Предварительные требования для установки и настройки федерации
Удаленное управление Windows
Если Azure AD Connect используется для развертывания AD FS или прокси-сервера веб-приложения (WAP), проверьте выполнение требований, указанных ниже.
- Если целевой сервер присоединен к домену, включите удаленное управление Windows.
- Если целевой сервер представляет собой WAP-компьютер, не присоединенный к домену, имеются некоторые дополнительные требования, указанные ниже.
- На целевом компьютере (WAP):
- Убедитесь, что служба удаленного управления Windows/WS-Management (WinRM) выполняется через оснастку «Службы».
- В командном окне PowerShell с повышенными привилегиями выполните команду .
- На компьютере, где запущен мастер (если целевой компьютер не присоединен к домену или представляет собой ненадежный домен), выполните действия, указанные ниже.
- В командном окне PowerShell с повышенными привилегиями выполните команду .
- В диспетчере серверов
- Добавьте узел WAP DMZ в пул компьютеров. В диспетчере сервера последовательно выберите Управление > Добавить серверы, затем используйте вкладку DNS.
- На вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши сервер WAP и выберите пункт Управлять как. Введите локальные учетные данные (не домен) для компьютера WAP.
- Чтобы проверить возможность удаленного подключения PowerShell, на вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши WAP-сервер и выберите Windows PowerShell. Должен открыться удаленный сеанс PowerShell, чтобы обеспечить возможность установления удаленных сеансов PowerShell.
- На целевом компьютере (WAP):
Требования к TLS- и SSL-сертификатам
- Рекомендуем использовать один и тот же TLS/SSL-сертификат на всех узлах фермы AD FS, а также на всех прокси-серверах веб-приложений.
- Это должен быть сертификат X509.
- На серверах федерации в тестовой лабораторной среде можно использовать самозаверяющий сертификат. Для рабочей среды рекомендуется получить сертификат из общедоступного центра сертификации.
- Идентификатор сертификата должен совпадать с именем службы федерации (например sts.contoso.com).
- Идентификатор является расширением альтернативного имени субъекта (SAN) типа dNSName. При отсутствии записей SAN имя субъекта указывается как обычное имя.
- В сертификате может быть несколько записей SAN, если одна из них соответствует имени службы федерации.
- Если планируется использовать подключение Workplace Join, то необходимо дополнительное имя SAN со значением enterpriseregistration, за которым следует суффикс имени участника-пользователя (UPN) вашей организации, например enterpriseregistration.contoso.com.
- Сертификаты на основе ключей CryptoAPI следующего поколения (CNG) и поставщики хранилища ключей (KSP) не поддерживаются. Вследствие этого, необходимо использовать сертификат на основе поставщика служб шифрования (CSP), а не KSP.
- Поддерживаются групповые сертификаты.
Разрешение имен для серверов федерации
- Настройте записи DNS для имени AD FS (например, sts.contoso.com) для интрасети (внутренний DNS-сервер) и экстрасети (общедоступный DNS-сервер вашего регистратора доменных имен). Для записи DNS интрасети обязательно используйте записи A, а не записи CNAME. Использование записей A необходимо для правильной работы проверки подлинности Windows на компьютере, присоединенном к домену.
- Если выполняется развертывание нескольких серверов AD FS или прокси-сервер веб-приложения, убедитесь, что настроен балансировщик нагрузки, и на него указывают записи DNS для имени AD FS (например, sts.contoso.com).
- Чтобы встроенная проверка подлинности Windows работала с приложениями браузера в вашей интрасети с помощью Internet Explorer, необходимо, чтобы имя AD FS (например, sts.contoso.com) было добавлено в зону интрасети в Internet Explorer. Это требование можно реализовывать с помощью групповой политики и развертывать на всех компьютерах, присоединенных к домену.
Шаги по диагностике и устранению неполадок в Connect Health
Функция диагностики поддерживает объекты-пользователи со следующими повторяющимися атрибутами.
Имя атрибута | Типы ошибок синхронизации |
---|---|
UserPrincipalName | QuarantinedAttributeValueMustBeUnique или AttributeValueMustBeUnique |
ProxyAddresses | QuarantinedAttributeValueMustBeUnique или AttributeValueMustBeUnique |
SipProxyAddress | AttributeValueMustBeUnique |
OnPremiseSecurityIdentifier | AttributeValueMustBeUnique |
Важно!
