Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra Connect требует, чтобы база данных SQL Server хранила данные. Вы можете использовать sql Server 2019 Express LocalDB по умолчанию, установленный с помощью Microsoft Entra Connect, или использовать собственную полную версию SQL. Ранее при установке Microsoft Entra Connect всегда создавалась новая база данных с именем ADSync. С помощью Microsoft Entra Connect версии 1.1.613.0 (или более поздней версии) вы можете установить Microsoft Entra Connect, связав его с существующей базой данных ADSync.
Преимущества использования существующей базы данных ADSync
Указывая на существующую базу данных ADSync:
- За исключением сведений об учетных данных, конфигурация синхронизации, хранящейся в базе данных ADSync, автоматически восстанавливается и используется во время установки. Сюда входят пользовательские правила синхронизации, соединители, фильтрация и настройка дополнительных компонентов.
- Все идентификационные данные (связанные с пространствами коннекторов и метавселенными) и файлы cookie синхронизации, хранящиеся в базе данных ADSync, также восстанавливаются. Только что установленный сервер Microsoft Entra Connect может продолжать синхронизироваться с предыдущего сервера Microsoft Entra Connect, а не выполнять полную синхронизацию.
Это важно
В некоторых пограничных случаях установка из существующей базы данных ADSync может активировать полный цикл синхронизации. Если вы не готовы инициировать полную синхронизацию сразу после установки, ее можно отложить, настроив планировщик синхронизации. Используйте один из следующих вариантов:
- Чтобы задать NextSyncCyclePolicyType, выполните следующие действия.
Set-ADSyncScheduler -NextSyncCyclePolicyType Delta - Чтобы переопределить поведение соединителя и предотвратить полный импорт/синхронизацию:
Set-ADSyncSchedulerConnectorOverride -ConnectorName '<connector name>' -FullImportRequired $false -FullSyncRequired $false
Сценарии, в которых использование существующей базы данных ADSync полезно
Эти преимущества полезны в следующих сценариях:
- У вас есть существующее развертывание Microsoft Entra Connect. Существующий сервер Microsoft Entra Connect больше не работает, но СЕРВЕР SQL, содержащий базу данных ADSync, по-прежнему работает. Вы можете установить новый сервер Microsoft Entra Connect и указать его на существующую базу данных ADSync.
- У вас есть существующее развертывание Microsoft Entra Connect. Сервер SQL, содержащий базу данных ADSync, больше не работает. Однако у вас есть последняя резервная копия базы данных. Сначала базу данных ADSync можно восстановить на новом сервере SQL Server. После этого можно установить новый сервер Microsoft Entra Connect и указать его на восстановленную базу данных ADSync.
- У вас есть существующее развертывание Microsoft Entra Connect, использующее LocalDB. Из-за ограничения на 10 ГБ, введенного LocalDB, необходимо выполнить миграцию на полный SQL. Вы можете создать резервную копию базы данных ADSync из LocalDB и восстановить ее на сервере SQL Server. После этого можно переустановить новый сервер Microsoft Entra Connect и указать его на восстановленную базу данных ADSync.
- Вы пытаетесь настроить промежуточный сервер и хотите убедиться, что его конфигурация соответствует текущему активному серверу. Вы можете создать резервную копию базы данных ADSync и восстановить ее на другом сервере SQL Server. После этого можно переустановить новый сервер Microsoft Entra Connect и указать его на восстановленную базу данных ADSync.
Необходимые сведения
Важные заметки, которые следует заметить перед продолжением:
- Обязательно ознакомьтесь с требованиями к оборудованию и предварительными условиями для установки Microsoft Entra Connect, а также с учетными записями и разрешениями, необходимыми для установки Microsoft Entra Connect. Разрешения, необходимые для установки Microsoft Entra Connect с использованием режима использования существующей базы данных, совпадают с "настраиваемой" установкой.
