можете сохранить параметры в защищенном расположении, чтобы обеспечить доступность в случае аварии. Параметры экспортируются с помощью формата JSON и не должны создаваться вручную или редактироваться — это необходимо для обеспечения логической согласованности. Импорт созданного вручную или измененного файла не поддерживается и может привести к непредвиденным результатам.

Импорт параметров Microsoft Entra Connect

Чтобы импортировать ранее экспортированные параметры, выполните следующие действия.

  1. Установите Microsoft Entra Connect на новом сервере.

  2. Выберите параметр Настройка после страницы приветствия.

  3. Выберите Импорт параметров синхронизации. Найдите ранее экспортированный файл параметров JSON.

  4. Выберите Установить.

    Снимок экрана: страница

Примечание.

Переопределите параметры на этой странице, такие как использование SQL Server вместо LocalDB или использование существующей учетной записи службы вместо VSA по умолчанию. Данные параметры не импортируются из файла параметров конфигурации. Они предназначены для получения сведений и сравнения.

Примечание.

Изменение экспортированного JSON-файла для изменения конфигурации не поддерживается

Импорт опыта установки

Процесс установки при импорте намеренно упрощен с минимальным количеством вводимых данных от пользователя, чтобы обеспечить легкую воспроизводимость существующего сервера.

Ниже приведены единственные изменения, которые могут быть сделаны во время установки. Все остальные изменения можно вносить после установки из мастера Microsoft Entra Connect:

  • Microsoft Entra credentials: The account name for the Global Administrator used to configure the original server is suggested by default. It must be changed if you want to synchronize information to a new directory.
  • Вход пользователя: опции входа, настроенные для вашего исходного сервера, выбираются по умолчанию и автоматически требуют ввода учетных данных или другой информации, необходимой во время настройки. В редких случаях может потребоваться настроить сервер с отличными параметрами, чтобы избежать изменения поведения активного сервера. В противном случае нажмите кнопку Далее, чтобы использовать те же параметры.
  • Учетные данные локального каталога: для каждого локального каталога, включенного в параметры синхронизации, необходимо предоставить учетные данные для создания учетной записи синхронизации или предоставить предварительно созданную настраиваемую учетную запись синхронизации. Эта процедура идентична процессу чистой установки за тем исключением, что во время процесса нельзя будет добавлять или удалять каталоги.
  • Параметры конфигурации: как и при чистой установке, можно настроить начальные параметры для запуска автоматической синхронизации или включения промежуточного режима. Основное различие заключается в том, что промежуточный режим намеренно включен по умолчанию, чтобы разрешить сравнение результатов конфигурации и синхронизации до активного экспорта результатов в идентификатор Microsoft Entra ID.

Снимок экрана: страница

Примечание.

Только один сервер синхронизации может находиться в основной роли и активно экспортировать изменения конфигурации в идентификатор Microsoft Entra. Все остальные серверы должны быть переведены в промежуточный режим.

Перенос параметров с существующего сервера

Если существующий сервер не поддерживает управление параметрами, можно либо обновить сервер на месте, либо перенести параметры для использования на новом промежуточном сервере.

Для миграции требуется запустить сценарий PowerShell, который извлекает существующие параметры для использования в новой установке. Используйте этот метод для каталогизации параметров существующего сервера и их применения к вновь установленному промежуточному серверу. Сравнение параметров исходного сервера с вновь созданным сервером позволяет быстро визуализировать изменения между серверами. Как и в прочих случаях, рекомендуется следовать процедуре сертификации вашей организации, чтобы не потребовалось никаких дополнительных настроек.

Процесс миграции

Чтобы перенести параметры, выполните следующие действия.

  1. Запустите AzureADConnect.msi на новом промежуточном сервере и перейдите на страницу приветствия Microsoft Entra Connect.

  2. Copy MigrateSettings.ps1 from the Microsoft Entra Connect\Tools directory to a location on the existing server. Примером является C:\setup, где setup — это каталог, созданный на существующем сервере.
    Скриншот, показывающий каталоги Microsoft Entra Connect.