Для доступа к этой функции требуется разрешение глобального администратора или участника в Azure RBAC.
Следуя инструкциям на портале Azure, вы сможете уточнить сведения об ошибках синхронизации и найти более конкретные решения.
На портале Azure вам нужно выполнить несколько шагов, чтобы определить конкретные сценарии для исправления.
- Просмотрите столбец Diagnose status (Состояние диагностики). В нем указывается, существует ли способ устранить ошибку синхронизации непосредственно из Azure Active Directory. Другими словами, существует ли процедура устранения неполадок, позволяющая уточнить ошибку и потенциально устранить ее.
Состояние | Что это означает? |
---|---|
Не запущено | Вы не рассмотрели этот процесс диагностики. В зависимости от результата диагностики, может существовать возможность исправить ошибку синхронизации напрямую с портала. |
Требуется исправление вручную | Ошибка не подпадает под критерии доступного исправления с портала. Возможно, конфликтующие типы объектов не являются пользователями или вы уже выполнили диагностику, а на портале нет доступных исправлений. В последнем случае одним из решений является исправление из локальной среды. Дополнительные сведения об исправлении в локальной среде. |
Ожидается синхронизация | Исправление было применено. Портал ожидает следующего цикла синхронизации для устранения ошибки. |
Важно!
Данные в столбце состояния диагностики будут сбрасываться после каждого цикла синхронизации.
-
Нажмите кнопку Диагностика под сведениями об ошибке. Можно ответить на несколько вопросов и получить сведения об ошибке синхронизации. Ответы на вопросы помогают идентифицировать сценарий с потерянным объектом.
-
Если после окончания диагностики появляется кнопка Закрыть, это означает, что на основе данных ответов на портале нет способов быстрого устранения неполадок. Выберите решение, показанное на последнем шаге. По-прежнему доступно устранение из локальной среды. Нажмите кнопку Закрыть. Состояние текущей ошибки синхронизации изменится на Требуется исправление вручную. Это состояние сохранится на протяжении текущего цикла синхронизации.
-
После определения сценария с потерянным объектом вы сможете исправить ошибки синхронизации повторяющихся атрибутов напрямую с портала. Нажмите кнопку Применить исправление, чтобы активировать процесс. Состояние текущей ошибки синхронизации обновится и изменится на Ожидается синхронизация.
-
После следующего цикла синхронизации ошибка будет удалена из списка.
Действия по устранению неполадок для предыдущих версий.
Начиная с версии с номером сборки 1.1.105.0 (выпущенной в феврале 2016 г.) помощник по входу более не используется. Этот раздел и конфигурация больше не требуются, но хранятся для ссылки.
Для работы помощника по единому входу необходимо настроить winhttp. Эту настройку можно сделать с помощью .
Неправильно настроен помощник по входу
Эта ошибка появляется, если помощник по входу не может связаться с прокси-сервером или прокси-сервер не пропускает запрос.
- Если возникает эта ошибка, проверьте конфигурацию прокси-сервера в и убедитесь в правильности ее настройки.
- Если конфигурация выглядит нормально, выполните действия, описанные в разделе , и убедитесь в том, что проблема возникает не только в мастере.
Фильтрация по доменам
В этом разделе описана процедура настройки фильтра по доменам. Если вы установили Azure AD Connect, а затем добавили или удалили в лесу домены, вам также необходимо обновить конфигурацию фильтрации.
Для изменения фильтрации по доменам лучше всего запустить мастер установки и изменить . Мастер установки автоматизирует все описанные здесь задачи.
Выполнять эти действия вручную следует только в том случае, если мастер установки не удается запустить по какой-либо причине.
Настройка фильтрации по доменам предусматривает следующие шаги:
- Выберите домены, которые следует задействовать при синхронизации.
- Настройте профили выполнения для каждого добавленного и удаленного домена.
- .
Выбор доменов для синхронизации
Существует два способа выбора доменов для синхронизации:
— Использование службы синхронизации
— Использование мастера Azure AD Connect.
