Факторы, влияющие на производительность Azure AD Connect

Azure AD Connect синхронизирует ваш Active Directory с Azure AD. Этот сервер имеет огромное значение при переносе удостоверений пользователей в облако. Ниже приведены основные факторы, влияющие на производительность Azure AD Connect:

Фактор проектирования Определение
Топология Распределение конечных точек и компонентов, которыми Azure AD Connect необходимо управлять в сети.
Масштабирование Число объектов, таких как пользователи, группы и подразделения, которыми необходимо управлять с помощью Azure AD Connect.
Оборудование Оборудование (физическое или виртуальное) для Azure AD Connect и зависимая производительность каждого компонента оборудования, включая конфигурацию ЦП, памяти, сети и жесткого диска.
Конфигурация Как Azure AD Connect обрабатывает каталоги и информацию.
Загрузить Частота изменений объектов. Нагрузки могут меняться в течение часа, дня или недели. В зависимости от компонента может потребоваться разработка с учетом пиковой или средней нагрузки.

Целью данного документа является описание факторов, влияющих на производительность модуля подготовки Azure AD Connect. Большие или сложные организации (организации, подготавливающие более 100 000 объектов) могут использовать рекомендации для оптимизации собственной реализации Azure AD Connect, если у них возникают какие-либо проблемы с производительностью, описанные в этой статье. Другие компоненты Azure AD Connect, такие как работоспособность Azure AD Connect и агенты, здесь не описаны.

Важно!

Мы поддерживаем изменение или использование служб Azure AD Connect только в контексте официально задокументированных действий. Любые из этих действий могут привести к несогласованному или неподдерживаемому состоянию служб синхронизации Azure AD Connect. Для таких развертываний корпорация Майкрософт не предоставляет техническую поддержку.

Факторы компонента Azure AD Connect

На следующей схеме показана подробная архитектура модуля подготовки, подключенного к одному лесу, несмотря на то, что поддерживаются несколько лесов. В этой архитектуре показано, как различные компоненты взаимодействуют друг с другом.

На схеме показано, как подключенные каталоги взаимодействуют с подсистемой подготовки Azure AD Connect, включая пространство соединителя и компоненты метавселенной в Базе данных SQL.

Модуль подготовки подключается к каждому лесу Active Directory и Azure AD. Процесс считывания информации с каждого каталога называется "импорт". Экспорт относится к обновлению каталогов из модуля подготовки. Синхронизация оценивает правила передачи объектов в модуль подготовки. Более подробные сведения см. в статье Синхронизация Azure AD Connect: общие сведения об архитектуре.

Для разрешения синхронизации из Active Directory в Azure AD в Azure AD Connect используются следующие промежуточные области, правила и процессы:

  • Пространство соединителя — объекты из каждого подключенного каталога, фактические каталоги, помещаются на промежуточное хранение сначала здесь, прежде чем их обработает соответствующий модуль. В Azure AD и у каждого леса, к которому вы подключаетесь, есть собственное пространство соединителя.
  • Метавселенная — объекты, которые необходимо синхронизировать, создаются здесь на основе правил синхронизации. Объекты должны существовать в метавселенной, прежде чем они могут заполнить объекты и атрибуты в других подключенных каталогах. Есть только одна метавселенная.
  • Правила синхронизации — определяют, какие объекты будут созданы (спроектированы) или подключены (присоединены) к объектам в метавселенной. Правила синхронизации также определяют, какие значения атрибутов будут скопированы или преобразованы в каталоги и из них.
  • Профили выполнения — создают пакеты этапов процесса копирования объектов и значений их атрибутов в соответствии с правилами синхронизации между промежуточными областями и подключенными каталогами.

Для оптимизации производительности модуля подготовки существуют разные профили выполнения. Большинство организаций для обычных операций будут использовать расписания по умолчанию и профили выполнения, но некоторым организациям может потребоваться изменить расписание или активировать другие профили выполнения, учитывающие редкие ситуации. Доступны следующие профили выполнения.