- Развертывание Microsoft Entra Connect в существующей базе данных ADSync поддерживается только с полноценной SQL. Она не поддерживается в SQL Express LocalDB. Если у вас есть существующая база данных ADSync в LocalDB, которую вы хотите использовать, необходимо сначала создать резервную копию базы данных ADSync (LocalDB). Затем восстановите его до полной функциональности SQL. Затем вы можете развернуть Microsoft Entra Connect в восстановленной базе данных с помощью этого метода.
- Версия Microsoft Entra Connect, используемая для установки, должна соответствовать следующим критериям:
- 1.1.613.0 или более поздней версии, И
- То же или выше, чем версия Microsoft Entra Connect, которая использовалась с базой данных ADSync. Если версия Microsoft Entra Connect, используемая для установки, выше последней версии, используемой с базой данных ADSync, может потребоваться полная синхронизация. Полная синхронизация требуется, если существуют изменения в схеме или правиле синхронизации между двумя версиями.
- Используемая база данных ADSync должна содержать состояние синхронизации, которое обновлялось в недавнее время. Последняя активность синхронизации с существующей базой данных ADSync должна происходить в последние три недели, в противном случае для обновления водяного знака каталога требуется полный импорт из Microsoft Entra ID.
- При установке Microsoft Entra Connect с помощью метода "использовать существующую базу данных" метод входа, настроенный на предыдущем сервере Microsoft Entra Connect, не сохраняется. Кроме того, во время установки невозможно настроить метод входа. После завершения установки можно настроить только метод входа.
- У вас не может быть нескольких серверов Microsoft Entra Connect с одной базой данных ADSync. Метод "использовать существующую базу данных" позволяет повторно использовать существующую базу данных ADSync с новым сервером Microsoft Entra Connect. Он не поддерживает общий доступ.
Действия по установке Microsoft Entra Connect с режимом использования существующей базы данных
- Скачайте установщик Microsoft Entra Connect (AzureADConnect.MSI) на сервер Windows. Дважды выберите установщик Microsoft Entra Connect, чтобы начать установку Microsoft Entra Connect.
- После завершения установки MSI мастер Microsoft Entra Connect начинается с установки в режиме Express. Закройте экран, выбрав значок выхода.
- Запустите новую командную строку или сеанс PowerShell. Перейдите в папку "C:\Program Files\Microsoft Azure Active Directory Connect". Выполните команду\AzureADConnect.exe /useexistingdatabase, чтобы запустить мастер Microsoft Entra Connect в режиме настройки «Использовать существующую базу данных».
Замечание
Используйте параметр /UseExistingDatabase , только если база данных уже содержит данные из более ранней установки Microsoft Entra Connect. Например, при переходе из локальной базы данных в полную базу данных SQL Server или при перестроении сервера Microsoft Entra Connect и восстановлении резервной копии базы данных ADSync из более ранней установки Microsoft Entra Connect. Если база данных пуста, то есть она не содержит никаких данных из предыдущей установки Microsoft Entra Connect, пропустите этот шаг.
Вас приветствует экран «Добро пожаловать в Microsoft Entra Connect». После принятия условий лицензионного соглашения и уведомления о конфиденциальности нажмите кнопку "Продолжить".
На экране "Установка необходимых компонентов " включен параметр Use an existing SQL Server . Укажите имя СЕРВЕРА SQL Server, на котором размещена база данных ADSync. Если экземпляр ядра SQL, используемый для размещения базы данных ADSync, не является экземпляром по умолчанию на сервере SQL Server, необходимо указать имя экземпляра ядра SQL. Кроме того, если просмотр SQL не включен, необходимо также указать номер порта экземпляра ядра SQL. Рассмотрим пример.
На экране "Подключение к единому идентификатору Microsoft Entra" необходимо указать учетные данные администратора гибридной идентичности вашего каталога Microsoft Entra. Рекомендуется использовать учетную запись в домене onmicrosoft.com по умолчанию. Эта учетная запись используется только для создания учетной записи службы в идентификаторе Microsoft Entra ID и не используется после завершения работы мастера.
