Importowanie i eksportowanie ustawień konfiguracji Połączenie firmy Microsoft

  • Artykuł

Wdrożenia Połączenie firmy Microsoft różnią się w zależności od instalacji pojedynczego lasu w trybie express do złożonych wdrożeń, które synchronizują się między wieloma lasami przy użyciu niestandardowych reguł synchronizacji. Ze względu na dużą liczbę opcji konfiguracji i mechanizmów należy zrozumieć, jakie ustawienia są stosowane i umożliwić szybkie wdrożenie serwera z identyczną konfiguracją. Ta funkcja wprowadza możliwość katalogowania konfiguracji danego serwera synchronizacji i importowania ustawień do nowego wdrożenia. Różne migawki ustawień synchronizacji można porównać, aby łatwo wizualizować różnice między dwoma serwerami lub tym samym serwerem w czasie.

Za każdym razem, gdy konfiguracja zostanie zmieniona z kreatora microsoft Entra Połączenie, nowy plik ustawień JSON z sygnaturą czasową jest automatycznie eksportowany do folderu %ProgramData%\AAD Połączenie. Nazwa pliku ustawień ma postać Applied-SynchronizationPolicy-*. JSON, gdzie ostatnia część nazwy pliku jest sygnaturą czasową.

Ważne

Tylko zmiany wprowadzone przez firmę Microsoft Entra Połączenie są automatycznie eksportowane. Wszelkie zmiany wprowadzone przy użyciu programu PowerShell, programu Synchronization Service Manager lub Edytora reguł synchronizacji muszą zostać wyeksportowane na żądanie, aby zachować aktualną kopię. Eksportowanie na żądanie może również służyć do umieszczania kopii ustawień w bezpiecznej lokalizacji na potrzeby odzyskiwania po awarii.

Uwaga

Tej funkcji nie można użyć, jeśli instalacja programu Microsoft Entra Połączenie została zmodyfikowana w celu uwzględnienia łącznika G-SQL lub łącznika G-LDAP.

Uwaga

Tej funkcji nie można połączyć z użyciem istniejącej bazy danych ADSync. Korzystanie z konfiguracji importu/eksportu i używanie istniejącej bazy danych wzajemnie się wyklucza.

Eksportowanie ustawień Połączenie firmy Microsoft

Aby wyświetlić podsumowanie ustawień konfiguracji, otwórz narzędzie Microsoft Entra Połączenie i wybierz dodatkowe zadanie o nazwie Wyświetl lub Eksportuj bieżącą konfigurację. Krótkie podsumowanie ustawień jest wyświetlane wraz z możliwością eksportowania pełnej konfiguracji serwera.

Domyślnie ustawienia są eksportowane do folderu %ProgramData%\AAD Połączenie. Możesz również zapisać ustawienia w chronionej lokalizacji, aby zapewnić dostępność w przypadku wystąpienia awarii. Ustawienia są eksportowane przy użyciu formatu pliku JSON i nie powinny być ręcznie tworzone ani edytowane w celu zapewnienia spójności logicznej. Importowanie ręcznie utworzonego lub edytowanego pliku nie jest obsługiwane i może prowadzić do nieoczekiwanych wyników.

Importowanie ustawień Połączenie firmy Microsoft

Aby zaimportować wcześniej wyeksportowane ustawienia:

  1. Zainstaluj Połączenie firmy Microsoft na nowym serwerze.

  2. Wybierz opcję Dostosuj po stronie powitalnej.

  3. Wybierz pozycję Importuj ustawienia synchronizacji. Wyszukaj wcześniej wyeksportowany plik ustawień JSON.

  4. Wybierz Zainstaluj.

    Zrzut ekranu przedstawiający ekran Instalowanie wymaganych składników

Uwaga

Zastąpij ustawienia na tej stronie, takie jak użycie programu SQL Server zamiast bazy danych LocalDB lub użycie istniejącego konta usługi zamiast domyślnego programu VSA. Te ustawienia nie są importowane z pliku ustawień konfiguracji. Są one dostępne do celów informacyjnych i porównawczych.

Uwaga

Nie jest obsługiwane modyfikowanie wyeksportowanego pliku JSON w celu zmiany konfiguracji

Importowanie środowiska instalacji

Środowisko instalacji importu jest celowo proste z minimalnymi danymi wejściowymi od użytkownika, aby łatwo zapewnić powtarzalność istniejącego serwera.

