Рекомендации по развертыванию Microsoft Identity Manager с SharePoint Server 2016

  • Статья

 

**Применимо к:**SharePoint Server 2016

**Последнее изменение раздела:**2017-03-13

Сводка. Рекомендации по развертыванию Microsoft Identity Manager (MIM) в ферме SharePoint Server 2016.

Для успешного развертывания MIM в SharePoint Server 2016 следуйте указанным ниже рекомендациям.

Спланируйте миграцию из тестовой среды в рабочую

Планирование, планирование и еще раз планирование. Этот шаг нельзя переоценить. Большинство проблем связано именно с недостаточным планированием.

Правильная настройка службы синхронизации MIM в тестовой лаборатории и тщательное планирование миграции в рабочую среду позволят уменьшить количество проблем с развертыванием. Рекомендуем использовать немасштабную тестовую среду, чтобы не тратить время на обработку тысяч объектов при тестировании новых правил.

Создайте резервную копию исходной тестовой среды

После установки MIM и создания агентов управления создайте резервную копию базы данных синхронизации MIM. Так вы сможете воссоздать тестовую среду в любое время, загрузив резервную базу данных.

Проверьте процедуры резервного копирования и восстановления MIM

Регулярное резервное копирование необходимо для защиты данных от случайных потерь. Рекомендуем проверить процедуры резервного копирования и восстановления до возникновения чрезвычайной ситуации. Для резервного копирования и восстановления MIM используйте инструменты операционной системы Windows Server 2012 R2 и SQL Server 2014.

Установите службу синхронизации MIM и SQL Server в одном домене

Доступ к удаленной базе данных во время установки службы синхронизации MIM зависит от прав доступа учетной записи, которую вы используете для установки. Убедитесь, что сервер с операционной системой Windows Server 2012 R2, на котором размещен диспетчер MIM, и сервер, на котором размещен SQL Server, находятся в одном домене, а у учетной записи, которую вы используете для установки, есть права доступа к последнему.

Настройте права доступа, если SQL Server установлен на удаленном сервере

Если вы устанавливаете SQL Server на удаленном компьютере, то есть не на том компьютере, на котором работает MIM, убедитесь, что политика учетной записи службы SQL Server разрешает доступ к этому компьютеру из сети. Если доступ запрещен, установить MIM не удастся.

Важно!

Если вы устанавливаете SQL Server на удаленном компьютере и доступ к нему из сети разрешен, при установке MIM появится предупреждение системы безопасности. В этом случае его можно проигнорировать.

Укажите порт TCP/IP для удаленного сервера под управлением SQL Server

Если экземпляр SQL Server, указанный при установке MIM, находится на удаленном компьютере, программа установки MIM использует порт TCP/IP по умолчанию. Если вы хотите указать другой порт, используйте инструменты SQL Server Client Network Utility (Windows\System32\cliconfg.exe) и Server Network Utility. Дополнительные сведения см. в электронной документации на SQL Server.

Используйте команду "Экспортировать агент управления" для резервного копирования агентов управления при каждом изменении правил

После экспорта агента управления можно использовать команду Импортировать агент управления для импорта определенной версии агента управления. Агенты управления также можно экспортировать и импортировать с помощью команд Экспортировать конфигурацию сервера и Импортировать конфигурацию сервера, но при этом импортируются все агенты управления, а также схема метавселенной. Дополнительные сведения см. в статьях Настройка агентов управления и Импорт и экспорт конфигурации сервера.

Укажите атрибут displayName в метавселенной, чтобы результаты поиска было легче идентифицировать

При перечислении объектов в случае поиска по метавселенной MIM возвращает результаты, которым присвоен атрибут displayName. Если атрибут displayName не указан, результатам поиска будет присвоен глобальный уникальный идентификатор (GUID). Дополнительные сведения см. в статье Использование поиска по метавселенной.

