Импорт и экспорт параметров конфигурации Microsoft Entra Подключение

  • Статья

Развертывания Microsoft Entra Подключение зависят от установки одного леса Express в сложные развертывания, которые синхронизируются между несколькими лесами с помощью пользовательских правил синхронизации. Из-за большого количества параметров и механизмов конфигурации важно понимать, какие параметры действуют, чтобы иметь возможность быстро развернуть сервер с идентичной конфигурацией. Эта функция добавляет возможность каталогизировать конфигурацию данного сервера синхронизации для импорта параметров в новое развертывание. Можно также сравнить разные моментальные снимки параметров синхронизации, чтобы легко визуализировать различия между двумя серверами или изменения одного сервера с течением времени.

При каждом изменении конфигурации из мастера microsoft Entra Подключение новый файл параметров JSON с меткой времени автоматически экспортируется в %ProgramData%\AAD Подключение. Имя файла параметров имеет формат Applied-SynchronizationPolicy-*.JSON, где последняя часть имени файла — это метка времени.

Внимание

Автоматически экспортируются только изменения, внесенные Microsoft Entra Подключение. Любые изменения, внесенные с помощью PowerShell, Synchronization Service Manager или редактора правил синхронизации, необходимо экспортировать самостоятельно, чтобы поддерживать актуальную копию. Экспорт по требованию также можно использовать для размещения копии параметров в безопасном месте для аварийного восстановления.

Примечание.

Эту функцию нельзя использовать, если установка Microsoft Entra Подключение была изменена, чтобы включить соединитель G-SQL или соединитель G-LDAP.

Примечание.

Эта функция не может использоваться в сочетании с существующей базой данных ADSync. Использование конфигурации импорта и экспорта и использование существующей базы данных являются взаимоисключающими.

Экспорт параметров Подключение Microsoft Entra

Чтобы просмотреть сводку параметров конфигурации, откройте средство Microsoft Entra Подключение и выберите дополнительную задачу с именем View или Export Current Configuration. В нем отображается краткая сводка параметров, а также наличие возможности экспорта полной конфигурации сервера.

По умолчанию параметры экспортируются в %ProgramData%\AADConnect. Вы также можете сохранить параметры в защищенном расположении, чтобы обеспечить доступность в случае аварии. Параметры экспортируются с помощью формата JSON и не должны создаваться вручную или редактироваться — это необходимо для обеспечения логической согласованности. Импорт созданного вручную или измененного файла не поддерживается и может привести к непредвиденным результатам.

Импорт параметров microsoft Entra Подключение

Чтобы импортировать ранее экспортированные параметры, выполните следующие действия.

  1. Установите microsoft Entra Подключение на новом сервере.

  2. Выберите параметр Настройка после страницы приветствия.

  3. Выберите Импорт параметров синхронизации. Найдите ранее экспортированный файл параметров JSON.

  4. Выберите Установить.

    Снимок экрана: страница

Примечание.

Переопределите параметры на этой странице, такие как использование SQL Server вместо LocalDB или использование существующей учетной записи службы вместо VSA по умолчанию. Данные параметры не импортируются из файла параметров конфигурации. Они предназначены для получения сведений и сравнения.

Примечание.

Изменение экспортированного JSON-файла для изменения конфигурации не поддерживается

Процесс импорта установки

Процесс импорта установки намеренно создан для простоты работы пользователя с минимальными действиями с его стороны, что позволяет легко предоставить воспроизводимость существующего сервера.

Ниже приведены единственные изменения, которые могут быть сделаны во время установки. Все остальные изменения можно вносить после установки из мастера microsoft Entra Подключение:

  • Учетные данные Microsoft Entra: имя учетной записи глобального Администратор istrator Azure, используемого для настройки исходного сервера, предлагается по умолчанию. Его необходимо будет изменить, если требуется синхронизировать данные с новым каталогом.
  • Вход пользователя: параметры входа, настроенные для исходного сервера, выбираются по умолчанию и автоматически подставляются в полях учетных данных или других сведений, необходимых во время настройки. В редких случаях может потребоваться настроить сервер с отличными параметрами, чтобы избежать изменения поведения активного сервера. В противном случае нажмите кнопку Далее, чтобы использовать те же параметры.
  • Учетные данные локального каталога: для каждого локального каталога, включенного в параметры синхронизации, необходимо предоставить учетные данные для создания учетной записи синхронизации или предоставить предварительно созданную настраиваемую учетную запись синхронизации. Эта процедура идентична процессу чистой установки за тем исключением, что во время процесса нельзя будет добавлять или удалять каталоги.
  • Параметры конфигурации: как и при чистой установке, можно настроить начальные параметры для запуска автоматической синхронизации или включения промежуточного режима. Основное отличие состоит в том, что промежуточный режим намеренно включен по умолчанию, чтобы обеспечить сравнение конфигурации и результатов синхронизации до начала активного экспорта результатов в Azure.

Снимок экрана: страница

Примечание.

Только один сервер синхронизации может находиться в первичной роли и активно экспортировать изменения конфигурации в Azure. Все остальные серверы должны быть переведены в промежуточный режим.

