Microsoft Entra Anslut Sync: Scheduler

  • Artikel

Det här avsnittet beskriver den inbyggda schemaläggaren i Microsoft Entra Anslut Sync (synkroniseringsmotor).

Den här funktionen introducerades med version 1.1.105.0 (släpptes februari 2016).

Översikt

Microsoft Entra Anslut Sync synkroniserar ändringar som inträffar i din lokala katalog med hjälp av en schemaläggare. Det finns två scheduler-processer, en för lösenordssynkronisering och en annan för synkronisering och underhåll av objekt/attribut. Det här avsnittet beskriver det senare.

I tidigare versioner var schemaläggaren för objekt och attribut utanför synkroniseringsmotorn. Den använde Windows-schemaläggaren eller en separat Windows-tjänst för att utlösa synkroniseringsprocessen. Scheduler är med 1.1-versionerna inbyggda i synkroniseringsmotorn och tillåter viss anpassning. Den nya standardsynkroniseringsfrekvensen är 30 minuter.

Schemaläggaren ansvarar för två uppgifter:

  • Synkroniseringscykel. Processen för att importera, synkronisera och exportera ändringar.
  • Underhållsaktiviteter. Förnya nycklar och certifikat för lösenordsåterställning och enhetsregistreringstjänst (DRS). Rensa gamla poster i driftloggen.

Själva schemaläggaren körs alltid, men den kan konfigureras för att endast köra en eller ingen av dessa uppgifter. Om du till exempel behöver ha en egen synkroniseringscykelprocess kan du inaktivera den här uppgiften i schemaläggaren men ändå köra underhållsaktiviteten.

Viktigt!

Som standard körs en synkroniseringscykel var 30:e minut. Om du har ändrat synkroniseringscykeln måste du se till att en synkroniseringscykel körs minst en gång var sjunde dag.

  • En deltasynkronisering måste ske inom 7 dagar från den senaste deltasynkroniseringen.
  • En deltasynkronisering (efter en fullständig synkronisering) måste ske inom 7 dagar från det att den senaste fullständiga synkroniseringen slutfördes.

Om du inte gör det kan det orsaka synkroniseringsproblem som kräver att du kör en fullständig synkronisering för att lösa problemet. Detta gäller även för servrar i mellanlagringsläge.

Scheduler-konfiguration

Om du vill se dina aktuella konfigurationsinställningar går du till PowerShell och kör Get-ADSyncScheduler. Den visar något som liknar den här bilden:

GetSyncScheduler

Om du ser att synkroniseringskommandot eller cmdleten inte är tillgängligt när du kör den här cmdleten läses inte PowerShell-modulen in. Det här problemet kan inträffa om du kör Microsoft Entra Anslut på en domänkontrollant eller på en server med högre PowerShell-begränsningsnivåer än standardinställningarna. Om du ser det här felet kör du Import-Module ADSync för att göra cmdleten tillgänglig.

  • AllowedSyncCycleInterval. Det kortaste tidsintervallet mellan synkroniseringscykler som tillåts av Microsoft Entra-ID. Du kan inte synkronisera oftare än den här inställningen och stöds fortfarande.
  • För närvarandeEffectiveSyncCycleInterval. Schemat gäller för närvarande. Det har samma värde som CustomdSyncInterval (om det anges) om det inte är vanligare än AllowedSyncInterval. Om du använder en version före 1.1.281 och ändrar CustomizedSyncCycleInterval börjar den här ändringen gälla efter nästa synkroniseringscykel. Från version 1.1.281 börjar ändringen gälla omedelbart.
  • CustomdSyncCycleInterval. Om du vill att schemaläggaren ska köras med någon annan frekvens än standardvärdet 30 minuter konfigurerar du den här inställningen. I bilden ovan har schemaläggaren ställts in på att köras varje timme i stället. Om du anger den här inställningen till ett värde som är lägre än AllowedSyncInterval används den senare.
  • NextSyncCyclePolicyType. Antingen Delta eller Initial. Definierar om nästa körning endast ska bearbeta deltaändringar, eller om nästa körning ska göra en fullständig import och synkronisering. Det senare skulle också bearbeta nya eller ändrade regler.
  • NextSyncCycleStartTimeInUTC. Nästa gång schemaläggaren startar nästa synkroniseringscykel.
  • PurgeRunHistoryInterval. Tidsåtgärdsloggarna ska behållas. Dessa loggar kan granskas i synkroniseringstjänsthanteraren. Standardvärdet är att behålla dessa loggar i 7 dagar.
  • SyncCycleEnabled. Anger om schemaläggaren kör import-, synkroniserings- och exportprocesserna som en del av åtgärden.
  • MaintenanceEnabled. Visar om underhållsprocessen är aktiverad. Den uppdaterar certifikaten/nycklarna och rensar driftloggen.
  • StagingModeEnabled. Visar om mellanlagringsläget är aktiverat. Om den här inställningen är aktiverad förhindras exporten från att köras men kör fortfarande import och synkronisering.
  • SchedulerSuspended. Ställ in efter Anslut under en uppgradering för att tillfälligt blockera schemaläggaren från att köras.

