Синхронизация microsoft Entra Подключение: Планировщик

  • Статья

В этом разделе описывается встроенный планировщик в Microsoft Entra Подключение Sync (подсистема синхронизации).

Эта функция появилась в сборке 1.1.105.0 (выпущенной в феврале 2016 года).

Обзор

Microsoft Entra Подключение Синхронизация синхронизированных изменений, происходящих в локальном каталоге, с помощью планировщика. Планировщики выполняют два процесса — один для синхронизации паролей, другой для синхронизации объектов или атрибутов и задач технического обслуживания. В этом разделе рассматривается второй процесс.

В более ранних версиях планировщик для объектов и атрибутов не входил в модуль синхронизации. Для запуска процесса синхронизации использовался планировщик заданий Windows или отдельная служба Windows. Сейчас в модуль синхронизации встроен планировщик версии 1.1, позволяющий настраивать определенные параметры. Новая частота синхронизации по умолчанию — 30 минут.

Планировщик отвечает за выполнение двух задач:

  • Цикл синхронизации. Процесс импорта, синхронизации и экспорта изменений.
  • Задачи обслуживания. Обновление ключей и сертификатов для сброса паролей и службы регистрации устройств (DRS). Удаление старых записей из журнала операций.

Сам планировщик работает всегда, но может быть настроен на выполнение только одной или ни одной из этих задач. Например, чтобы настроить собственный цикл синхронизации, вы можете отключить эту задачу в планировщике — при этом задача обслуживания будет выполняться по-прежнему.

Важно!

По умолчанию цикл синхронизации выполняется каждые 30 минут. Если вы изменили цикл синхронизации, необходимо убедиться, что он выполняется по крайней мере раз в 7 дней.

  • Разностные синхронизации должны выполняться с интервалом не более 7 дней.
  • Разностная синхронизация после полной синхронизации должна выполняться в течение 7 дней.

В противном случае могут возникнуть проблемы, для разрешения которых потребуется полная синхронизация. Это также относится к серверам в промежуточном режиме.

Конфигурация планировщика

Чтобы увидеть текущие параметры конфигурации, откройте PowerShell и выполните командлет Get-ADSyncScheduler. Отобразятся данные примерно следующего вида:

GetSyncScheduler

Если при запуске этого командлета отображается сообщение The sync command or cmdlet is not available (Команда синхронизации или командлет недоступны), то модуль PowerShell не загружается. Эта проблема может произойти, если вы запускаете Microsoft Entra Подключение на контроллере домена или на сервере с более высоким уровнем ограничений PowerShell, чем параметры по умолчанию. Если отображается это сообщение об ошибке, выполните команду Import-Module ADSync , чтобы сделать командлет доступным.

  • AllowedSyncCycleInterval. Короткий интервал времени между циклами синхронизации, разрешенный идентификатором Microsoft Entra. Более частная синхронизация не поддерживается.
  • CurrentlyEffectiveSyncCycleInterval. Действующее на данный момент расписание. Если значение этого параметра не совпадает с параметром AllowedSyncInterval, оно будет таким же, как у параметра CustomizedSyncInterval (если он задан). При использовании сборки до версии 1.1.281 изменения параметра CustomizedSyncCycleInterval вступают в силу после следующего цикла синхронизации. Начиная со сборки версии 1.1.281 изменение вступает в силу немедленно.
  • CustomizedSyncCycleInterval. Этот параметр позволяет настроить планировщик таким образом, чтобы синхронизация выполнялась чаще или реже, чем каждые 30 минут. На представленном выше снимке экрана планировщик настроен на ежечасное выполнение. Если значение этого параметра меньше, чем значение параметра AllowedSyncInterval, то используется последний.
  • NextSyncCyclePolicyType. Изменение или исходное значение. Определяет, что будет происходить при следующем выполнении: только обработка изменений или полный импорт и синхронизация с повторной обработкой всех новых и измененных правил.
  • NextSyncCycleStartTimeInUTC. Время начала следующего цикла синхронизации.
  • PurgeRunHistoryInterval. Срок хранения журналов операций. Проверить эти журналы можно в Synchronization Service Manager. По умолчанию они хранятся в течение 7 дней.
  • SyncCycleEnabled. Указывает, если в рамках своей работы планировщик выполняется процессы импорта, синхронизации и экспорта.
  • MaintenanceEnabled. Показывает, включен ли процесс обслуживания. Обновляет сертификаты и ключи и очищает журнал операций.
  • StagingModeEnabled. Показано, включен ли промежуточный режим . Если включить этот параметр, то операции экспорта не будут выполняться, но по-прежнему будут выполняться операции импорта и синхронизации.
  • SchedulerSuspended. Задается службой Connect во время обновления, чтобы временно блокировать выполнение планировщика.

