Czynniki wpływające na wydajność Połączenie firmy Microsoft

  • Artykuł

Firma Microsoft Entra Połączenie synchronizuje usługę Active Directory z identyfikatorem Entra firmy Microsoft. Ten serwer jest krytycznym składnikiem przenoszenia tożsamości użytkowników do chmury. Podstawowe czynniki wpływające na wydajność Połączenie firmy Microsoft to:

Współczynnik projektowania Definicja
Topologia Dystrybucja punktów końcowych i składników firmy Microsoft Entra Połączenie musi zarządzać w sieci.
Skaluj Liczba obiektów, takich jak użytkownicy, grupy i jednostki organizacyjne, które mają być zarządzane przez firmę Microsoft Entra Połączenie.
Sprzęt Sprzęt (fizyczny lub wirtualny) dla firmy Microsoft Entra Połączenie i zależnych wydajności każdego składnika sprzętowego, w tym konfiguracji procesora CPU, pamięci, sieci i dysku twardego.
Konfigurowanie Jak firma Microsoft Entra Połączenie przetwarza katalogi i informacje.
Ładowanie Częstotliwość zmian obiektu. Obciążenia mogą się różnić w ciągu godziny, dnia lub tygodnia. W zależności od składnika może być konieczne zaprojektowanie obciążenia szczytowego lub średniego obciążenia.

Celem tego dokumentu jest opisanie czynników wpływających na wydajność aparatu aprowizacji firmy Microsoft Połączenie. Duże lub złożone organizacje (organizacje aprowizujące ponad 100 000 obiektów) mogą użyć zaleceń w celu zoptymalizowania implementacji usługi Microsoft Entra Połączenie, jeśli wystąpią jakiekolwiek problemy z wydajnością opisane tutaj. Inne składniki usługi Microsoft Entra Połączenie, takie jak Microsoft Entra Połączenie Health i agenci, nie są tutaj omówione.

Ważne

Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Połączenie poza akcjami, które zostały formalnie udokumentowane. Każda z tych akcji może spowodować niespójny lub nieobsługiwany stan usługi Microsoft Entra Połączenie Sync. W związku z tym firma Microsoft nie może zapewnić pomocy technicznej dla takich wdrożeń.

Czynniki składników Połączenie firmy Microsoft

Na poniższym diagramie przedstawiono ogólną architekturę aparatu aprowizacji łączącego się z pojedynczym lasem, chociaż obsługiwane jest wiele lasów. Ta architektura pokazuje, jak różne składniki współdziałają ze sobą.

Diagram shows how the Connected Directories and Microsoft Entra Connect provisioning engine interact, including Connector Space and Metaverse components in an SQL Database.

Aparat aprowizacji łączy się z każdym lasem usługi Active Directory i z identyfikatorem Entra firmy Microsoft. Proces odczytywania informacji z każdego katalogu jest nazywany importem. Eksportowanie odwołuje się do aktualizowania katalogów z aparatu aprowizacji. Funkcja Sync ocenia reguły przepływu obiektów wewnątrz aparatu aprowizacji. Aby dowiedzieć się więcej, zapoznaj się z artykułem Microsoft Entra Połączenie Sync: Understanding the architecture (Microsoft Entra Połączenie Sync: Understanding the architecture (Omówienie architektury).

Firma Microsoft Entra Połączenie używa następujących obszarów przejściowych, reguł i procesów, aby umożliwić synchronizację z usługi Active Directory do identyfikatora Entra firmy Microsoft:

  • Połączenie or Space (CS) — obiekty z każdego połączonego katalogu (CD), rzeczywistych katalogów, są najpierw przygotowane w tym miejscu, zanim będą mogły być przetwarzane przez aparat aprowizacji. Identyfikator Entra firmy Microsoft ma swój własny cs, a każdy las, z którym nawiązujesz połączenie, ma własny cs.
  • Metaverse (MV) — obiekty, które należy zsynchronizować, są tworzone tutaj na podstawie reguł synchronizacji. Obiekty muszą istnieć w mv, zanim będą mogły wypełniać obiekty i atrybuty do innych połączonych katalogów. Istnieje tylko jeden mv.
  • Reguły synchronizacji — decydują, które obiekty zostaną utworzone (przewidywane) lub połączone (połączone) z obiektami w mv. Reguły synchronizacji decydują również, które wartości atrybutów zostaną skopiowane lub przekształcone do i z katalogów.
  • Profile uruchamiania — pakietuje kroki procesu kopiowania obiektów i ich wartości atrybutów zgodnie z regułami synchronizacji między obszarami przejściowymi i połączonymi katalogami.