Du kan ändra några av de här inställningarna med Set-ADSyncScheduler. Följande parametrar kan ändras:

  • CustomdSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

I tidigare versioner av Microsoft Entra Anslut exponerades isStagingModeEnabled i Set-ADSyncScheduler. Det går inte att ange den här egenskapen. Egenskapen SchedulerSuspended bör endast ändras av Anslut. Det går inte att ställa in detta med PowerShell direkt.

Scheduler-konfigurationen lagras i Microsoft Entra-ID. Om du har en mellanlagringsserver påverkar alla ändringar på den primära servern även mellanlagringsservern (förutom IsStagingModeEnabled).

CustomdSyncCycleInterval

Syntax: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dagar, HH - timmar, mm - minuter, ss - sekunder

Exempel: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Ändrar schemaläggaren så att den körs var 3:e timme.

Exempel: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Ändringar ändrar schemaläggaren så att den körs dagligen.

Inaktivera schemaläggaren

Om du behöver göra konfigurationsändringar vill du inaktivera schemaläggaren. När du till exempel konfigurerar filtrering eller gör ändringar i synkroniseringsregler.

Om du vill inaktivera schemaläggaren kör du Set-ADSyncScheduler -SyncCycleEnabled $false.

Disable the scheduler

När du har gjort dina ändringar ska du inte glömma att aktivera schemaläggaren igen med Set-ADSyncScheduler -SyncCycleEnabled $true.

Starta schemaläggaren

Schemaläggaren körs som standard var 30:e minut. I vissa fall kanske du vill köra en synkroniseringscykel mellan de schemalagda cyklerna eller så måste du köra en annan typ.

Deltasynkroniseringscykel

En deltasynkroniseringscykel innehåller följande steg:

  • Deltaimport på alla Anslut orer
  • Deltasynkronisering på alla Anslut orer
  • Exportera på alla Anslut orer

Fullständig synkroniseringscykel

En fullständig synkroniseringscykel innehåller följande steg:

  • Fullständig import för alla Anslut orer
  • Fullständig synkronisering på alla Anslut orer
  • Exportera på alla Anslut orer

Det kan vara så att du har en brådskande ändring som måste synkroniseras omedelbart, vilket är anledningen till att du måste köra en cykel manuellt.

Om du behöver köra en synkroniseringscykel manuellt kör du från PowerShell Start-ADSyncSyncCycle -PolicyType Delta.

Starta en fullständig synkroniseringscykel genom att köra Start-ADSyncSyncCycle -PolicyType Initial från en PowerShell-prompt.

Att köra en fullständig synkroniseringscykel kan vara mycket tidskrävande. Läs nästa avsnitt för att läsa hur du optimerar den här processen.

Synkroniseringssteg som krävs för olika konfigurationsändringar

Olika konfigurationsändringar kräver olika synkroniseringssteg för att säkerställa att ändringarna tillämpas korrekt på alla objekt.

  • Fler objekt eller attribut har lagts till som ska importeras från en källkatalog (genom att lägga till/ändra synkroniseringsreglerna)
    • En fullständig import krävs på Anslut eller för källkatalogen
  • Gjorde ändringar i synkroniseringsreglerna
    • En fullständig synkronisering krävs på Anslut eller för de ändrade synkroniseringsreglerna
  • Ändrad filtrering så att ett annat antal objekt ska inkluderas
    • En fullständig import krävs på Anslut eller för varje AD-Anslut eller om du inte använder attributbaserad filtrering baserat på attribut som redan importeras till synkroniseringsmotorn

Anpassa en synkroniseringscykel kör rätt blandning av Delta- och Fullständig synkroniseringssteg

