Поделиться через

Импорт и экспорт параметров конфигурации Microsoft Entra Connect

Развертывания Microsoft Entra Connect различаются от установки в режиме Express для одного леса до сложных развертываний, синхронизированных между несколькими лесами с использованием пользовательских правил синхронизации. Из-за большого количества параметров и механизмов конфигурации важно понимать, какие параметры действуют, чтобы иметь возможность быстро развернуть сервер с идентичной конфигурацией. Эта функция предоставляет возможность каталогизировать конфигурацию определенного сервера синхронизации и импортировать параметры в новое развертывание. Вы можете сравнить различные снимки параметров синхронизации, чтобы легко визуализировать различия между двумя серверами или тем же сервером с течением времени.

При каждом изменении конфигурации из мастера Microsoft Entra Connect новый файл параметров JSON с меткой времени автоматически экспортируется в %ProgramData%\AADConnect. Имя файла параметров имеет форму Applied-SynchronizationPolicy-*.JSON, где последняя часть имени файла — метка времени.

Внимание

Автоматически экспортируются только изменения, внесенные Microsoft Entra Connect. Любые изменения, внесенные с помощью PowerShell, Synchronization Service Manager или редактора правил синхронизации, необходимо экспортировать самостоятельно, чтобы поддерживать актуальную копию. Вы также можете использовать экспорт по запросу для размещения копии параметров в безопасном расположении для аварийного восстановления.

Эту функцию нельзя использовать, если установка Microsoft Entra Connect была изменена, чтобы включить соединитель G-SQL или соединитель G-LDAP. Вы также не можете объединить эту функцию при использовании существующей базы данных синхронизации Microsoft Entra Connect. Использование конфигурации импорта и экспорта и использования существующей базы данных являются взаимоисключающими.

Экспорт параметров Microsoft Entra Connect

Чтобы просмотреть сводку параметров конфигурации, откройте средство Microsoft Entra Connect и выберите задачу с именем View or Export Current Configuration. В нем отображается краткая сводка параметров, а также наличие возможности экспорта полной конфигурации сервера.

По умолчанию параметры экспортируются в %ProgramData%\AADConnect. Вы также можете сохранить параметры в защищенном расположении, чтобы обеспечить доступность при возникновении аварии. Параметры экспортируются с помощью формата JSON-файла и не должны быть вручную созданы или изменены, чтобы обеспечить логическую согласованность. Импорт созданного вручную или измененного файла не поддерживается и может привести к непредвиденным результатам.

Импорт параметров Microsoft Entra Connect

Чтобы импортировать ранее экспортированные параметры, выполните следующие действия.

  1. Установите Microsoft Entra Connect на новом сервере.

  2. После страницы приветствия выберите параметр "Настроить ".

  3. Выберите Импорт параметров синхронизации. Найдите ранее экспортированный файл параметров JSON.

  4. Выберите Установить.

    Снимок экрана: экран установки необходимых компонентов.

Переопределите параметры на этой странице, как, например, использование SQL Server вместо LocalDB, или использование существующей учетной записи службы вместо учетной записи виртуальной службы по умолчанию. Данные параметры не импортируются из файла параметров конфигурации. Они там для получения информации и сравнения.

Изменение экспортированного JSON-файла для изменения конфигурации не поддерживается.

Импорт опыта установки

Процесс установки при импорте намеренно упрощен с минимальным количеством вводимых данных от пользователя, чтобы обеспечить легкую воспроизводимость существующего сервера.

В следующем разделе показаны изменения, которые можно внести во время установки. Все остальные изменения необходимо выполнить после установки с помощью мастера установки Microsoft Entra Connect.

  • Учетные данные Microsoft Entra: имя учетной записи администратора, используемого для настройки исходного сервера, предлагается по умолчанию. Его необходимо изменить, если требуется синхронизировать сведения с новым каталогом.
  • Вход пользователя: опции входа, настроенные для вашего исходного сервера, выбираются по умолчанию и автоматически требуют ввода учетных данных или другой информации, необходимой во время настройки. В редких случаях может потребоваться настроить сервер с различными параметрами, чтобы избежать изменения поведения активного сервера. В противном случае нажмите кнопку Далее, чтобы использовать те же параметры.
  • Учетные данные локального каталога. Для каждого локального каталога, включенного в параметры синхронизации, необходимо указать учетные данные для создания учетной записи синхронизации или предоставления предварительно созданной пользовательской учетной записи синхронизации. Эта процедура идентична процессу чистой установки за тем исключением, что во время процесса нельзя будет добавлять или удалять каталоги.
  • Параметры конфигурации: как и при чистой установке, можно настроить начальные параметры для запуска автоматической синхронизации или включения промежуточного режима. Основное различие заключается в том, что промежуточный режим намеренно включен по умолчанию, чтобы разрешить сравнение результатов конфигурации и синхронизации, прежде чем активно экспортировать результаты в идентификатор Microsoft Entra.

Снимок экрана, на котором отображается экран

Только один сервер синхронизации может находиться в основной роли и активно экспортировать изменения конфигурации в идентификатор Microsoft Entra. Все остальные серверы должны быть переведены в промежуточный режим.