Istnieją różne profile uruchamiania, aby zoptymalizować wydajność aparatu aprowizacji. Większość organizacji będzie używać domyślnych harmonogramów i profilów uruchamiania dla normalnych operacji, ale niektóre organizacje mogą wymagać zmiany harmonogramu lub wyzwolenia innych profilów uruchamiania, aby zaspokoić nietypowe sytuacje. Dostępne są następujące profile uruchamiania:

Początkowy profil synchronizacji

Początkowy profil synchronizacji to proces odczytywania połączonych katalogów, takich jak las usługi Active Directory, po raz pierwszy. Następnie przeprowadza analizę wszystkich wpisów w bazie danych aparatu synchronizacji. Cykl początkowy spowoduje utworzenie nowych obiektów w identyfikatorze Entra firmy Microsoft i ukończenie dodatkowego czasu, jeśli lasy usługi Active Directory są duże. Synchronizacja początkowa obejmuje następujące kroki:

  1. Pełny import dla wszystkich łączników
  2. Pełna synchronizacja wszystkich łączników
  3. Eksportowanie we wszystkich łącznikach

Profil synchronizacji różnicowej

Aby zoptymalizować proces synchronizacji, ten profil uruchamiania przetwarza tylko zmiany (tworzy, usuwa i aktualizuje) obiektów w połączonych katalogach, od czasu ostatniego procesu synchronizacji. Domyślnie profil synchronizacji różnicowej jest uruchamiany co 30 minut. Organizacje powinny starać się zachować czas, który zajmuje poniżej 30 minut, aby upewnić się, że identyfikator Entra firmy Microsoft jest aktualny. Aby monitorować kondycję usługi Microsoft Entra Połączenie, użyj agenta monitorowania kondycji, aby zobaczyć wszelkie problemy z tym procesem. Profil synchronizacji różnicowej obejmuje następujące kroki:

  1. Importowanie różnicowe na wszystkich łącznikach
  2. Synchronizacja różnicowa na wszystkich łącznikach
  3. Eksportowanie we wszystkich łącznikach

Typowy scenariusz synchronizacji różnicowej organizacji przedsiębiorstwa to:

  • Usunięto ok. 1% obiektów
  • Tworzone są około 1% obiektów
  • Zmodyfikowano ok. 5% obiektów

Częstotliwość zmian może się różnić w zależności od tego, jak często organizacja aktualizuje użytkowników w usłudze Active Directory. Na przykład wyższe wskaźniki zmian mogą wystąpić z sezonowością zatrudniania i zmniejszania siły roboczej.

Profil pełnej synchronizacji

Jeśli wprowadzono jakiekolwiek z następujących zmian konfiguracji, wymagany jest cykl pełnej synchronizacji:

  • Zwiększono zakres obiektów lub atrybutów, które mają być importowane z połączonych katalogów. Na przykład podczas dodawania domeny lub jednostki organizacyjnej do zakresu importu.
  • Wprowadzono zmiany w regułach synchronizacji. Na przykład podczas tworzenia nowej reguły w celu wypełnienia tytułu użytkownika w identyfikatorze Entra firmy Microsoft z extension_attribute3 w usłudze Active Directory. Ta aktualizacja wymaga ponownego zbadania wszystkich istniejących użytkowników przez aparat aprowizacji w celu zaktualizowania tytułów w celu zastosowania zmiany w przyszłości.

Następujące operacje są uwzględniane w cyklu pełnej synchronizacji:

  1. Pełny import dla wszystkich łączników
  2. Synchronizacja pełna/delta we wszystkich łącznikach
  3. Eksportowanie we wszystkich łącznikach

Uwaga

Podczas zbiorczego aktualizowania wielu obiektów w usłudze Active Directory lub Microsoft Entra ID jest wymagane staranne planowanie. Aktualizacje zbiorcze spowodują, że proces synchronizacji różnicowej będzie trwać dłużej podczas importowania, ponieważ wiele obiektów uległo zmianie. Importowanie długie może wystąpić nawet wtedy, gdy aktualizacja zbiorcza nie ma wpływu na proces synchronizacji. Na przykład przypisanie licencji do wielu użytkowników w usłudze Microsoft Entra ID spowoduje długi cykl importowania z identyfikatora Entra firmy Microsoft, ale nie spowoduje żadnych zmian atrybutów w usłudze Active Directory.