Перенос параметров с существующего сервера

Если существующий сервер не поддерживает управление параметрами, можно либо обновить сервер на месте, либо перенести параметры для использования на новом промежуточном сервере.

Для миграции требуется запустить сценарий PowerShell, который извлекает существующие параметры для использования в новой установке. Используйте этот метод для каталогизации параметров существующего сервера и их применения к вновь установленному промежуточному серверу. Сравнение параметров исходного сервера с вновь созданным сервером позволяет быстро визуализировать изменения между серверами. Как и в прочих случаях, рекомендуется следовать процедуре сертификации вашей организации, чтобы не потребовалось никаких дополнительных настроек.

Процесс миграции

Чтобы перенести параметры, выполните следующие действия.

  1. Запустите AzureAD Подключение.msi на новом промежуточном сервере и перейдите на страницу приветствия Microsoft Entra Подключение.

  2. Скопируйте миграцию Параметры.ps1 из каталога Microsoft Entra Подключение\Tools в расположение на существующем сервере. Примером является C:\setup, где программа установки — каталог, созданный на существующем сервере.
    Снимок экрана: каталоги Microsoft Entra Подключение.

    Примечание.

    Если отображается сообщение "Не удается найти параметр, принимающий аргумент, который принимает значение true", как показано ниже:

    Снимок экрана с ошибкойЗатем измените файл миграции Параметры.ps1 и удалите $true и запустите скрипт:Снимок экрана: изменение конфигурации

  3. Запустите скрипт, как показано ниже, и сохраните весь каталог конфигурации сервера нижнего уровня. Скопируйте этот каталог на новый промежуточный сервер. Необходимо скопировать всю папку Exported-ServerConfiguration-* на новый сервер. Снимок экрана: сценарий в PowerShell.Снимок экрана: копирование папки Exported-ServerConfiguration-*

  4. Запустите Microsoft Entra Подключение, дважды щелкнув значок на рабочем столе. Примите условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт и на следующей странице щелкните Настроить.

  5. Включите флажок Импорт параметров синхронизации. Нажмите кнопку Обзор, чтобы просмотреть скопированную папку Exported-ServerConfiguration-*. Выберите файл MigratedPolicy.json, чтобы импортировать перенесенные параметры.

    Снимок экрана, на котором показан параметр

Проверка после установки

Сравнение первоначально импортированного файла параметров с экспортированным файлом параметров нового развернутого сервера — важный шаг в понимании различий между предполагаемым и итоговым развертыванием. Используя выбранное вами приложение для сравнения текста, можно получить мгновенное визуальное представление, в котором быстро выделяются все необходимые или случайно проявившиеся изменения.

Несмотря на то, что многие из выполнявшихся вручную когда-то действий по настройке теперь не нужны, вам по-прежнему необходимо следовать процессу сертификации организации, чтобы не потребовалось дополнительной настройки. Такие случаи могут возникать при использовании дополнительных параметров, которые сейчас не были отмечены в этом выпуске управления параметрами.

Ниже приведены известные ограничения.

  • Правила синхронизации: приоритет для настраиваемого правила должен быть в зарезервированном диапазоне от 0 до 99, чтобы избежать конфликтов со стандартными правилами Майкрософт. Размещение настраиваемого правила за пределами зарезервированного диапазона может привести к тому, что пользовательское правило переместится по мере добавления к конфигурации стандартных правил. Аналогичная ошибка возникает, если конфигурация содержит измененные стандартные правила. Не рекомендуется изменять стандартное правило — в таком случае размещение правил, скорее всего, будет неправильным.
  • Обратная запись устройств: данные параметры хранятся в каталоге. В настоящее время они не применяются во время настройки. Если функция обратной записи устройств была включена для исходного сервера, необходимо вручную настроить эту функцию на заново развернутом сервере.
  • Синхронизированные типы объектов: несмотря на то, что можно ограничить список синхронизированных типов объектов (например, пользователей, контактов и групп) с помощью Synchronization Service Manager, эта функция сейчас не поддерживается с помощью параметров синхронизации. После завершения установки необходимо вручную применить расширенную конфигурацию.
  • Настраиваемые профили выполнения: несмотря на то, что вы можете изменить набор профилей запуска по умолчанию с помощью Synchronization Service Manager, эта функция сейчас не поддерживается через параметры синхронизации. После завершения установки необходимо вручную применить расширенную конфигурацию.
  • Настройка иерархии подготовки: эта дополнительная функция Synchronization Service Manager не поддерживается через параметры синхронизации. После завершения первоначального развертывания ее необходимо перенастроить вручную.
  • Службы федерации Active Directory (AD FS) и проверка подлинности PingFederate: методы входа, связанные с этими функциями проверки подлинности, выбираются автоматически. Необходимо указать все остальные необходимые параметры конфигурации в интерактивном режиме.
  • Отключенное настраиваемое правило синхронизации будет импортировано как включенное: отключенное настраиваемое правило синхронизации импортируется как включенное. Обязательно отключите его на новом сервере.

Следующие шаги