Выберите домены, которые необходимо синхронизировать, используя службу синхронизации.
Настройка фильтрации по доменам
- Войдите на сервер, на котором запущена служба синхронизации Azure AD Connect, используя данные учетной записи участника группы безопасности ADSyncAdmins .
- Запустите службу синхронизации из меню Пуск.
- Щелкните Соединители и в списке соединителей выберите элемент типа Доменные службы Active Directory. В разделе Действия выберите Свойства.
- Нажмите кнопку Настройка разделов каталога.
- В списке Select directory partitions (Выберите разделы каталога) выберите необходимые домены или отмените выбор. Должны быть выбраны только те разделы, которые следует синхронизировать.
Если вы изменили локальную инфраструктуру Active Directory и добавили или удалили домены в лесу, нажмите кнопку Обновить, чтобы получить обновленный список. Во время обновления будет предложено ввести учетные данные. Укажите учетные данные, с помощью которых можно получить доступ для чтения к Windows Server Active Directory. Убедитесь, что в этом диалоговом окне вы не используете предварительно заполненные данные пользователя. - Выполнив все действия, закройте диалоговое окно Свойства, нажав кнопку ОК. Если вы удалили домены из леса, появится всплывающее сообщение о том, что домен удален и конфигурация будет очищена.
- Продолжайте работу, чтобы настроить профили выполнения.
Выбор доменов для синхронизации с помощью мастера Azure AD Connect
Настройка фильтрации по доменам
- Откройте мастер Azure AD Connect.
- Нажмите Настроить.
- Выберите команду Настроить параметры синхронизации и нажмите кнопку Далее.
- Введите учетные данные Azure AD.
- В окне Подключить каталоги нажмите Далее.
- На странице Фильтрация доменов и подразделений нажмите кнопку Далее. Появятся новые домены, а удаленные отображаться не будут.
- В списке Соединители выберите соединитель, настроенный на предыдущем шаге. В разделе Действия выберите Configure Run Profiles (Настроить профили выполнения).
- Найдите и определите следующие профили:
- полный импорт;
- полная синхронизация;
- импорт изменений;
- синхронизация изменений;
- Экспорт
- Для каждого профиля настройте добавленные и удаленные домены.
- Выполните следующие действия для каждого из пяти профилей всех добавленных доменов:
- Выберите профиль выполнения и щелкните Новый шаг.
- На странице Configure Step (Настройка шага) в раскрывающемся меню Тип выберите тип шага с тем же именем, что и у настраиваемого профиля. Затем нажмите кнопку Далее.
- На странице Connector Configuration (Настройка соединителя) в раскрывающемся списке Раздел выберите имя домена, добавленного в фильтр доменов.
- Чтобы закрыть диалоговое окно Настройка профиля запуска, нажмите кнопку Готово.
- Выполните следующие действия для каждого из пяти профилей всех удаленных доменов:
- Выберите профиль выполнения.
- Если для атрибута Раздел в поле Значение указан GUID, то выберите шаг выполнения и нажмите кнопку Удалить шаг.
- Проверьте внесенные изменения. Каждый домен, который нужно синхронизировать, должен быть указан в качестве шага в каждом профиле выполнения.
- Выполните следующие действия для каждого из пяти профилей всех добавленных доменов:
- Чтобы закрыть диалоговое окно Configure Run Profiles (Настройка профилей выполнения), нажмите кнопку ОК.
- Чтобы завершить настройку, необходимо выполнить полный импорт и разностную синхронизацию. Продолжите знакомство с разделом .
Как отложить полную синхронизацию после обновления
Во время обновления на месте могут быть внесены изменения, требующие выполнения определенных действий по синхронизации (включая шаг полного импорта и шаг полной синхронизации). Например, при изменении схемы соединителя на затронутых соединителях необходимо выполнить полный импорт, а при изменении стандартного правила синхронизации — полную синхронизацию. Во время обновления Azure AD Connect определяет действия синхронизации, которые необходимо выполнить, и записывает их в виде переопределений. В следующем цикле синхронизации планировщик синхронизации выбирает и выполняет эти переопределения. После успешного выполнения переопределения оно удаляется.