Некоторые из этих параметров можно изменить с помощью Set-ADSyncScheduler. Можно изменить следующие параметры.

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

В предыдущих сборках Microsoft Entra Подключение в Set-ADSyncScheduler был предоставлен isStagingModeEnabled. Установка этого свойства не поддерживается. Свойство SchedulerSuspended следует изменять только с помощью Connect. Установка этого свойства напрямую через PowerShell не поддерживается.

Конфигурация планировщика хранится в идентификаторе Microsoft Entra. Если используется промежуточный сервер, то любые изменения на сервере-источнике также отражаются на промежуточном сервере (кроме IsStagingModeEnabled).

CustomizedSyncCycleInterval

Синтаксис: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d — дни, HH — часы, mm — минуты, ss — секунды.

Пример: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Планировщик будет запускаться каждые 3 часа.

Пример: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Планировщик будет запускаться один раз в день.

Отключение планировщика

Если в конфигурацию необходимо внести изменения, то следует отключить планировщик. Например, чтобы настроить фильтрацию или внести изменения в правила синхронизации.

Чтобы отключить планировщик, запустите Set-ADSyncScheduler -SyncCycleEnabled $false.

Disable the scheduler

После внесения изменений не забудьте снова включить планировщик с помощью Set-ADSyncScheduler -SyncCycleEnabled $true.

Запуск планировщика

По умолчанию планировщик запускается каждые 30 минут. В некоторых случаях может потребоваться внеплановое выполнение цикла синхронизации или синхронизация другого типа.

Цикл синхронизации изменений

Цикл синхронизации изменений включает следующие этапы:

  • Импорт изменений во всех соединителях
  • Синхронизация изменений во всех соединителях
  • Экспорт во всех соединителях

Цикл полной синхронизации

Цикл полной синхронизации включает следующие этапы:

  • Полный импорт во всех соединителях
  • Полная синхронизация во всех соединителях
  • Экспорт во всех соединителях

Если вам необходимо срочно синхронизировать какое-то изменение, цикл синхронизации можно запустить вручную.

Для этого используется командлет PowerShell Start-ADSyncSyncCycle -PolicyType Delta.

Чтобы запустить цикл полной синхронизации, в командной строке PowerShell выполните командлет Start-ADSyncSyncCycle -PolicyType Initial .

Цикл полной синхронизации может занимать много времени. Ознакомьтесь со следующим разделом, чтобы узнать, как оптимизировать этот процесс.

Действия по синхронизации, необходимые в случае различных изменений конфигурации

Для различных изменений конфигурации требуются разные действия по синхронизации, позволяющие убедиться, что изменения будут правильно применены ко всем объектам.

  • Добавлены дополнительные объекты или атрибуты, импортируемые из исходного каталога (путем добавления или изменения правил синхронизации)
    • Необходимо выполнить полный импорт для соединителя этого исходного каталога.
  • Внесены изменения в правила синхронизации
    • Необходимо выполнить полную синхронизацию для соединителя измененных правил синхронизации.
  • Изменена фильтрация , поэтому необходимо включить другое количество объектов
    • Необходимо выполнить полный импорт для каждого соединителя AD, ЕСЛИ НЕ используется фильтрация на основе атрибутов, которые уже импортируются в модуль синхронизации.