Synchronizacja

Środowisko uruchomieniowe procesu synchronizacji ma następujące cechy wydajności:

  • Synchronizacja jest pojedyncza wątkowa, co oznacza, że aparat aprowizacji nie wykonuje przetwarzania równoległego profilów uruchamiania połączonych katalogów, obiektów ani atrybutów.
  • Czas importowania rośnie liniowo wraz z liczbą synchronizowanych obiektów. Jeśli na przykład importowanie 10 000 obiektów potrwa 10 minut, 20 000 obiektów zajmie około 20 minut na tym samym serwerze.
  • Eksport jest również liniowy.
  • Synchronizacja będzie rosła wykładniczo na podstawie liczby obiektów z odwołaniami do innych obiektów. Członkostwo w grupach i grupy zagnieżdżone mają główny wpływ na wydajność, ponieważ ich członkowie odwołują się do obiektów użytkowników lub innych grup. Te odwołania należy znaleźć i odwołać się do rzeczywistych obiektów w mv, aby ukończyć cykl synchronizacji.
  • Zmiana członka grupy doprowadzi do ponownej oceny wszystkich członków grupy. Jeśli na przykład masz grupę z członkami 50K i zaktualizujesz tylko 1 element członkowski, spowoduje to wyzwolenie synchronizacji wszystkich członków 50K.

Filtrowanie

Rozmiar topologii usługi Active Directory, którą chcesz zaimportować, jest czynnikiem numer jeden wpływającym na wydajność i całkowity czas podejmowania wewnętrznych składników aparatu aprowizacji.

Filtrowanie powinno służyć do zmniejszenia liczby obiektów do zsynchronizowanych obiektów. Uniemożliwi to przetwarzanie i eksportowanie niepotrzebnych obiektów do identyfikatora Entra firmy Microsoft. W kolejności preferencji dostępne są następujące techniki filtrowania:

  • Filtrowanie oparte na domenie — użyj tej opcji, aby wybrać określone domeny do synchronizacji z identyfikatorem Entra firmy Microsoft. Podczas wprowadzania zmian w infrastrukturze lokalnej po zainstalowaniu usługi Microsoft Entra Połączenie Sync należy dodać i usunąć domeny z konfiguracji aparatu synchronizacji.
  • Filtrowanie jednostek organizacyjnych (OU) — używa jednostek organizacyjnych do określania celu określonych obiektów w domenach usługi Active Directory w celu aprowizacji identyfikatora entra firmy Microsoft. Filtrowanie jednostek organizacyjnych jest drugim zalecanym mechanizmem filtrowania, ponieważ używa prostych zapytań zakresu LDAP do importowania mniejszego podzestawu obiektów z usługi Active Directory.
  • Filtrowanie atrybutów dla obiektu — używa wartości atrybutów w obiektach, aby zdecydować, czy określony obiekt w usłudze Active Directory jest aprowizowany w identyfikatorze Entra firmy Microsoft. Filtrowanie atrybutów doskonale nadaje się do dostrajania filtrów, gdy filtrowanie domen i jednostek organizacyjnych nie spełnia określonych wymagań dotyczących filtrowania. Filtrowanie atrybutów nie skraca czasu importowania, ale może skrócić czas synchronizacji i eksportu.
  • Filtrowanie oparte na grupach — używa członkostwa w grupach, aby zdecydować, czy obiekty powinny być aprowidowane w identyfikatorze Entra firmy Microsoft. Filtrowanie oparte na grupach jest odpowiednie tylko w przypadku sytuacji testowych i nie jest zalecane w środowisku produkcyjnym ze względu na dodatkowe obciążenie wymagane do sprawdzenia członkostwa w grupie podczas cyklu synchronizacji.