    Примечание.

    If you see a message: “A positional parameter cannot be found that accepts argument True.”, as below:

Снимок экрана с ошибкой Затем измените файл MigrateSettings.ps1 и удалите $true и запустите скрипт: Снимок экрана: изменение конфигурации

  1. Запустите скрипт, как показано ниже, и сохраните весь каталог конфигурации сервера нижнего уровня. Скопируйте этот каталог на новый промежуточный сервер. Необходимо скопировать всю папку Exported-ServerConfiguration-* на новый сервер. Снимок экрана: сценарий в PowerShell. Снимок экрана: копирование папки Exported-ServerConfiguration-*

  2. Запустите Microsoft Entra Connect , дважды щелкнув значок на рабочем столе. Примите условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт и на следующей странице щелкните Настроить.

  3. Включите флажок Импорт параметров синхронизации. Нажмите кнопку Обзор, чтобы просмотреть скопированную папку Exported-ServerConfiguration-*. Выберите файл MigratedPolicy.json, чтобы импортировать перенесенные параметры.

    Снимок экрана, на котором показан параметр

Проверка после установки

Сравнение первоначально импортированного файла параметров с экспортированным файлом параметров нового развернутого сервера — важный шаг в понимании различий между предполагаемым и итоговым развертыванием. Используя выбранное вами приложение для сравнения текста, можно получить мгновенное визуальное представление, в котором быстро выделяются все необходимые или случайно проявившиеся изменения.

Несмотря на то, что многие из выполнявшихся вручную когда-то действий по настройке теперь не нужны, вам по-прежнему необходимо следовать процессу сертификации организации, чтобы не потребовалось дополнительной настройки. Эта конфигурация может возникнуть, если вы используете дополнительные параметры, которые в настоящее время не записываются в этом выпуске управления параметрами.

Ниже приведены известные ограничения.

  • Правила синхронизации: приоритет для настраиваемого правила должен быть в зарезервированном диапазоне от 0 до 99, чтобы избежать конфликтов со стандартными правилами Майкрософт. Размещение настраиваемого правила за пределами зарезервированного диапазона может привести к тому, что пользовательское правило переместится по мере добавления к конфигурации стандартных правил. Аналогичная ошибка возникает, если конфигурация содержит измененные стандартные правила. Не рекомендуется изменять стандартное правило — в таком случае размещение правил, скорее всего, будет неправильным.
  • Обратная запись устройств: данные параметры хранятся в каталоге. В настоящее время они не применяются во время настройки. Если функция обратной записи устройств была включена для исходного сервера, необходимо вручную настроить эту функцию на заново развернутом сервере.
  • Синхронизированные типы объектов: несмотря на то, что можно ограничить список синхронизированных типов объектов (например, пользователей, контактов и групп) с помощью Synchronization Service Manager, эта функция сейчас не поддерживается с помощью параметров синхронизации. После завершения установки необходимо вручную применить расширенную конфигурацию.
  • Выбранные атрибуты: хотя можно ограничить список синхронизированных атрибутов (например, атрибутов расширения) с помощью диспетчера службы синхронизации, эта функция в настоящее время не поддерживается с помощью параметров синхронизации. После завершения установки необходимо вручную применить расширенную конфигурацию.
  • Настраиваемые профили выполнения: несмотря на то, что вы можете изменить набор профилей запуска по умолчанию с помощью Synchronization Service Manager, эта функция сейчас не поддерживается через параметры синхронизации. После завершения установки необходимо вручную применить расширенную конфигурацию.
  • Настройка иерархии развертывания: эта расширенная функция Synchronization Service Manager не поддерживается в параметрах синхронизации. После завершения первоначального развертывания ее необходимо перенастроить вручную.
  • Active Directory Federation Services (AD FS) and PingFederate authentication: The sign-on methods associated with these authentication features are automatically preselected. Необходимо указать все остальные необходимые параметры конфигурации в интерактивном режиме.

Следующие шаги