Poniżej przedstawiono jedyne zmiany, które można wprowadzić podczas instalacji. Wszystkie inne zmiany można wprowadzić po instalacji z poziomu kreatora microsoft Entra Połączenie:

  • Poświadczenia microsoft Entra: nazwa konta globalnego Administracja istratora platformy Azure używana do konfigurowania oryginalnego serwera jest domyślnie sugerowana. Należy go zmienić, jeśli chcesz zsynchronizować informacje z nowym katalogiem.
  • Logowanie użytkownika: opcje logowania skonfigurowane dla oryginalnego serwera są domyślnie wybierane i automatycznie monitują o poświadczenia lub inne informacje potrzebne podczas konfiguracji. W rzadkich przypadkach może być konieczne skonfigurowanie serwera z różnymi opcjami, aby uniknąć zmiany zachowania aktywnego serwera. W przeciwnym razie wybierz przycisk Dalej , aby użyć tych samych ustawień.
  • Poświadczenia katalogu lokalnego: dla każdego katalogu lokalnego uwzględnionego w ustawieniach synchronizacji należy podać poświadczenia, aby utworzyć konto synchronizacji lub podać wstępnie utworzone niestandardowe konto synchronizacji. Ta procedura jest identyczna z czystym środowiskiem instalacji z wyjątkiem, którego nie można dodawać ani usuwać katalogów.
  • Opcje konfiguracji: podobnie jak w przypadku czystej instalacji, można skonfigurować ustawienia początkowe, czy uruchomić automatyczną synchronizację, czy włączyć tryb przejściowy. Główną różnicą jest to, że tryb przejściowy jest domyślnie włączony, aby umożliwić porównanie wyników konfiguracji i synchronizacji przed aktywnym eksportowaniem wyników na platformę Azure.

Zrzut ekranu przedstawiający Połączenie ekranie katalogów

Uwaga

Tylko jeden serwer synchronizacji może znajdować się w roli głównej i aktywnie eksportować zmiany konfiguracji na platformę Azure. Wszystkie inne serwery muszą być umieszczone w trybie przejściowym.

Migrowanie ustawień z istniejącego serwera

Jeśli istniejący serwer nie obsługuje zarządzania ustawieniami, możesz wybrać uaktualnienie serwera w miejscu lub zmigrować ustawienia do użycia na nowym serwerze przejściowym.

Migracja wymaga uruchomienia skryptu programu PowerShell, który wyodrębnia istniejące ustawienia do użycia w nowej instalacji. Ta metoda służy do katalogowania ustawień istniejącego serwera, a następnie stosowania ich do nowo zainstalowanego serwera przejściowego. Porównanie ustawień oryginalnego serwera z nowo utworzonym serwerem szybko zwizualizuje zmiany między serwerami. Jak zawsze postępuj zgodnie z procesem certyfikacji organizacji, aby upewnić się, że nie jest wymagana żadna dodatkowa konfiguracja.

Proces migracji

Aby przeprowadzić migrację ustawień:

  1. Uruchom usługę AzureAD Połączenie.msi na nowym serwerze przejściowym i zatrzymaj się na stronie powitalnej witryny Microsoft Entra Połączenie.

  2. Skopiuj plik Migrate Ustawienia.ps1 z katalogu Microsoft Entra Połączenie\Tools do lokalizacji na istniejącym serwerze. Przykładem jest C:\setup, gdzie instalator jest katalogiem utworzonym na istniejącym serwerze.
    Zrzut ekranu przedstawiający katalogi Połączenie firmy Microsoft.

    Uwaga

    Jeśli zostanie wyświetlony komunikat: "Nie można odnaleźć parametru pozycyjnego, który akceptuje argument True"., jak pokazano poniżej:

    Zrzut ekranu przedstawiający błądNastępnie zmodyfikuj plik Migrate Ustawienia.ps1 i usuń $true i uruchom skrypt:Zrzut ekranu przedstawiający edytowanie konfiguracji

  3. Uruchom skrypt, jak pokazano tutaj, i zapisz cały katalog konfiguracji serwera na poziomie podrzędnym. Skopiuj ten katalog do nowego serwera przejściowego. Należy skopiować cały folder Exported-ServerConfiguration-* na nowy serwer. Zrzut ekranu przedstawiający skrypt w programie PowerShell.Zrzut ekranu przedstawiający kopiowanie folderu Exported-ServerConfiguration-* .