Возможны ситуации, при которых не нужно выполнять эти переопределения сразу же после обновления. Например, у вас есть много синхронизируемых объектов и вы хотите выполнить эти шаги синхронизации после рабочих часов. Чтобы удалить эти переопределения, сделайте следующее:
Во время обновления снимите флажок Запустить синхронизацию сразу после завершения настройки. Это отключит планировщик синхронизации и предотвратит автоматическое выполнение цикла синхронизации, прежде чем переопределения будут удалены.
После завершения обновления выполните следующий командлет, чтобы узнать, какие переопределения были добавлены:
Примечание
Переопределения зависят от соединителя
В указанном ниже примере в локальный соединитель AD и соединитель Azure AD был добавлен шаг для полного импорта и полной синхронизации.
Запишите добавленные переопределения.
Чтобы удалить переопределения для полного импорта и полной синхронизации на произвольном соединителе, выполните следующий командлет:
Чтобы удалить переопределения во всех соединителях, выполните следующий сценарий PowerShell:
Чтобы возобновить работу планировщика, выполните следующий командлет:
Важно!
Не забудьте выполнить необходимые шаги синхронизации при первой возможности. Вы можете выполнить эти действия вручную с помощью Synchronization Service Manager или вернуть переопределения с помощью командлета Set-ADSyncSchedulerConnectorOverride.
Чтобы добавить переопределения для полного импорта и полной синхронизации на произвольном соединителе, выполните следующий командлет:
Свойства объекта пространства соединителя
Если на вкладке (Операции) не отображаются ошибки, то необходимо отследить объект пространства соединителя, перейдя из Active Directory в метавселенную, а затем — в Azure AD. На этом пути проблема должна быть выявлена.
Поиск объекта в пространстве соединителя
В Synchronization Service Manager откройте раздел Connectors (Соединители), выберите соединитель Active Directory, а затем щелкните Search Connector Space (Поиск в пространстве соединителя).
В поле Scope (Область) выберите RDN, если требуется выполнить поиск по атрибуту CN, или DN or anchor (Различающееся имя или привязка), если требуется выполнить поиск по атрибуту distinguishedName. Введите значение и нажмите кнопку Search (Поиск).
Если не удается найти искомый объект, то он мог быть отфильтрован с помощью или . Чтобы проверить правильность настроек фильтрации, ознакомьтесь со статьей Синхронизация Azure AD Connect: настройка фильтрации.
Вы можете выполнить другой полезный вариант поиска — выбрать соединитель Azure AD. В поле Scope выберите Pending Import (Ожидание импорта), а затем установите флажок Add (Добавить). При таком поиске отображаются все синхронизируемые в Azure AD объекты, которые не могут быть связаны с локальным объектом.
Эти объекты созданы другим модулем синхронизации или модулем синхронизации с другими настройками фильтрации. Управление этими потерянными объектами больше не осуществляется. Просмотрите список и по возможности удалите эти объекты с помощью командлетов Azure AD PowerShell.
Импорт в пространстве соединителя
При открытии объекта CS в верхней части отображаются несколько вкладок. На вкладке импорта отображаются данные, добавленные после импорта.
В столбце Old Value (Старое значение) отображаются объекты, в настоящее время хранящиеся в Connect. В столбце New Value (Новое значение) отображаются объекты, полученные из исходной системы и еще не примененные. Если в объекте имеется ошибка,изменения не обрабатываются.
Вкладка Synchronization Error (Ошибка синхронизации) отображается в окне Connector Space Object Properties (Свойства объекта пространства соединителя) только в том случае, если с объектом есть проблемы. Для получение дополнительных сведений ознакомьтесь с .
Журнал преобразований CS
На вкладке Lineage (Журнал преобразований) в окне Connector Space Object Properties (Свойства объекта пространства соединителя) показано, как объект пространства соединителя связан с объектом метавселенной. Можно увидеть, когда соединитель в последний раз импортировал изменение из подключенной системы и какие правила были применены для внесения данных в метавселенную.
На предыдущем рисунке в столбце Action (Действие) отображается правило входящей синхронизации с действием подготовки. Это значит, что объект метавселенной хранится, пока существует этот объект пространства соединителя. Если в списке правил синхронизации отображается правило исходящей синхронизации с действием подготовки, это значит, что объект удаляется вместе с объектом метавселенной.
