Installare Microsoft Entra Connessione usando un database ADSync esistente

  • Articolo

Microsoft Entra Connessione richiede un database di SQL Server per archiviare i dati. È possibile usare la Local DB predefinita di SQL Server 2019 Express installata con Microsoft Entra Connessione oppure usare la propria versione completa di SQL. In precedenza, quando è stato installato Microsoft Entra Connessione, è sempre stato creato un nuovo database denominato ADSync. Con Microsoft Entra Connessione versione 1.1.613.0 (o successiva), è possibile installare Microsoft Entra Connessione puntandolo a un database ADSync esistente.

Vantaggi offerti dall'utilizzo di un database ADSync

L'associazione a un database ADSync esistente offre i vantaggi seguenti:

  • Fatta eccezione per i dati delle credenziali, la configurazione di sincronizzazione archiviata nel database ADSync (incluse le regole di sincronizzazione personalizzate, i connettori, i filtri e la configurazione delle funzionalità facoltative) viene recuperata automaticamente e usata durante l'installazione. Le credenziali usate da Microsoft Entra Connessione per sincronizzare le modifiche con AD locale e l'ID Microsoft Entra vengono crittografate e possono essere accessibili solo dal server precedente di Microsoft Entra Connessione.
  • Vengono inoltre recuperati tutti i dati sulle identità (associati agli spazi connettore e al metaverse) e i cookie di sincronizzazione archiviati nel database ADSync. Il server Microsoft Entra Connessione appena installato può continuare a eseguire la sincronizzazione da cui è stato interrotto il server Microsoft Entra Connessione precedente, invece di dover eseguire una sincronizzazione completa.

Scenari in cui è utile usare un database ADSync esistente

Questi vantaggi sono utili negli scenari seguenti:

  • Si dispone di una distribuzione di Microsoft Entra Connessione esistente. Il server microsoft Entra Connessione esistente non funziona più, ma il server SQL contenente il database ADSync è ancora funzionante. È possibile installare un nuovo server Microsoft Entra Connessione e puntare al database ADSync esistente.
  • Si dispone di una distribuzione di Microsoft Entra Connessione esistente. L'istanza di SQL Server che contiene il database ADSync non funziona più, ma si ha un backup recente del database. È possibile innanzitutto ripristinare il database ADSync in una nuova istanza di SQL Server Successivamente, è possibile installare un nuovo server Microsoft Entra Connessione e puntare al database ADSync ripristinato.
  • Si dispone di una distribuzione di Microsoft Entra Connessione esistente che usa Local DB. A causa del limite di 10 GB imposto da Local DB, si vuole eseguire la migrazione alla versione completa di SQL. È possibile eseguire il backup del database ADSync da Local DB, ripristinarlo in un'istanza di SQL Server Successivamente, è possibile reinstallare un nuovo server Microsoft Entra Connessione e puntare al database ADSync ripristinato.
  • Si sta provando a configurare un server di staging e si vuole avere la certezza che la configurazione corrisponda a quella del server attivo corrente. È possibile eseguire il backup del database ADSync, ripristinarlo in un'altra istanza di SQL Server Successivamente, è possibile reinstallare un nuovo server Microsoft Entra Connessione e puntare al database ADSync ripristinato.

Informazioni sui prerequisiti

Informazioni importanti da tenere presenti prima di procedere:

  • Assicurarsi di esaminare i prerequisiti per l'installazione di Microsoft Entra Connessione in Hardware e prerequisiti e l'account e le autorizzazioni necessari per l'installazione di Microsoft Entra Connessione. Le autorizzazioni necessarie per l'installazione di Microsoft Entra Connessione utilizzando la modalità "usa database esistente" sono le stesse dell'installazione "personalizzata".
  • La distribuzione di Microsoft Entra Connessione in un database ADSync esistente è supportata solo con SQL completo. Non è supportata con un Local DB di SQL Express. Se si dispone di un database ADSync esistente nel Local DB che si vuole usare, è necessario innanzitutto eseguire il backup del database ADSync (database locale) e ripristinarlo a SQL completo. Successivamente, è possibile distribuire Microsoft Entra Connessione nel database ripristinato usando questo metodo.
  • La versione di Microsoft Entra Connessione utilizzata per l'installazione deve soddisfare i criteri seguenti:
    • 1.1.613.0 o successiva E
    • Uguale o superiore alla versione dell'ultima istanza di Microsoft Entra Connessione usata con il database ADSync. Se la versione di Microsoft Entra Connessione utilizzata per l'installazione è superiore all'ultima versione usata con il database ADSync, potrebbe essere necessaria una sincronizzazione completa. Questa operazione è necessaria in caso di modifiche allo schema o alle regole di sincronizzazione tra le due versioni.
  • Lo stato di sincronizzazione del database ADSync usato deve essere relativamente recente. L'ultima attività di sincronizzazione con il database ADSync esistente deve essere compresa nelle ultime tre settimane. In caso contrario, per aggiornare la filigrana della directory sarà necessaria un'importazione completa da Microsoft Entra ID.
  • Quando si installa Microsoft Entra Connessione utilizzando il metodo "use existing database", il metodo di accesso configurato nel server precedente di Microsoft Entra Connessione non viene mantenuto. Non è inoltre possibile configurare il metodo di accesso durante l'installazione, ma solo al termine dell'installazione.
  • Non è possibile avere più server Microsoft Entra Connessione condividono lo stesso database ADSync. Il metodo "use existing database" consente di riutilizzare un database ADSync esistente con un nuovo server Di Connessione Microsoft Entra. ma non supporta la condivisione.

Passaggi per installare Microsoft Entra Connessione con la modalità "usa database esistente"

  1. Scaricare il programma di installazione di Microsoft Entra Connessione (AzureAD Connessione.MSI) nel server Windows. Fare doppio clic sul programma di installazione di Microsoft Entra Connessione per avviare l'installazione di Microsoft Entra Connessione.
  2. Al termine dell'installazione msi, la procedura guidata di Microsoft Entra Connessione inizia con l'installazione della modalità Express. Chiudere la schermata facendo clic sull'icona di chiusura. Screenshot that shows the
  3. Avviare un nuovo prompt dei comandi o una nuova sessione di PowerShell. Passare alla cartella "C:\Programmi\Microsoft Entra Connessione". Eseguire il comando .\AzureAD Connessione.exe /useexistingdatabase per avviare la procedura guidata di Microsoft Entra Connessione in modalità di installazione "Usa database esistente".

Nota

Usare l'opzione /UseExistingDatabase solo quando il database contiene già dati di un'installazione precedente di Microsoft Entra Connessione. Ad esempio, quando si passa da un database locale a un database SQL Server completo o quando il server Microsoft Entra Connessione è stato ricompilato ed è stato ripristinato un backup SQL del database ADSync da un'installazione precedente di Microsoft Entra Connessione. Se il database è vuoto, ovvero non contiene dati di un'installazione precedente di Microsoft Entra Connessione, ignorare questo passaggio.

PowerShell

  1. Viene visualizzata la schermata Benvenuto in Microsoft Entra Connessione. Accettare le condizioni di licenza e l'informativa sulla privacy e quindi fare clic su Continua. Screenshot that shows the

  2. Nella schermata Installazione dei componenti necessari l'opzione Usa un'istanza di SQL Server esistente è abilitata. Specificare il nome dell'istanza di SQL Server che ospita il database ADSync. Se l'istanza del motore SQL usata per ospitare il database ADSync non è quella predefinita in SQL Server, è necessario specificarne il nome. Inoltre, se l'esplorazione di SQL non è abilitata, è necessario specificare il numero di porta dell'istanza del motore SQL, Ad esempio:
    Screenshot that shows the

  3. Nella schermata Connessione a Microsoft Entra ID è necessario specificare le credenziali di un Amministrazione istrator di identità ibrida della directory Microsoft Entra. È consigliabile usare un account nel dominio onmicrosoft.com predefinito. Questo account viene usato solo per creare un account di servizio in Microsoft Entra ID e non viene usato dopo il completamento della procedura guidata. Connect