Wiele trwałych obiektów rozłączania w cs usługi Active Directory może powodować dłuższe czasy synchronizacji, ponieważ aparat aprowizacji musi ponownie oszacować każdy obiekt rozłączenia dla możliwego połączenia w cyklu synchronizacji. Aby rozwiązać ten problem, rozważ jedną z następujących rekomendacji:

  • Umieść obiekty rozłącznika poza zakresem importowania przy użyciu filtrowania domeny lub jednostki organizacyjnej.
  • Project/join the objects to the MV and set the cloudFiltered attribute equal to True, aby zapobiec aprowizacji tych obiektów w microsoft Entra CS.

Uwaga

Użytkownicy mogą się mylić lub mogą wystąpić problemy z uprawnieniami aplikacji, gdy jest filtrowanych zbyt wiele obiektów. Na przykład w hybrydowej implementacji usługi Exchange Online użytkownicy z lokalnymi skrzynkami pocztowymi będą widzieć więcej użytkowników na globalnej liście adresów niż użytkownicy ze skrzynkami pocztowymi w usłudze Exchange Online. W innych przypadkach użytkownik może chcieć udzielić dostępu w aplikacji w chmurze innemu użytkownikowi, który nie jest częścią zakresu filtrowanego zestawu obiektów.

Przepływy atrybutów

Przepływy atrybutów to proces kopiowania lub przekształcania wartości atrybutów obiektów z jednego połączonego katalogu do innego połączonego katalogu. Są one definiowane jako część reguł synchronizacji. Na przykład po zmianie numeru telefonu użytkownika w usłudze Active Directory numer telefonu w usłudze Microsoft Entra ID zostanie zaktualizowany. Organizacje mogą modyfikować przepływy atrybutów w celu skonfigurowania różnych wymagań. Zaleca się skopiowanie istniejących przepływów atrybutów przed ich zmianą.

Proste przekierowania, takie jak przepływanie wartości atrybutu do innego atrybutu, nie ma istotnego wpływu na wydajność. Przykładem przekierowania jest przepływ numeru komórkowego w usłudze Active Directory do numeru telefonu biurowego w usłudze Microsoft Entra ID.

Przekształcanie wartości atrybutów może mieć wpływ na wydajność procesu synchronizacji. Przekształcanie wartości atrybutów obejmuje modyfikowanie, ponowne formatowanie, łączenie lub odejmowanie wartości atrybutów.

Organizacje mogą uniemożliwić przepływ niektórych atrybutów do identyfikatora Entra firmy Microsoft, ale nie wpłynie to na wydajność aparatu aprowizacji.

Uwaga

Nie usuwaj niechcianych przepływów atrybutów w regułach synchronizacji. Zaleca się ich wyłączenie, ponieważ usunięte reguły są tworzone ponownie podczas uaktualniania usługi Microsoft Entra Połączenie.

Czynniki zależności Połączenie firmy Microsoft

Wydajność Połączenie firmy Microsoft Entra zależy od wydajności połączonych katalogów, do których importuje i eksportuje. Na przykład rozmiar usługi Active Directory, który musi zaimportować, lub opóźnienie sieci do usługi Microsoft Entra. Baza danych SQL używana przez aparat aprowizacji ma również wpływ na ogólną wydajność cyklu synchronizacji.

Czynniki usługi Active Directory

Jak wspomniano wcześniej, liczba importowanych obiektów ma znaczący wpływ na wydajność. Wymagania wstępne i sprzętowe dla firmy Microsoft Entra Połączenie przedstawiają określone warstwy sprzętowe na podstawie rozmiaru wdrożenia. Firma Microsoft Entra Połączenie obsługuje tylko określone topologie zgodnie z opisem w temacie Topologies for Microsoft Entra Połączenie. Brak optymalizacji wydajności i zaleceń dotyczących nieobsługiwanych topologii.

Upewnij się, że serwer Microsoft Entra Połączenie spełnia wymagania sprzętowe na podstawie rozmiaru usługi Active Directory, który chcesz zaimportować. Nieprawidłowa lub powolna łączność sieciowa między serwerem microsoft Entra Połączenie a kontrolerami domeny usługi Active Directory może spowolnić importowanie.