На предыдущем рисунке в столбце PasswordSync (Синхронизация паролей) также видно, что входящее пространство соединителя может вносить изменения в пароль, так как одно правило синхронизации имеет значение True. Этот пароль отправляется в Azure AD с помощью правила для исходящего трафика.
Со вкладки Lineage (Журнал преобразований) можно перейти к метавселенной. Для этого нужно выбрать (Свойства объекта метавселенной).
Preview (Предварительный просмотр)
В левом нижнем углу окна Connector Space Object Properties (Свойства объекта пространства соединителя) находится кнопка предварительного просмотра. Нажмите эту кнопку, чтобы открыть страницу предварительного просмотра, на которой вы можете синхронизировать один объект. Эта страница полезна, если необходимо устранить ошибки некоторых пользовательских правил синхронизации и увидеть результат изменения одного объекта. Можно выбрать полную или разностную синхронизацию. Можно также выбрать Создать предварительный просмотр, чтобы сохранить изменения в памяти. или Commit Preview (Просмотр перед фиксацией), чтобы обновить метавселенную и передать все изменения в целевые пространства соединителей.
В предварительном просмотре можно проверить объект и увидеть, какое правило применено к конкретному потоку атрибутов.
Журнал
Нажмите кнопку Log (журнал), которая находится рядом с кнопкой предварительного просмотра, чтобы открыть страницу журнала. Здесь можно проверить состояние синхронизации пароля и просмотреть историю. Дополнительные сведения см. в статье Устранение неполадок синхронизации хэшированных паролей в службе синхронизации Azure AD Connect.
Создание настраиваемого правила
Чаще всего изменяются потоки атрибутов. Данные в исходном каталоге могут отображаться не так, как в Azure AD. В примере, рассматриваемом в этом разделе, необходимо убедиться, что имя пользователя всегда задано в правильном регистре.
Отключение планировщика
По умолчанию планировщик запускается каждые 30 минут. Чтобы внести изменения и устранить неполадки, связанные с новыми правилами, может потребоваться отключить его. Чтобы временно отключить планировщик, запустите PowerShell и выполните команду .
Создание правила
- Щелкните Добавить новое правило.
- На странице Описание заполните следующие поля.
- Name (Имя). Введите описательное имя правила.
- Описание: Информация, позволяющая другим пользователям определить предназначение правила.
- Connected System (Подключенная система). Система, в которой находится объект. В этом случае выберите соединитель Active Directory.
- Connected System/Metaverse Object Type (Подключенная система или тип объекта метавселенной). Выберите User и Person соответственно.
- Тип связи. Измените значение этого параметра на Присоединить.
- Приоритет. Укажите уникальное в системе значение. Более низкие значения имеют более высокий приоритет.
- Тег. Оставьте это поле пустым. Его нужно заполнять только при использовании стандартных правил Майкрософт.
- На странице Scoping filter (Фильтр области действия) введите givenName ISNOTNULL.
Этот раздел позволит определить, к каким объектам должно применяться правило. Если оставить эти поля пустыми, правило будет применяться ко всем объектам пользователя, в том числе к конференц-залам, учетным записям службы и другим неодушевленным объектам. - На странице Join rules (Правила присоединения) оставьте поле пустым.
-
На странице Преобразования для параметра FlowType (Тип потока) задайте значение Выражение. Для параметра Целевой атрибут выберите givenName. Для параметра Источник введите PCase() .
Для модуля синхронизации имя функции и имя атрибута необходимо указывать с учетом регистра. Если не учесть регистр, при добавлении правила отобразится предупреждение. Вы можете сохранить и продолжить работу, но вам понадобится вернуться и исправить правило.
- Щелкните Добавить , чтобы сохранить правило.
Новое настраиваемое правило отобразится в системе вместе с другими правилами синхронизации.
<a name=»verify-the-change»>Проверка изменений
После внесения изменений в правило его можно проверить на наличие ошибок. В зависимости от количества объектов это можно сделать двумя разными способами:
- Выполнить полную синхронизацию всех объектов.