Профиль начальной синхронизации

Профиль начальной синхронизации — это процесс чтения подключенных каталогов, например леса Active Directory, в первый раз. Затем выполняется анализ всех записей в базе данных модуля синхронизации. В начальном цикле будут созданы объекты в Azure AD. Он займет больше времени для крупных лесов Active Directory. Начальная синхронизация включает следующие этапы:

  1. Полный импорт во всех соединителях.
  2. Полная синхронизация во всех соединителях.
  3. Экспорт во всех соединителях.

Профиль синхронизации изменений

Чтобы оптимизировать процесс синхронизации, этот профиль выполнения только обрабатывает изменения (операции создания, удаления и обновления) объектов в подключенных каталогах с момента последнего процесса синхронизации. По умолчанию профиль синхронизации изменений запускается каждые 30 минут. Организации должны стремиться к тому, чтобы на ее выполнение уходило не более 30 минут. В этом случае Azure AD останется актуальным. Чтобы отслеживать работоспособность Azure AD Connect, просматривайте проблемы обработки с помощью агента мониторинга работоспособности. Профиль синхронизации изменений включает следующие этапы:

  1. Импорт изменений во всех соединителях.
  2. Синхронизация изменений во всех соединителях.
  3. Экспорт во всех соединителях.

Ниже приведен типичный корпоративный сценарий синхронизации изменений организации:

  • примерно 1 % объектов удалено;
  • примерно 1 % объектов создано;
  • примерно 5 % объектов изменено.

Скорость изменения зависит от периодичности обновления пользователей в Active Directory в вашей организации. Например, большая скорость изменений может возникнуть в связи с сезонными колебаниями найма и сокращения сотрудников.

Профиль полной синхронизации

Цикл полной синхронизации необходим, если внесено одно из следующих изменений конфигурации:

  • Увеличена область объектов или атрибутов для импорта из подключенных каталогов. Например, при добавлении домена или подразделения в область импорта.
  • Внесены изменения в правила синхронизации. Например, при создании правила для заполнения должности пользователя в Azure AD из файла extension_attribute3 в Active Directory. Для этого обновления требуется, чтобы модуль подготовки повторно проверил всех имеющихся пользователей и обновил их должности, чтобы применить изменение в дальнейшем.

Цикл полной синхронизации включает следующие операции:

  1. Полный импорт во всех соединителях.
  2. Полная синхронизация и синхронизация изменений во всех соединителях.
  3. Экспорт во всех соединителях.

Примечание

Во время массового обновления большого количества объектов в Active Directory или Azure AD необходимо тщательное планирование. При выполнении массовых обновлений процесс синхронизации изменений займет больше времени во время импорта, так как изменено большое количество объектов. Импорт может длится долго, даже если массовые обновления не повлияли на процесс синхронизации. Например, из-за назначения лицензий многим пользователям в Azure AD цикл импорта из Azure AD будет длится долго, но это не приведет к каким-либо изменениям атрибутов в Active Directory.

Синхронизация

Среда выполнения процесса синхронизации имеет следующие характеристики производительности:

  • Синхронизация является однопоточной, а это означает, что модуль подготовки не выполняет параллельную обработку профилей выполнения подключенных каталогов, объектов или атрибутов.
  • Время импорта растет линейно с количеством синхронизируемых объектов. Например, если импорт 10 000 объектов занимает 10 минут, то импорт 20 000 объектов займет около 20 минут на том же сервере.
  • Экспорт также линейный.
  • Период синхронизации будет увеличиваться экспоненциально в зависимости от числа объектов со ссылками на другие объекты. Членства в группах и вложенные группы больше всего влияют на производительность, так как участники групп ссылаются на объекты пользователя или другие группы. Эти ссылки необходимо найти и они должны вести к фактическим объектам в метавселенной, чтобы завершить цикл синхронизации.

Фильтрация

Размер топологии Active Directory, которую необходимо импортировать, — это самый главный фактор, влияющий на производительность и общее время, которое уходит на обработку внутренних компонентов модуля подготовки.