Настройка цикла синхронизации с правильным сочетанием операций разностной и полной синхронизации

Чтобы избежать необходимости выполнять полный цикл синхронизации, вы можете пометить определенные соединители для полной синхронизации с помощью указанных ниже командлетов.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Пример: если вы внесли изменения в правила синхронизации для соединителя "AD Forest A", которые не требуют импорта новых атрибутов, выполните указанные ниже командлеты, чтобы запустить цикл разностной синхронизации с полной синхронизацией для данного соединителя.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Пример: если вы внесли изменения в правила синхронизации для соединителя "AD Forest A" таким образом, что теперь необходим импорт новых атрибутов, выполните указанные ниже командлеты, чтобы запустить цикл разностной синхронизации с полным импортом и полной синхронизацией для данного соединителя.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Остановка планировщика

Бывает, что планировщик необходимо остановить в процессе выполнения цикла синхронизации. Это может потребоваться, например, если вы запустили мастер установки и получили следующую ошибку:

Screenshot shows Cannot change configuration error message.

Пока выполняется цикл синхронизации, вносить изменения в конфигурацию нельзя. Вы можете дождаться, пока планировщик завершит синхронизацию, или остановить его и внести изменения незамедлительно. Остановка текущего цикла не вредит системе, а внесенные изменения обрабатываются во время следующей синхронизации.

  1. Чтобы остановить планировщик во время цикла синхронизации, используйте командлет PowerShell Stop-ADSyncSyncCycle.

  2. При использовании сборки до версии 1.1.281 остановка планировщика не означает, что действующий соединитель прекратит выполнение своей текущей задачи. Чтобы принудительно остановить соединитель, выполните следующие действия.

    Screenshot shows Synchronization Service Manager with Connectors selected and a running connector highlighted with the Stop action selected.

    • Запустите Synchronization Service из меню "Пуск". Откройте Соединители, выделите соединитель с состоянием Выполняется и выберите в меню действий команду Остановить.

Планировщик останется активным и при первой возможности запустится снова.

Настраиваемый планировщик

Командлеты, описанные в этом разделе, доступны только в сборке 1.1.130.0 и более поздних версий.

Если встроенный планировщик не соответствует вашим требованиям, составить расписание для соединителей можно с помощью PowerShell.

Invoke-ADSyncRunProfile

Запустить профиль для соединителя можно таким образом:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Имена соединителей и имена профилей выполнения можно найти в пользовательском интерфейсе Synchronization Service Manager.

Invoke Run Profile

Командлет Invoke-ADSyncRunProfile является синхронным, т. е. он не возвращает управление до тех пор, пока соединитель не завершит операцию, успешно или с ошибкой.

При создании расписания для соединителей рекомендуется запланировать их в следующем порядке:

  1. (полная/изменения) импорт из локальных каталогов, например Active Directory;
  2. (Full/Delta) Импорт из идентификатора Microsoft Entra
  3. (полная/изменения) синхронизация из локальных каталогов, например Active Directory;
  4. (Full/Delta) Синхронизация с идентификатором Microsoft Entra
  5. Экспорт в идентификатор Microsoft Entra
  6. экспорт в локальные каталоги, например Active Directory.

Этот порядок определяет, в какой последовательности встроенный планировщик запускает соединители.

Get-ADSyncConnectorRunStatus

Вы также можете отслеживать работу модуля синхронизации (занят или бездействует). Этот командлет возвращает пустой результат, если модуль синхронизации бездействует и не запускает соединитель. Если соединитель выполняется, то он возвращает имя соединителя.

Get-ADSyncConnectorRunStatus

Connector Run Status
На рисунке выше первая строка — из состояния, в котором модуль синхронизации бездействует. Вторая строка, начиная с момента запуска Подключение ора Microsoft Entra.

Планировщик и мастер установки

При запуске мастера установки планировщик приостанавливается. Это связано с тем, что вы можете внести изменения в конфигурацию, а во время активной работы модуля синхронизации их нельзя будет применить. Пока мастер установки открыт, модуль синхронизации не выполняет никаких действий по синхронизации.

Следующие шаги

Дополнительные сведения о конфигурации синхронизации Microsoft Entra Подключение.

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.