- Выполнить предварительный просмотр и полную синхронизацию одного объекта.
Из меню Пуск запустите службу синхронизации. Все действия, описанные в этом разделе, выполняются в этом средстве.
Полная синхронизация всех объектов
- Выберите Соединители вверху. Определите соединитель, измененный в предыдущем разделе (в этом примере «Доменные службы Active Directory»), и выберите его.
- В разделе Действия выберите Run (Запустить).
-
Выберите Full Synchronization (Полная синхронизация) и нажмите кнопку ОК.
Теперь объекты в метавселенной обновлены, и это можно проверить, просмотрев отдельный объект.
Предварительный просмотр и полная синхронизация одного объекта
- Выберите Соединители вверху. Определите соединитель, измененный в предыдущем разделе (в этом примере «Доменные службы Active Directory»), и выберите его.
- Выберите Search Connector Space(Поиск пространства соединителя).
- Используйте область поиска, чтобы найти необходимый объект для проверки изменений. Выберите объект и щелкните Предварительный просмотр.
- В открывшемся окне выберите Просмотр перед фиксацией.
Теперь изменение зафиксировано в метавселенной.
Просмотр объектов в метавселенной
- Выберите несколько образцов объектов, чтобы убедиться, что для них задано правильное значение и применено необходимое правило.
- В верхней части экрана выберите Metaverse Search (Поиск в метавселенной). Добавьте любой фильтр, чтобы найти соответствующие объекты.
- Откройте объект, выбрав его в результатах поиска. Просмотрите значения атрибута, а также проверьте применение правила в столбце Правила синхронизации.
Примените и проверьте изменения
После внесения изменений в конфигурацию их необходимо применить к объектам, которые уже есть в системе. Кроме того, могут быть объекты, которые отсутствуют в модуле синхронизации, но их нужно обработать. Для этого модулю синхронизации нужно еще раз выполнить чтение из исходной системы, чтобы проверить ее содержимое.
Если для изменения конфигурации вы использовали фильтрацию по доменам или подразделениям, необходимо выполнить полный импорт, а затем синхронизацию изменений.
Если для изменения конфигурации использовалась фильтрация по атрибутам, необходимо выполнить полную синхронизацию.
Выполните следующие шаги:
- Запустите службу синхронизации из меню Пуск.
- Выберите Соединители. В списке соединителей выберите элемент, конфигурация которого ранее была изменена. В разделе Действия выберите Запуск.
- В разделе Run profiles (Профили выполнения) выберите операцию, о которой шла речь в предыдущем разделе. Если необходимо выполнить два действия, запустите второе после завершения первого (в столбце Состояние выбранного соединителя должно быть указано Неактивно).
После запуска синхронизации будут экспортированы все изменения. Прежде чем применить изменения напрямую в Azure AD, следует проверить их правильность.
- Откройте командную строку и перейдите в каталог .
- Выполните .
Имя соединителя можно найти в службе синхронизации. Это будет имя наподобие «contoso.com – Azure AD» для Azure AD. - Выполните .
- Теперь у вас в папке %temp% есть файл export.csv, который можно просмотреть в Microsoft Excel. Этот файл содержит все изменения, которые будут экспортированы.
- Внесите необходимые изменения в данные и конфигурацию, а затем выполните описанные выше действия (импорт, синхронизация и проверка) повторно, чтобы привести изменения, которые предстоит экспортировать, в нужный вид.
После выполнения этих действий экспортируйте изменения в Azure AD.
- Выберите Соединители. В списке соединителей выберите соединитель Azure AD. В разделе Действия выберите Запуск.
- В разделе Run profiles (Профили выполнения) выберите Экспорт.
- Если в результате изменения конфигурации будет удалено слишком много объектов, вы увидите ошибку во время экспорта, если их количество превышает пороговое значение (по умолчанию — 500). В случае возникновения ошибки необходимо временно отключить функцию предотвращения случайного удаления.
Теперь можно снова включить планировщик.
- В меню Пуск запустите планировщик задач.
- Прямо в каталоге Библиотека планировщика заданий найдите задачу с именем Azure AD Sync Scheduler (Планировщик синхронизации Azure AD Sync), щелкните ее правой кнопкой мыши и выберите пункт Включить.