Чтобы сократить количество объектов до количества синхронизированных объектов, следует использовать фильтрацию. В этом случае ненужные объекты не будут обрабатываться и экспортироваться в Azure AD. Доступны следующие методы фильтрации (в порядке предпочтения):

  • Фильтрация по доменам — эта возможность используется для выбора отдельных доменов для синхронизации с Azure AD. Необходимо добавлять и удалять домены в конфигурации модуля синхронизации при внесении изменений в локальную инфраструктуру после установки службы синхронизации Azure AD Connect.
  • Фильтрация подразделений — чтобы выбрать для подготовки в Azure AD определенные объекты в доменах Active Directory, используются подразделения. Фильтрация подразделений — это второй рекомендуемый механизм фильтрации, так как в нем используются простые запросы области LDAP для импорта меньшего подмножества объектов из Active Directory.
  • Фильтрация атрибутов на объект — использует значения атрибутов в объектах, чтобы определить, подготавливается ли в Azure AD конкретный объект в Active Directory. Фильтрация атрибутов отлично подходит для точной настройки фильтров, если фильтрация доменов и подразделений не соответствует требованиям конкретной фильтрации. Фильтрация атрибутов не сокращает период импорта, но можно уменьшить период синхронизации и экспорта.
  • Фильтрация на основе группы — используется членство в группе, чтобы определить, нужно ли подготавливать объекты в Azure AD. Фильтрация на основе группы подходит только для тестирования и не рекомендуется для рабочей среды из-за дополнительной нагрузки в результате проверки членства в группе во время цикла синхронизации.

Наличие большого количества постоянных объектов разъединителя в пространстве соединителя Active Directory может привести к длительной синхронизации, так как модулю подготовки необходимо пересчитать каждый объект разъединителя для возможного подключения в цикле синхронизации. Чтобы решить эту проблему, рассмотрите одну из следующих рекомендаций:

  • Разместите объекты разъединителя за пределами области действия импорта с помощью фильтрации по доменам или фильтрации подразделения.
  • Спроектируйте или объедините объекты в метавселенную и задайте для атрибута cloudFiltered значение True, чтобы предотвратить подготовку этих объектов в пространстве соединителя Azure AD.

Примечание

При фильтрации слишком большого количества объектов пользователи могут запутаться или могут возникнуть проблемы с разрешениями приложения. К примеру, в гибридной реализации Exchange Online пользователи с локальными почтовыми ящиками будут видеть большее количество пользователей в глобальном списке адресов, чем пользователи с почтовыми ящиками в Exchange Online. В других случаях пользователь может предоставить доступ в облачном приложении другому пользователю, который не входит в область отфильтрованного набора объектов.

Потоки атрибутов

Потоки атрибутов — это процесс копирования или преобразования значений атрибутов объектов из одного подключенного каталога в другой подключенный каталог. Они определены как часть правил синхронизации. Например, при изменении номера телефона пользователя в Active Directory номер телефона будет обновлен в Azure AD. Организации могут изменить потоки атрибутов в соответствии с различными требованиями. Мы рекомендуем скопировать имеющиеся потоки атрибутов, прежде чем изменять их.

Простые перенаправления, например передача значения атрибута другому атрибуту, не оказывают существенное влияние на производительность. Примером перенаправления является передача номера мобильного телефона в Active Directory к номеру рабочего телефона в Azure AD.

Преобразование значений атрибутов может негативно повлиять на производительность в процессе синхронизации. Преобразование значений атрибутов включает в себя изменение, форматирование, объединение или вычитание значений атрибутов.

Организации могут предотвратить передачу определенных атрибутов в Azure AD, но это не повлияет на производительность модуля подготовки.

Примечание

Не удаляйте нежелательные потоки атрибутов в правилах синхронизации. Вместо этого мы рекомендуем отключить их, так как удаленные правила создаются повторно во время обновлений Azure AD Connect.

Факторы зависимостей Azure AD Connect

Производительность Azure AD Connect зависит от производительности подключенных каталогов, в которые выполняется импорт и экспорт. Например, размер Active Directory, который необходимо импортировать, или задержка сети в службе Azure AD. База данных SQL, которую использует подсистема подготовки, также влияет на общую производительность цикла синхронизации.

