Azure AD Connect Sync: najlepsze rozwiązania dotyczące zmieniania konfiguracji domyślnejAzure AD Connect sync: Best practices for changing the default configuration

Celem tego tematu jest opisywanie obsługiwanych i nieobsługiwanych zmian w Azure AD Connect synchronizacji.The purpose of this topic is to describe supported and unsupported changes to Azure AD Connect sync.

Konfiguracja utworzona przez Azure AD Connect działa tak jak w przypadku większości środowisk, które synchronizują Active Directory lokalne z usługą Azure AD.The configuration created by Azure AD Connect works “as is” for most environments that synchronize on-premises Active Directory with Azure AD. Jednak w niektórych przypadkach konieczne jest zastosowanie pewnych zmian do konfiguracji w celu spełnienia określonego zapotrzebowania lub wymagania.However, in some cases, it is necessary to apply some changes to a configuration to satisfy a particular need or requirement.

Zmiany konta usługiChanges to the service account

Azure AD Connect synchronizacja jest uruchomiona w ramach konta usługi utworzonego przez Kreatora instalacji.Azure AD Connect sync is running under a service account created by the installation wizard. To konto usługi zawiera klucze szyfrowania do bazy danych używanej przez synchronizację. Jest on tworzony z 127 znakami długiego hasła, a hasło jest ustawione na wartość nie wygasa.This service account holds the encryption keys to the database used by sync. It is created with a 127 characters long password and the password is set to not expire.

  • Zmiana lub zresetowanie hasła konta usługi nie jest obsługiwane .It is unsupported to change or reset the password of the service account. Spowoduje to zniszczenie kluczy szyfrowania, a usługa nie będzie mogła uzyskać dostępu do bazy danych i nie będzie można jej uruchomić.Doing so destroys the encryption keys and the service is not able to access the database and is not able to start.

Zmiany w harmonogramieChanges to the scheduler

Począwszy od wersji z kompilacji 1,1 (luty 2016), harmonogram można skonfigurować tak, aby miał inny cykl synchronizacji niż domyślny 30 minut.Starting with the releases from build 1.1 (February 2016) you can configure the scheduler to have a different sync cycle than the default 30 minutes.

Zmiany reguł synchronizacjiChanges to Synchronization Rules

Kreator instalacji zapewnia konfigurację, która powinna współpracować z najbardziej typowymi scenariuszami.The installation wizard provides a configuration that is supposed to work for the most common scenarios. Jeśli trzeba wprowadzić zmiany w konfiguracji, należy wykonać poniższe reguły, aby nadal mieć obsługiwaną konfigurację.In case you need to make changes to the configuration, then you must follow these rules to still have a supported configuration.

Ostrzeżenie

Jeśli wprowadzisz zmiany w domyślnych regułach synchronizacji, te zmiany zostaną nadpisywane przy następnym aktualizowaniu Azure AD Connect, co skutkuje nieoczekiwanymi i prawdopodobnie niepożądanymi wynikami synchronizacji.If you make changes to the default sync rules then these changes will be overwritten the next time Azure AD Connect is updated, resulting in unexpected and likely unwanted synchronization results.

  • Można zmienić przepływy atrybutów , jeśli domyślny bezpośredni przepływy atrybutów nie są odpowiednie dla Twojej organizacji.You can change attribute flows if the default direct attribute flows are not suitable for your organization.
  • Jeśli chcesz nie przetworzyć atrybutu i usunąć wszelkie istniejące wartości atrybutów w usłudze Azure AD, musisz utworzyć regułę dla tego scenariusza.If you want to not flow an attribute and remove any existing attribute values in Azure AD, then you need to create a rule for this scenario.
  • Wyłączenie niepożądanej reguły synchronizacji zamiast jej usuwania.Disable an unwanted Sync Rule rather than deleting it. Usunięta reguła zostanie odtworzona podczas uaktualniania.A deleted rule is recreated during an upgrade.
  • Aby zmienić regułę spoza pola, należy utworzyć kopię oryginalnej reguły i wyłączyć regułę out-of-box.To change an out-of-box rule, you should make a copy of the original rule and disable the out-of-box rule. Edytor reguł synchronizacji pojawia się i pomaga.The Sync Rule Editor prompts and helps you.
  • Wyeksportuj niestandardowe reguły synchronizacji przy użyciu edytora reguł synchronizacji.Export your custom synchronization rules using the Synchronization Rules Editor. Edytor udostępnia skrypt programu PowerShell, którego można użyć do łatwego ponownego tworzenia ich w scenariuszu odzyskiwania po awarii.The editor provides you with a PowerShell script you can use to easily recreate them in a disaster recovery scenario.