На экране "Подключение каталогов" существующий лес AD, настроенный для синхронизации каталогов, отображается с красным значком крестика рядом с ним. Для синхронизации изменений из локального леса AD необходима учетная запись AD DS. Мастер Microsoft Entra Connect не может получить учетные данные учетной записи AD DS, хранящейся в базе данных ADSync. Это связано с тем, что учетные данные шифруются и могут быть расшифрованы только предыдущим сервером Microsoft Entra Connect. Выберите "Изменить учетные данные", чтобы указать учетную запись AD DS для леса AD.
Во всплывающем диалоговом окне можно указать учетные данные администратора предприятия и разрешить Microsoft Entra Connect создать учетную запись AD DS для вас или (ii) создать учетную запись AD DS самостоятельно и указать учетные данные Microsoft Entra Connect. После выбора параметра и предоставления необходимых учетных данных нажмите кнопку "ОК ", чтобы закрыть всплывающее диалоговое окно.
После предоставления учетных данных значок красного креста заменяется зеленым значком галочки. Выберите Далее.
На экране "Готово к настройке" нажмите кнопку "Установить".
После завершения установки сервер Microsoft Entra Connect автоматически включен для промежуточного режима. Рекомендуется просмотреть конфигурацию сервера и ожидающие экспорты для непредвиденных изменений перед отключением промежуточного режима.
Действия после установки
При восстановлении резервной копии базы данных, созданной с помощью версии Microsoft Entra Connect до 1.2.65.0, сервер подготовки автоматически выбирает метод входа "Do Not Configure". Хотя параметры синхронизации хэша паролей и обратной записи паролей восстанавливаются, затем необходимо изменить метод входа в соответствии с другими политиками, действующими для активного сервера синхронизации. Сбой выполнения этих действий может препятствовать входу пользователей, если этот сервер станет активным.
Используйте следующую таблицу, чтобы проверить все необходимые дополнительные действия.
| Функция | Этапы |
|---|---|
| Синхронизация хэша паролей | Параметры синхронизации хэша паролей и обратной записи паролей полностью восстанавливаются для версий Microsoft Entra Connect, начиная с версии 1.2.65.0. При восстановлении с помощью более старой версии Microsoft Entra Connect просмотрите параметры синхронизации для этих функций, чтобы убедиться, что они соответствуют активному серверу синхронизации. Никаких других шагов конфигурации не требуется. |
| Федерация с AD FS | Проверка подлинности Azure продолжает использовать политику AD FS, настроенную для активного сервера синхронизации. Если вы используете Microsoft Entra Connect для управления фермой AD FS, вы можете при необходимости изменить метод входа на федерацию AD FS. Это подготавливает резервный сервер к тому, чтобы стать активным экземпляром синхронизации. Если параметры устройства включены на активном сервере синхронизации, настройте эти параметры на этом сервере, выполнив задачу "Настройка параметров устройства". |
| Сквозная проверка подлинности и единый Sign-On рабочего стола | Обновите метод входа, чтобы соответствовать конфигурации на активном сервере синхронизации. Если вы не следуйте этой процедуре, прежде чем продвигать сервер на первичный, сквозная проверка подлинности и простой единый Sign-On будет отключена. Кроме того, клиент может быть заблокирован, если у вас нет синхронизации хэша паролей в качестве параметра входа в резервную копию. При включении сквозной проверки подлинности в промежуточном режиме новый агент проверки подлинности будет установлен, зарегистрирован и будет работать в качестве агента высокой доступности, который будет принимать запросы на вход. |
| Федерация с PingFederate | Проверка подлинности Azure продолжает использовать политику PingFederate, настроенную для активного сервера синхронизации. При необходимости можно опционально изменить метод входа на PingFederate, чтобы ваш резервный сервер стал активным экземпляром синхронизации. Этот шаг может быть отложен до тех пор, пока вам не потребуется подключить дополнительные домены с помощью PingFederate. |
Дальнейшие шаги
- После установки Microsoft Entra Connect можно проверить установку и назначить лицензии.
- Узнайте больше об этих функциях, которые были включены при установке: предотвращение случайных удалений и Microsoft Entra Connect Health.
- Получите больше информации по следующим общим темам: планировщик и как настроить синхронизацию.
- Узнайте больше о интеграции ваших локальных идентификаций с Microsoft Entra ID.