Azure AD Connect synchroniseren: Best practices voor het wijzigen van de standaardconfiguratie

  • Artikel
  • 3 minuten om te lezen

Het doel van dit onderwerp is het beschrijven van ondersteunde en niet-ondersteunde wijzigingen in Azure AD Connect synchronisatie.

De configuratie die is gemaakt Azure AD Connect werkt 'zoals' voor de meeste omgevingen die on-premises Active Directory met Azure AD. In sommige gevallen is het echter nodig om een aantal wijzigingen toe te passen op een configuratie om te voldoen aan een bepaalde behoefte of vereiste.

Wijzigingen in het serviceaccount

Azure AD Connect synchronisatie wordt uitgevoerd onder een serviceaccount dat is gemaakt door de installatiewizard. Dit serviceaccount bevat de versleutelingssleutels voor de database die wordt gebruikt door synchronisatie. Het wachtwoord wordt gemaakt met een wachtwoord van 127 tekens en het wachtwoord is zo ingesteld dat het niet verloopt.

Waarschuwing

Als u het wachtwoord van het ADSync-serviceaccount wijzigt of opnieuw in stelt, kan de synchronisatieservice pas correct worden starten als u de versleutelingssleutel hebt verlaten en het wachtwoord van het ADSync-serviceaccount opnieuw hebt geherinialiseerd. Zie Hiervoor het wachtwoord van het ADSync-serviceaccount wijzigen.

Wijzigingen in de scheduler

Vanaf de releases van build 1.1 (februari 2016) kunt u de scheduler configureren voor een andere synchronisatiecyclus dan de standaard 30 minuten.

Wijzigingen in synchronisatieregels

De installatiewizard biedt een configuratie die moet werken voor de meest voorkomende scenario's. Als u wijzigingen moet aanbrengen in de configuratie, moet u deze regels volgen om nog steeds een ondersteunde configuratie te hebben.

Waarschuwing

Als u de standaardsynchronisatieregels wijzigt, worden deze wijzigingen overschreven de volgende keer dat Azure AD Connect wordt bijgewerkt, wat resulteert in onverwachte en waarschijnlijk ongewenste synchronisatieresultaten.

  • U kunt kenmerkstromen wijzigen als de standaardstromen voor directe kenmerken niet geschikt zijn voor uw organisatie.
  • Als u geen kenmerk wilt doorstromen en bestaande kenmerkwaarden in Azure AD wilt verwijderen, moet u een regel maken voor dit scenario.
  • Schakel een ongewenste synchronisatieregel uit in plaats van deze te verwijderen. Een verwijderde regel wordt opnieuw gemaakt tijdens een upgrade.
  • Als u een out-of-box-regelwilt wijzigen, moet u een kopie van de oorspronkelijke regel maken en de out-of-box-regel uitschakelen. De synchronisatieregeleditor vraagt u om hulp.
  • Exporteert uw aangepaste synchronisatieregels met behulp van de synchronisatieregelseditor. De editor biedt u een PowerShell-script dat u kunt gebruiken om deze eenvoudig opnieuw te maken in een noodherstelscenario.

Waarschuwing

De out-of-box-synchronisatieregels hebben een vingerafdruk. Als u deze regels wijzigt, komt de vingerafdruk niet meer overeen. Mogelijk hebt u in de toekomst problemen wanneer u een nieuwe versie van de Azure AD Connect. Wijzig alleen de manier waarop dit in dit artikel wordt beschreven.

Een ongewenste synchronisatieregel uitschakelen

Verwijder geen out-of-box-synchronisatieregel. Deze wordt opnieuw gemaakt tijdens de volgende upgrade.

In sommige gevallen heeft de installatiewizard een configuratie geproduceerd die niet werkt voor uw topologie. Als u bijvoorbeeld een accountresource-foresttopologie hebt, maar u het schema in het account-forest hebt uitgebreid met het Exchange-schema, worden er regels voor Exchange gemaakt voor het account-forest en het bron-forest. In dit geval moet u de synchronisatieregel voor Exchange uitschakelen.

Synchronisatieregel uitgeschakeld

In de bovenstaande afbeelding heeft de installatiewizard een oud Exchange 2003-schema gevonden in het account-forest. Deze schema-extensie is toegevoegd voordat het resource-forest werd geïntroduceerd in de omgeving van Fabrikam. Om ervoor te zorgen dat er geen kenmerken van de oude Exchange-implementatie worden gesynchroniseerd, moet de synchronisatieregel worden uitgeschakeld zoals wordt weergegeven.

Een out-of-box-regel wijzigen

De enige keer dat u een out-of-box-regel moet wijzigen, is wanneer u de join-regel moet wijzigen. Als u een kenmerkstroom wilt wijzigen, moet u een synchronisatieregel maken met een hogere prioriteit dan de out-of-box-regels. De enige regel die u vrijwel nodig hebt om te klonen, is de regel In van AD - Gebruikers lid worden. U kunt alle andere regels overschrijven met een hogere prioriteitsregel.

Als u wijzigingen moet aanbrengen in een out-of-box-regel, moet u een kopie maken van de out-of-box-regel en de oorspronkelijke regel uitschakelen. Wijzig vervolgens de gekloonde regel. De synchronisatieregeleditor helpt u bij deze stappen. Wanneer u een out-of-box-regel opent, ziet u dit dialoogvenster:
Out-of-box-regel voor waarschuwing

Selecteer Ja om een kopie van de regel te maken. De gekloonde regel wordt vervolgens geopend.
Gekloonde regel

Op deze gekloonde regel moet u de benodigde wijzigingen aanbrengen in het bereik, de join en transformaties.

Volgende stappen

Overzichtsonderwerpen