Ostrzeżenie

Reguły synchronizacji poza ramką mają odcisk palca.The out-of-box sync rules have a thumbprint. Jeśli wprowadzisz zmiany w tych regułach, odcisk palca nie będzie już dopasowywany.If you make a change to these rules, the thumbprint is no longer matching. Podczas próby zastosowania nowej wersji Azure AD Connect mogą wystąpić problemy w przyszłości.You might have problems in the future when you try to apply a new release of Azure AD Connect. Wprowadzać zmiany tylko w sposób opisany w tym artykule.Only make changes the way it is described in this article.

Wyłączanie niepożądanej reguły synchronizacjiDisable an unwanted Sync Rule

Nie usuwaj reguły synchronizacji poza ramką.Do not delete an out-of-box sync rule. Jest on ponownie tworzony podczas następnego uaktualnienia.It is recreated during next upgrade.

W niektórych przypadkach Kreator instalacji wygenerował konfigurację, która nie działa dla topologii.In some cases, the installation wizard has produced a configuration that is not working for your topology. Na przykład jeśli masz topologię lasu zasobów konta, ale schemat został rozszerzony w lesie kont z schematem programu Exchange, wówczas reguły dla programu Exchange są tworzone dla lasu kont i lasu zasobów.For example, if you have an account-resource forest topology but you have extended the schema in the account forest with the Exchange schema, then rules for Exchange are created for the account forest and the resource forest. W takim przypadku należy wyłączyć regułę synchronizacji dla programu Exchange.In this case, you need to disable the Sync Rule for Exchange.

Reguła synchronizacji wyłączona

Na powyższym rysunku Kreator instalacji znalazł stary schemat programu Exchange 2003 w lesie konta.In the picture above, the installation wizard has found an old Exchange 2003 schema in the account forest. To rozszerzenie schematu zostało dodane przed wprowadzeniem lasu zasobów w środowisku fabrikam.This schema extension was added before the resource forest was introduced in Fabrikam's environment. Aby upewnić się, że żadne atrybuty ze starej implementacji programu Exchange nie są zsynchronizowane, reguła synchronizacji powinna być wyłączona, jak pokazano.To ensure no attributes from the old Exchange implementation are synchronized, the sync rule should be disabled as shown.

Zmiana wbudowanej regułyChange an out-of-box rule

Tylko wtedy, gdy należy zmienić regułę dołączania, jest konieczna zmiana reguły sprzężenia.The only time you should change an out-of-box rule is when you need to change the join rule. Jeśli trzeba zmienić przepływ atrybutu, należy utworzyć regułę synchronizacji mającą wyższy priorytet niż reguły wbudowane.If you need to change an attribute flow, then you should create a sync rule with higher precedence than the out-of-box rules. Jedyną regułą, która jest praktycznie potrzebna do klonowania, jest reguła z przyłączania do użytkownika w usłudze AD.The only rule you practically need to clone is the rule In from AD - User Join. Wszystkie inne reguły można zastąpić regułą o wyższym priorytecie.You can override all other rules with a higher precedence rule.

Jeśli konieczne jest wprowadzenie zmian w regule out-of-Box, należy utworzyć kopię reguły out-of-Box i wyłączyć oryginalną regułę.If you need to make changes to an out-of-box rule, then you should make a copy of the out-of-box rule and disable the original rule. Następnie wprowadź zmiany w sklonowanej regule.Then make the changes to the cloned rule. Edytor reguł synchronizacji pomaga wykonać te kroki.The Sync Rule Editor is helping you with those steps. Po otwarciu reguły gotowej do użycia wyświetlane jest okno dialogowe:When you open an out-of-box rule, you are presented with this dialog box:
Ostrzeżenie o regule z pola

Wybierz pozycję tak , aby utworzyć kopię reguły.Select Yes to create a copy of the rule. Sklonowana reguła jest następnie otwarta.The cloned rule is then opened.
Sklonowana regułaCloned rule

Dla tej sklonowanej reguły Wprowadź wszelkie niezbędne zmiany zakresu, przyłączenia i transformacji.On this cloned rule, make any necessary changes to scope, join, and transformations.

Następne krokiNext steps

Tematy dotyczące omówieniaOverview topics