Om du vill undvika att köra en fullständig synkroniseringscykel kan du markera specifika Anslut orer för att köra ett fullständigt steg med hjälp av följande cmdletar.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Exempel: Om du har gjort ändringar i synkroniseringsreglerna för Anslut eller "AD Forest A" som inte kräver att några nya attribut importeras kör du följande cmdletar för att köra en deltasynkroniseringscykel som också gjorde ett steg för fullständig synkronisering för den Anslut orn.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Exempel: Om du har gjort ändringar i synkroniseringsreglerna för Anslut eller "AD Forest A" så att de nu kräver att ett nytt attribut importeras kör du följande cmdletar för att köra en deltasynkroniseringscykel som också gjorde ett fullständigt import-, fullständig synkroniseringssteg för den Anslut eller.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Stoppa schemaläggaren

Om schemaläggaren för närvarande kör en synkroniseringscykel kan du behöva stoppa den. Om du till exempel startar installationsguiden och får det här felet:

Screenshot shows Cannot change configuration error message.

När en synkroniseringscykel körs kan du inte göra konfigurationsändringar. Du kan vänta tills schemaläggaren har slutfört processen, men du kan också stoppa den så att du kan göra dina ändringar omedelbart. Det är inte skadligt att stoppa den aktuella cykeln och väntande ändringar bearbetas vid nästa körning.

  1. Börja med att be schemaläggaren att stoppa sin aktuella cykel med PowerShell-cmdleten Stop-ADSyncSyncCycle.

  2. Om du använder en version före 1.1.281 stoppar inte schemaläggaren den aktuella Anslut eller från den aktuella aktiviteten. Utför följande åtgärder för att tvinga Anslut eller att stoppa:

    Screenshot shows Synchronization Service Manager with Connectors selected and a running connector highlighted with the Stop action selected.

    • Starta synkroniseringstjänsten från Start-menyn. Gå till Anslut orer, markera Anslut eller med tillståndet Körs och välj Stoppa från åtgärderna.

Schemaläggaren är fortfarande aktiv och startar igen vid nästa affärsmöjlighet.

Anpassad schemaläggare

Cmdletarna som dokumenteras i det här avsnittet är endast tillgängliga i version 1.1.130.0 och senare.

Om den inbyggda schemaläggaren inte uppfyller dina krav kan du schemalägga Anslut orerna med hjälp av PowerShell.

Invoke-ADSyncRunProfile

Du kan starta en profil för en Anslut eller på det här sättet:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Namnen som ska användas för Anslut ellernamn och Kör profilnamn finns i användargränssnittet för Synkroniseringstjänsthanteraren.

Invoke Run Profile

Cmdleten Invoke-ADSyncRunProfile är synkron, dvs. den returnerar inte kontrollen förrän Anslut eller har slutfört åtgärden, antingen korrekt eller med ett fel.

När du schemalägger dina Anslut orer är rekommendationen att schemalägga dem i följande ordning:

  1. (Fullständig/Delta) Importera från lokala kataloger, till exempel Active Directory
  2. (Fullständig/Delta) Importera från Microsoft Entra-ID
  3. (Fullständig/Delta) Synkronisering från lokala kataloger, till exempel Active Directory
  4. (Fullständig/Delta) Synkronisering från Microsoft Entra-ID
  5. Exportera till Microsoft Entra-ID
  6. Exportera till lokala kataloger, till exempel Active Directory

Den här ordningen är hur den inbyggda schemaläggaren kör Anslut orerna.

Get-ADSync Anslut orRunStatus

Du kan också övervaka synkroniseringsmotorn för att se om den är upptagen eller inaktiv. Den här cmdleten returnerar ett tomt resultat om synkroniseringsmotorn är inaktiv och inte kör en Anslut eller. Om en Anslut eller körs returneras namnet på Anslut eller.

Get-ADSyncConnectorRunStatus

Connector Run Status
På bilden ovan är den första raden från ett tillstånd där synkroniseringsmotorn är inaktiv. Den andra raden från när Microsoft Entra-Anslut eller körs.

Schemaläggaren och installationsguiden

Om du startar installationsguiden pausas schemaläggaren tillfälligt. Det här beteendet beror på att det antas att du gör konfigurationsändringar och att dessa inställningar inte kan tillämpas om synkroniseringsmotorn körs aktivt. Lämna därför inte installationsguiden öppen eftersom den hindrar synkroniseringsmotorn från att utföra några synkroniseringsåtgärder.

Nästa steg

Läs mer om Microsoft Entra Anslut Sync-konfigurationen.

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.