Сделайте так, чтобы правила потока действовали на основании состояния объекта

Для определения следующего этапа синхронизации объекта используйте состояние объекта, а не событие, которое его вызвало.

Важно!

При синхронизации объекта декларативные правила и правила в расширении правил оцениваются не в указанном, а в случайном порядке.

Отключите подготовку при первом переносе подключенных источников данных в метавселенную

При первом развертывании MIM рекомендуем перенести и объединить все подключенные источники данных. Только после этого можно включить подготовку и запустить полную синхронизацию агентов управления, чтобы применить правила подготовки ко всем подключенным объектам. Дополнительные сведения о том, как настроить правила подготовки, см. в статье Правила подготовки.

Установите для удаления пороговое значение в профиле выполнения, чтобы ограничить количество случайно удаленных объектов

Установите для удаления пороговое значение, чтобы ограничить количество случайно удаленных объектов при импорте или экспорте. При достижении этого значения агент управления остановится или не запустится. Дополнительные сведения см. в статье Настройка агентов управления.

Используйте пространство соединителя поиска для анализа объектов

Вы можете искать объекты в пространстве соединителя для агента управления по имени, состоянию (подключен, отключен или ожидает импорта или экспорта) или состоянию ошибки.

Используйте предварительный просмотр для проверки синхронизации и устранения неполадок

Вы можете запускать пробную синхронизацию и просматривать результаты, не внося изменения в метавселенную. Вы также можете проверять новые расширения правил и устранять ошибки синхронизации из-за сбоев объединения или нарушений схемы.

Настройте профиль периодического выполнения с помощью синхронизации изменений для автоматической обработки разъединителей

Объекты, которые не могут подключиться, не переоцениваются на этапе профиля выполнения синхронизации изменений и импорта изменений и могут оставаться разъединителями. Периодическое выполнение синхронизации изменений позволит переоценивать и обрабатывать эти разъединители. Дополнительные сведения об этапах профиля выполнения см. в статье Настройка агентов управления.

Регулярно сохраняйте и очищайте историю запуска агентов управления с помощью функции операций

Функция операций записывает историю запуска каждого агента управления. История запуска каждого агента управления сохраняется в базе данных SQL Server. Из-за этого ее производительность может со временем снизиться. Историю запуска можно сохранять с помощью функции операций. Дополнительные сведения см. в статье Использование функции операций.

Примечание

Удаление сведений о большом количестве запусков за раз может занять много времени. Рекомендуем удалять за раз информацию о запусках, количество которых не превышает 100.

Используйте несколько разделов для управления синхронизацией отдельных типов объектов

Чтобы управлять синхронизацией отдельных типов объектов в файловом агенте управления, создайте раздел для каждого из них. Например, чтобы синхронизировать типы объектов mailbox и group, создайте два раздела в агенте управления и назначьте mailbox для одного из них и group — для другого. Затем создайте профиль выполнения агента управления для каждого раздела. Теперь один агент управления сможет синхронизировать один или оба выбранных типа объектов. Дополнительные сведения о том, как использовать разделы, см. в статье Метавселенная и пространство соединителя.

Планирование мощности

Существует ряд переменных, которые могут повлиять на общую производительность развертывания MIM.

Производительность может ухудшиться из-за небольшого размера баз данных в системе при создании и их автоматического увеличения, особенно с небольшим шагом. Минимальный объем оперативной памяти для серверов SQL Server — 16 ГБ, но дополнительная память поможет повысить общую производительность. Минимальное количество ядер ЦП на серверах SQL Server — 16, но дополнительные ядра помогут повысить общую производительность.

Наконец, рекомендуем не запускать базы данных SharePoint и MIM на одном сервере.

Высокая доступность

Решение MIM разработано с учетом требований к высокой доступности и лишено единых точек отказа. Для обеспечения высокой доступности следует учитывать следующие компоненты:

Примечание

Сведения в этом разделе носят исключительно рекомендательный характер.