Факторы Active Directory

Как упоминалось ранее, количество импортируемых объектов значительно влияет на производительность. В статье Необходимые условия для Azure AD Connect описываются определенные уровни оборудования в зависимости от размера развертывания. Azure AD Connect поддерживает только определенные топологии, как описано в статье Топологии Azure AD Connect. Для неподдерживаемых топологий не предусмотрены оптимизация производительности и рекомендации.

Убедитесь, что сервер Azure AD Connect удовлетворяет требования к оборудованию в зависимости от размера Active Directory, который необходимо импортировать. Недопустимое или медленное сетевое подключение между сервером Azure AD Connect и контроллерами домена Active Directory может замедлить импорт.

Факторы Azure AD

В Azure AD используется регулирование для защиты облачной службы от атак типа "отказ в обслуживании". Сейчас в Azure AD действует ограничение регулирования в 7000 операций записи за 5 минут (84 000 в час). Например, можно регулировать следующие операции:

  • Экспорт Azure AD Connect в Azure AD.
  • Прямое обновление Azure AD сценариями или приложениями PowerShell, даже в фоновом режиме, например динамические членства в группах.
  • Обновление записей удостоверений пользователей, например регистрация для MFA или SSPR (самостоятельный сброс пароля).
  • Операции в графическом пользовательском интерфейсе.

Планируйте задачи развертывания и обслуживания, чтобы ограничения регулирования не оказывали влияние на цикл синхронизации Azure AD Connect. Например, при значительном расширении штата, когда вы создаете тысячи удостоверений пользователей, могут обновится динамические членства в группах, будут назначены лицензии и может быть выполнена регистрация для самостоятельного сброса пароля. Лучше распределить эти операции записи на несколько часов или дней.

Факторы базы данных SQL

Размер исходной топологии Active Directory влияет на производительность базы данных SQL. Выполните необходимые условия для оборудования для базы данных SQL Server и учтите следующие рекомендации:

  • Организации с более чем 100 000 пользователей могут уменьшить сетевые задержки, разместив базу данных SQL и модуль подготовки на одном сервере.
  • Из-за высоких требований к входным и выходным данным диска (операции ввода-вывода) процесса синхронизации используйте твердотельные накопители (SSD) для базы данных SQL модуля подготовки, чтобы получить оптимальные результаты. Если это невозможно, рассмотрите конфигурации RAID 0 или RAID 1.
  • Не выполняйте полную синхронизацию раньше, чем это необходимо, так как она приводит к ненужной нагрузке и увеличению времени отклика.

Заключение

Чтобы оптимизировать производительность вашей реализации Azure AD Connect, учитывайте следующие рекомендации:

  • Используйте рекомендуемую конфигурацию оборудования в зависимости от размера вашей реализации для сервера Azure AD Connect.
  • При обновлении Azure AD Connect в крупномасштабных развертываниях рассмотрите возможность использования метода обновления со сменой сервера, чтобы обеспечить наименьшее время простоя и самую высокую надежность.
  • Для высокой производительности операций записи используйте SSD в базе данных SQL.
  • Применяйте фильтр к области Active Directory, только чтобы включить объекты, которые необходимо подготовить в Azure AD, используя фильтрацию по доменам, подразделениям или атрибутам.
  • Если требуется изменить правила передачи атрибутов по умолчанию, сначала скопируйте правило, а затем измените копию и отключите исходное правило. Не забудьте повторно выполнить полную синхронизацию.
  • Выделите достаточное количество времени для профиля выполнения начальной полной синхронизации.
  • Постарайтесь завершить цикл синхронизации изменений в течение 30 минут. Если профиль синхронизации изменений не завершается в течение 30 минут, добавьте в частоту синхронизации по умолчанию цикл полной синхронизации изменений.
  • Отслеживайте работоспособность синхронизации Azure AD Connect в Azure AD.

Дальнейшие действия

Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.