  4. Uruchom aplikację Microsoft Entra Połączenie, klikając dwukrotnie ikonę na pulpicie. Zaakceptuj postanowienia licencyjne dotyczące oprogramowania firmy Microsoft, a następnie na następnej stronie wybierz pozycję Dostosuj.

  5. Zaznacz pole wyboru Importuj ustawienia synchronizacji. Wybierz pozycję Przeglądaj , aby przejrzeć skopiowany folder Exported-ServerConfiguration-* . Wybierz MigratedPolicy.json, aby zaimportować zmigrowane ustawienia.

    Zrzut ekranu przedstawiający opcję Importuj ustawienia synchronizacji.

Weryfikacja po instalacji

Porównanie pierwotnie zaimportowanego pliku ustawień z wyeksportowanym plikiem ustawień nowo wdrożonego serwera jest istotnym krokiem w zrozumieniu wszelkich różnic między zamierzonym a wynikowym wdrożeniem. Użycie ulubionej aplikacji do porównywania tekstu obok siebie daje natychmiastową wizualizację, która szybko wyróżnia wszelkie żądane lub przypadkowe zmiany.

Chociaż wiele wcześniej ręcznych kroków konfiguracji zostało wyeliminowanych, nadal należy postępować zgodnie z procesem certyfikacji organizacji, aby upewnić się, że nie jest wymagana żadna dodatkowa konfiguracja. Ta konfiguracja może wystąpić, jeśli używasz ustawień zaawansowanych, które nie są obecnie przechwytywane w tej wersji zarządzania ustawieniami.

Poniżej przedstawiono znane ograniczenia:

  • Reguły synchronizacji: pierwszeństwo reguły niestandardowej musi należeć do zastrzeżonego zakresu od 0 do 99, aby uniknąć konfliktów ze standardowymi regułami firmy Microsoft. Umieszczenie reguły niestandardowej poza zakresem zarezerwowanym może spowodować przesunięcie reguły niestandardowej w miarę dodawania reguł standardowych do konfiguracji. Podobny problem występuje, jeśli konfiguracja zawiera zmodyfikowane reguły standardowe. Modyfikowanie reguły standardowej jest odradzane, a umieszczanie reguł może być niepoprawne.
  • Zapisywanie zwrotne urządzeń: te ustawienia są katalogowane. Nie są one obecnie stosowane podczas konfiguracji. Jeśli dla oryginalnego serwera włączono funkcję zapisywania zwrotnego urządzeń, należy ręcznie skonfigurować tę funkcję na nowo wdrożonym serwerze.
  • Zsynchronizowane typy obiektów: chociaż można ograniczyć listę synchronizowanych typów obiektów (takich jak użytkownicy, kontakty i grupy) przy użyciu programu Synchronization Service Manager, ta funkcja nie jest obecnie obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu instalacji należy ręcznie ponownie zastosować konfigurację zaawansowaną.
  • Niestandardowe profile uruchamiania: chociaż można zmodyfikować domyślny zestaw profilów uruchamiania przy użyciu programu Synchronization Service Manager, ta funkcja nie jest obecnie obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu instalacji należy ręcznie ponownie zastosować konfigurację zaawansowaną.
  • Konfigurowanie hierarchii aprowizacji: ta zaawansowana funkcja programu Synchronization Service Manager nie jest obsługiwana za pośrednictwem ustawień synchronizacji. Po zakończeniu początkowego wdrożenia należy ją ręcznie ponownie skonfigurować.
  • Usługi Active Directory Federation Services (AD FS) i uwierzytelnianie PingFederate: metody logowania skojarzone z tymi funkcjami uwierzytelniania są automatycznie wstępnie zaznaczone. Należy interaktywnie podać wszystkie inne wymagane parametry konfiguracji.
  • Wyłączona niestandardowa reguła synchronizacji zostanie zaimportowana jako włączona: wyłączona niestandardowa reguła synchronizacji zostanie zaimportowana jako włączona. Pamiętaj, aby wyłączyć go również na nowym serwerze.

Następne kroki