  • Служба синхронизации MIM. Кластеризация службы синхронизации MIM не поддерживается, но вы можете развернуть резервный сервер, который возьмет на себя нагрузку основного в случае сбоя. Однако сбой оборудования не должен быть проблемой, так как служба синхронизации MIM будет работать на виртуальной машине, размещенной на нескольких физических узлах. В случае программного сбоя виртуальная машина, на которой размещен сервер синхронизации, быстро восстанавливается на основе предыдущей резервной копии или с нуля. Простой этой службы никак не влияет на взаимодействие пользователя с решением. Он только задерживает выполнение всех запросов на подготовку и отзыв ресурсов. После восстановления работы службы эти операции возобновляются без потери данных. Резервный сервер службы синхронизации MIM будет подключен к той же базе данных SQL Server, что и основной, и его нужно будет активировать с помощью сценария, если основной сервер выйдет из строя и его не удастся оперативно перезапустить. Обратите внимание, что агент управления MIM, используемый для синхронизации данных между базой данных службы синхронизации MIM и базой данных службы MIM, должен указывать на локальный экземпляр службы MIM.

  • SQL Server. Кластер SQL Server должен обеспечивать высокий уровень доступности баз данных. Кластер MIM будет состоять из двух серверов со спецификациями, описанными в предыдущих абзацах. В каждом узле SQL установлены оба экземпляра SQL, но только один из них будет активен в определенный момент времени.

    Конструкция предусматривает эффективное использование кластерных виртуальных машин без превышения нагрузки на каждый узел, из-за чего оба могут выйти из строя в случае отработки отказа.

    Так как базы данных размещены на удаленном сервере SQL Server, скорость сетевого подключения между серверами MIM и серверами SQL Server должна составлять 1 Гбит. Сеть со скоростью 100 Мбит не обеспечит достаточную пропускную способность и снизит скорость синхронизации на 20–30 %.

Всегда используйте "Импорт Active Directory" в качестве параметра синхронизации в Центре администрирования профилей пользователей

Если вы планируете использовать службу синхронизации MIM, выберите параметр Use SharePoint Active Directory Import. Существует проблема с компиляцией аудитории и атрибутом Manager, если выбран параметр Enable External Identity Manager.

Примечание

Эта проблема устранена в обновлении SharePoint Server 2016 от 21 февраля 2017 г. (KB3141517).

Придерживайтесь выбранного способа синхронизации

Если вы измените один способ синхронизации на другой с помощью параметра Configure Synchronization Settings в центре администрирования, не будут возвращены объекты при импорте в экземпляре соединителя SharePoint, а в журналах ULS не будет результатов.

Инструкции по восстановлению в случае изменения такого способа см. в статье SharePoint 2016: проблемы, связанные со сменой типа синхронизации, то есть с переходом от импорта AD (UPA) к использованию внешнего диспетчера удостоверений (MIM) и наоборот.

Экспорт изображений из SharePoint в Active Directory

Экспорт изображений из SharePoint в Active Directory не поддерживается, поэтому вам нужно спланировать их перенос.

Интеграция с BCS для поддержки дополнительных свойств профилей отсутствует

В MIM нет интеграции с Business Connectivity Services для поддержки свойств профилей. Для этой цели можно настроить соединители вручную.

Свойства профилей пользователей

Свойства профилей пользователей можно создавать в SharePoint Server 2016, однако сопоставления создаются не в SharePoint, а в MIM.

Имя NetBios

Если выбран внешний диспетчер удостоверений и имя NetBIOS вашего домена отличается от полного доменного имени (FQDN), в приложении-службе профилей пользователей сразу после его создания необходимо включить свойство NetBIOSDomainNamesEnabled.

Выполняйте синхронизацию по защищенному каналу

Так как при синхронизации часто передаются личные сведения, настоятельно рекомендуем использовать защищенный канал, например HTTPS или LDAPS.

See also

Overview of Microsoft Identity Manager Synchronization Service in SharePoint Server 2016