Этап синхронизации
Прежде чем исследовать проблемы синхронизации, давайте разберемся с процессом синхронизации Azure AD Connect.
Шаги синхронизации
Процесс синхронизации включает следующие шаги.
-
Импорт из AD: объекты Active Directory переносятся в CS Active Directory.
-
Импорт из Azure AD: объекты Azure AD добавляются в CS Azure AD.
-
Синхронизация: правила входящей и исходящей синхронизации выполняются в порядке номера приоритета от меньшего к большему. Чтобы просмотреть правила синхронизации, перейдите в редактор правил синхронизации из приложений рабочего стола. Правила входящей синхронизации перемещают данные из CS в MV. Правила исходящей синхронизации перемещают данные из MV в CS.
-
Экспорт в AD: после синхронизации объекты экспортируются из CS Active Directory в Active Directory.
-
Экспорт в Azure AD: после синхронизации объекты экспортируются из CS Azure AD в Azure AD.
Вопросы масштабируемости
Служба Azure AD поддерживает масштабируемость на основе реплик с одной первичной репликой, обрабатывающей операции записи, и несколькими вторичными репликами, предназначенными только для чтения. Azure AD прозрачно перенаправляет попытки операций записи во вторичных репликах в первичную реплику и обеспечивает итоговую согласованность. Все изменения в основной реплике распространяются на вторичные. Эта архитектура хорошо масштабируется, так как большинство операций Azure AD — это операции чтения, а не записи. дополнительные сведения см . в разделе что такое архитектура Azure Active Directory?
Для сервера синхронизации Azure AD Connect определите, сколько объектов скорее всего синхронизируются из локального каталога. Если имеется менее 100 000 объектов, можно использовать стандартное программное обеспечение SQL Server Express LocalDB, поставляемое с Azure AD Connect. Если имеется больше объектов, необходимо установить рабочую версию SQL Server и выполнить выборочную установку Azure AD Connect, указав, что следует использовать имеющийся экземпляр SQL Server.
Обновление «на месте»
Обновление на месте подходит для обновления Azure AD Sync или Azure AD Connect. Оно не подходит для перехода с DirSync или для решения на основе Forefront Identity Manager (FIM) и соединителя Azure AD.
Мы советуем использовать этот вариант, если у вас есть один сервер и меньше 100 000 объектов. Если в стандартных правилах синхронизации есть какие-либо изменения, после обновления выполняется полный импорт и полная синхронизация. Этот способ гарантирует, что новая конфигурация будет применена ко всем существующим в системе объектам. Этот процесс может занять несколько часов в зависимости от числа объектов в области действия модуля синхронизации. Обычная синхронизация изменений, по умолчанию выполняемая каждые 30 минут, приостанавливается, но синхронизация паролей продолжает выполняться. Обновление «на месте» лучше всего проводить в выходные дни. Если в новом выпуске Azure AD Connect не изменены стандартные правила синхронизации, то начнется обычная процедура импорта или синхронизации изменений.
Если вы внесли изменения в стандартные правила синхронизации, при обновлении они возвращаются к конфигурации по умолчанию. Чтобы после обновления конфигурация сохранялась, внесите изменения, как указано в статье Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию.
Во время обновления на месте могут быть внесены изменения, требующие выполнения определенных действий по синхронизации (включая шаг полного импорта и шаг полной синхронизации) после завершения обновления. Сведения о том, как отложить эти действия, см. в разделе .
При использовании Azure AD Connect с нестандартным соединителем (например, универсальным соединителем LDAP и универсальным соединителем SQL) необходимо обновить соответствующую конфигурацию соединителя в Synchronization Service Manager после обновления на месте. Дополнительные сведения о том, как обновить конфигурацию соединителя, см. в статье . Если не обновить конфигурацию, действия импорта и экспорта для соединителя не будут выполняться правильно. В журнале событий приложений появится ошибка Assembly version in AAD Connector configuration («X.X.XXX.X») is earlier than the actual version («X.X.XXX.X») of «C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll (Версия сборки в конфигурации соединителя AAD («X.X.XXX.X») ниже текущей версии («X.X.XXX.X») файла «C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll»).