Czynniki identyfikatora entra firmy Microsoft

Usługa Microsoft Entra ID używa ograniczania w celu ochrony usługi w chmurze przed atakami typu "odmowa usługi" (DoS). Obecnie identyfikator Entra firmy Microsoft ma limit ograniczania 7000 zapisów na 5 minut (84 000 na godzinę). Na przykład następujące operacje można ograniczyć:

  • Microsoft Entra Połączenie wyeksportować do identyfikatora Entra firmy Microsoft.
  • Skrypty programu PowerShell lub aplikacje aktualizujące identyfikator Entra firmy Microsoft bezpośrednio nawet w tle, takie jak członkostwa w grupach dynamicznych.
  • Użytkownicy aktualizując własne rekordy tożsamości, takie jak rejestrowanie na potrzeby uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła (samoobsługowe resetowanie hasła).
  • Operacje w graficznym interfejsie użytkownika.

Zaplanuj zadania wdrażania i konserwacji, aby upewnić się, że cykl synchronizacji firmy Microsoft Połączenie nie ma wpływu na ograniczenia przepustowości. Jeśli na przykład masz dużą falę zatrudniania, w której tworzysz tysiące tożsamości użytkowników, może to spowodować aktualizacje dynamicznych członkostwa w grupach, przypisań licencjonowania i rejestracji samoobsługowego resetowania haseł. Lepiej jest rozłożyć te zapisy w ciągu kilku godzin lub kilku dni.

Czynniki bazy danych SQL

Rozmiar źródłowej topologii usługi Active Directory będzie mieć wpływ na wydajność bazy danych SQL. Postępuj zgodnie z wymaganiami sprzętowymi bazy danych programu SQL Server i weź pod uwagę następujące zalecenia:

  • Organizacje z ponad 100 000 użytkowników mogą zmniejszyć opóźnienia sieciowe, kolokując bazę danych SQL i aparat aprowizacji na tym samym serwerze.
  • Protokół nazwanych potoków SQL nie jest obsługiwany, ponieważ wprowadza znaczne opóźnienia w cyklu synchronizacji i powinien zostać wyłączony w Menedżerze konfiguracji programu SQL Server w ramach klientów natywnych SQL i sieci programu SQL Server. Należy pamiętać, że zmiana konfiguracji nazwanych potoków ma zastosowanie tylko po ponownym uruchomieniu bazy danych i usług ADSync.
  • Ze względu na wymagania dotyczące wysokiego wejścia i wyjścia dysku (we/wy) procesu synchronizacji należy użyć dysków półprzewodnikowych (SSD) dla bazy danych SQL aparatu aprowizacji w celu uzyskania optymalnych wyników, jeśli nie jest to możliwe, rozważ konfiguracje RAID 0 lub RAID 1.
  • Nie rób pełnej synchronizacji z preemptively; powoduje niepotrzebny współczynnik zmian i wolniejsze czasy odpowiedzi.

Podsumowanie

Aby zoptymalizować wydajność implementacji Połączenie firmy Microsoft Entra, należy wziąć pod uwagę następujące zalecenia:

  • Użyj zalecanej konfiguracji sprzętu na podstawie rozmiaru implementacji serwera Microsoft Entra Połączenie.
  • Podczas uaktualniania usługi Microsoft Entra Połączenie we wdrożeniach na dużą skalę rozważ użycie metody migracji swing, aby upewnić się, że masz najmniejszy przestój i najlepszą niezawodność.
  • Użyj dysków SSD dla bazy danych SQL, aby uzyskać najlepszą wydajność zapisu.
  • Filtruj zakres usługi Active Directory, aby uwzględnić tylko obiekty, które należy aprowizować w identyfikatorze Entra firmy Microsoft, przy użyciu filtrowania domen, jednostek organizacyjnych lub atrybutów.
  • Jeśli musisz zmienić domyślne reguły przepływu atrybutów, najpierw skopiuj regułę, a następnie zmień kopię i wyłącz oryginalną regułę. Pamiętaj, aby ponownie uruchomić pełną synchronizację.
  • Zaplanuj odpowiedni czas dla początkowego profilu uruchomienia pełnej synchronizacji.
  • Staraj się ukończyć cykl synchronizacji różnicowej w ciągu 30 minut. Jeśli profil synchronizacji różnicowej nie zostanie ukończony w ciągu 30 minut, zmodyfikuj domyślną częstotliwość synchronizacji, aby uwzględnić pełny cykl synchronizacji różnicowej.
  • Monitoruj kondycję usługi Microsoft Entra Połączenie Sync w usłudze Microsoft Entra ID.

Następne kroki

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.