  4. Nella schermata Connessione delle directory la foresta di Active Directory esistente, configurata per la sincronizzazione delle directory, è visualizzata con accanto una croce rossa. Per sincronizzare le modifiche da una foresta locale di Active Directory è necessario un account di Active Directory Domain Services. La procedura guidata di Microsoft Entra Connessione non è in grado di recuperare le credenziali dell'account di Active Directory Domain Services archiviato nel database ADSync perché le credenziali sono crittografate e possono essere decrittografate solo dal server microsoft Entra Connessione precedente. Fare clic su Cambia credenziali per specificare l'account di Active Directory Domain Services per la foresta di Active Directory. Directories

  5. Nella finestra di dialogo popup è possibile specificare (i) una credenziale enterprise Amministrazione e consentire a Microsoft Entra Connessione creare automaticamente l'account di Servizi di dominio Active Directory oppure (ii) creare manualmente l'account di Active Directory Domain Services e fornire le credenziali a Microsoft Entra Connessione. Dopo aver selezionato un'opzione e specificato le credenziali necessarie, fare clic su OK per chiudere la finestra di dialogo popup. Screenshot that shows the pop-up dialog

  6. Una volta specificate le credenziali, la croce rossa viene sostituita con un segno di spunta verde. Fare clic su Avanti. Screenshot that shows the

  7. Nella schermata Pronto per la configurazione fare clic su Installa. Welcome

  8. Al termine dell'installazione, il server Microsoft Entra Connessione viene abilitato automaticamente per la modalità di gestione temporanea. Prima di disabilitare questa modalità, è consigliabile esaminare la configurazione del server e le operazioni di esportazione in sospeso per eventuali modifiche impreviste.

Attività successive all'installazione

Quando si ripristina un backup del database creato da una versione di Microsoft Entra Connessione precedente alla versione 1.2.65.0, il server di gestione temporanea selezionerà automaticamente un metodo di accesso di Non configurare. Poiché le preferenze di sincronizzazione dell'hash delle password e di writeback delle password verranno ripristinate, è necessario di conseguenza modificare il metodo di accesso in modo che corrisponda agli altri criteri in vigore per il server di sincronizzazione attivo. La mancata esecuzione di questi passaggi può impedire agli utenti di eseguire l'accesso se il server dovesse diventare attivo.

Usare la tabella seguente per verificare gli eventuali passaggi aggiuntivi necessari.

Funzionalità Passaggi
Sincronizzazione dell'hash delle password Le impostazioni di sincronizzazione dell'hash delle password e writeback delle password vengono ripristinate completamente per le versioni di Microsoft Entra Connessione a partire dalla versione 1.2.65.0. Se si ripristina usando una versione precedente di Microsoft Entra Connessione, esaminare le impostazioni dell'opzione di sincronizzazione per queste funzionalità per assicurarsi che corrispondano al server di sincronizzazione attivo. Non sono necessari altri passaggi di configurazione.
Federazione con ADFS Le autenticazioni di Azure continueranno a usare i criteri AD FS configurati per il server di sincronizzazione attivo. Se si utilizza Microsoft Entra Connessione per gestire la farm AD FS, è possibile modificare il metodo di accesso impostando la federazione ad AD FS in preparazione al server di standby diventando l'istanza di sincronizzazione attiva. Se nel server di sincronizzazione attivo sono abilitate le opzioni di dispositivo, configurare queste opzioni eseguendo l'attività Configura le opzioni del dispositivo.
Autenticazione pass-through e Single Sign-On desktop Aggiornare il metodo di accesso in modo che corrisponda alla configurazione nel server di sincronizzazione attivo. Se non viene seguito prima di promuovere il server a primario, l'autenticazione pass-through insieme a Seamless Single Sign-On verrà disabilitata e il tenant potrebbe essere bloccato se non si dispone della sincronizzazione dell'hash delle password come opzione di accesso di backup. Si noti inoltre che quando si abilita l'autenticazione pass-through in modalità di gestione temporanea, un nuovo agente di autenticazione verrà installato, registrato ed eseguito come agente a disponibilità elevata che accetta le richieste di accesso.
Federazione con PingFederate Le autenticazioni di Azure continueranno a usare i criteri PingFederate configurati per il server di sincronizzazione attivo. È possibile facoltativamente impostare il metodo di accesso su Federazione con PingFederate per preparare il server di standby a diventare l'istanza di sincronizzazione attiva. Questo passaggio può essere rinviato fino a quando non è necessario attuare la federazione di domini aggiuntivi con PingFederate.

Passaggi successivi