Перенос параметров с существующего сервера

Если существующий сервер не поддерживает управление параметрами, можно либо обновить сервер на месте, либо перенести параметры для использования на новом промежуточном сервере.

Для миграции требуется запустить сценарий PowerShell, который извлекает существующие параметры для использования в новой установке. Используйте этот метод для каталогизации параметров существующего сервера и их применения к вновь установленному промежуточному серверу. Сравнение параметров исходного сервера с вновь созданным сервером быстро визуализирует изменения между серверами. Как всегда, следуйте процессу сертификации вашей организации, чтобы убедиться, что другая конфигурация не требуется.

Процесс миграции

Чтобы перенести параметры, выполните следующие действия.

  1. Запустите AzureADConnect.msi на новом промежуточном сервере и остановитесь на странице Welcome Microsoft Entra Connect.

  2. Скопируйте MigrateSettings.ps1 из каталога Microsoft Entra Connect\Tools в расположение на существующем сервере. Примером является C:\setup, где setup — это каталог, созданный на существующем сервере.

    Снимок экрана: каталоги Microsoft Entra Connect.

    Если появится сообщение об ошибке Message: A positional parameter cannot be found that accepts argument 'True'.:

    Снимок экрана: ошибка.

    Затем измените MigrateSettings.ps1 файл и удалите $true и запустите скрипт:

    Снимок экрана: изменение конфигурации.

  3. Запустите скрипт, как показано на следующем снимке экрана, и сохраните весь каталог конфигурации сервера нижнего уровня. Скопируйте этот каталог на новый промежуточный сервер. Необходимо скопировать всю Exported-ServerConfiguration-* папку на новый сервер.

    Снимок экрана: сценарий в PowerShell.

    Снимок экрана: копирование папки Exported-ServerConfiguration-*

  4. Запустите Microsoft Entra Connect , дважды щелкнув значок на рабочем столе. Примите условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт и на следующей странице щелкните Настроить.

  5. Установите флажок "Импорт параметров синхронизации ". Нажмите кнопку "Обзор", чтобы просмотреть скопированную Exported-ServerConfiguration-* папку. Выберите MigratedPolicy.json для импорта перенесенных параметров.

    Снимок экрана, на котором показан параметр

Проверка после установки

Сравнение первоначально импортированного файла параметров с экспортированным файлом параметров нового развернутого сервера — важный шаг в понимании различий между предполагаемым и итоговым развертыванием. Используя выбранное вами приложение для сравнения текста, можно получить мгновенное визуальное представление, в котором быстро выделяются все необходимые или случайно проявившиеся изменения.

Несмотря на то что многие ранее действия по настройке вручную теперь устранены, необходимо по-прежнему следовать процессу сертификации вашей организации, чтобы убедиться, что другая конфигурация не требуется. Эта конфигурация может возникнуть, если вы используете дополнительные параметры, которые в настоящее время не записываются в этом выпуске управления параметрами.

Известны следующие ограничения:

  • Правила синхронизации: приоритет для настраиваемого правила должен быть в зарезервированном диапазоне от 0 до 99, чтобы избежать конфликтов со стандартными правилами Майкрософт. Размещение настраиваемого правила за пределами зарезервированного диапазона может привести к тому, что пользовательское правило переместится по мере добавления к конфигурации стандартных правил. Аналогичная проблема возникает, если конфигурация содержит измененные стандартные правила. Не рекомендуется изменять стандартное правило — в таком случае размещение правил, скорее всего, будет неправильным.
  • Обратная запись устройств: данные параметры хранятся в каталоге. В настоящее время они не применяются во время настройки. Если функция обратной записи устройств была включена для исходного сервера, необходимо вручную настроить эту функцию на заново развернутом сервере.
  • Синхронизированные типы объектов: хотя можно ограничить список синхронизированных типов объектов (например, пользователей, контактов и групп) с помощью Диспетчера синхронизации, эта функция в настоящее время не поддерживается с помощью параметров синхронизации. После завершения установки необходимо вручную применить расширенную конфигурацию.
  • Выбранные атрибуты. Хотя можно ограничить список синхронизированных атрибутов (например, атрибутов расширения) с помощью диспетчера службы синхронизации, эта функция в настоящее время не поддерживается с помощью параметров синхронизации. После завершения установки необходимо вручную применить расширенную конфигурацию.
  • Настраиваемые профили выполнения: несмотря на то, что вы можете изменить набор профилей запуска по умолчанию с помощью Synchronization Service Manager, эта функция сейчас не поддерживается через параметры синхронизации. После завершения установки необходимо вручную применить расширенную конфигурацию.
  • Настройка иерархии развертывания: эта расширенная функция Synchronization Service Manager не поддерживается в параметрах синхронизации. После завершения первоначального развертывания ее необходимо перенастроить вручную.
  • Службы федерации Active Directory и аутентификация PingFederate: методы входа, связанные с этими функциями аутентификации, выбираются автоматически. Необходимо указать все остальные необходимые параметры конфигурации в интерактивном режиме.

Связанный контент