Sdílet prostřednictvím

Microsoft Entra Connect Sync: Plánovač

  • Článek

Toto téma popisuje integrovaný plánovač v Microsoft Entra Connect Sync (synchronizační modul).

Tato funkce byla zavedena s buildem 1.1.105.0 (vydáno v únoru 2016).

Přehled

Microsoft Entra Connect Sync synchronizuje změny, ke kterým dochází v místním adresáři pomocí plánovače. Existují dva procesy plánovače, jeden pro synchronizaci hesel a druhý pro úlohy synchronizace objektů/atributů a údržby. Toto téma se věnuje druhému.

V dřívějších verzích byl plánovač pro objekty a atributy externí pro synchronizační modul. K aktivaci procesu synchronizace se použil plánovač úloh Systému Windows nebo samostatná služba Systému Windows. Plánovač je v 1.1 verzích vestavěný do synchronizačního modulu a umožňuje určité přizpůsobení. Nová výchozí frekvence synchronizace je 30 minut.

Plánovač zodpovídá za dva úkoly:

  • cyklus synchronizace. Proces importu, synchronizace a exportu změn.
  • úlohy údržby. Obnovte klíče a certifikáty pro resetování hesla a službu DRS (Device Registration Service). Vyprázdněte staré položky v protokolu operací.

Samotný plánovač je vždy spuštěný, ale dá se nakonfigurovat tak, aby spouštěl pouze jednu nebo žádnou z těchto úloh. Pokud například potřebujete mít vlastní proces cyklu synchronizace, můžete tuto úlohu zakázat v plánovači, ale přesto spustit úlohu údržby.

Důležitý

Ve výchozím nastavení se synchronizační cyklus spustí každých 30 minut. Pokud jste změnili synchronizační cyklus, musíte se ujistit, že je synchronizační cyklus spuštěn alespoň jednou za 7 dní.

  • Rozdílová synchronizace musí proběhnout do 7 dnů od té poslední.
  • Rozdílová synchronizace (po úplné synchronizaci) musí proběhnout do 7 dnů od dokončení poslední úplné synchronizace.

Pokud to neuděláte, může to způsobit problémy se synchronizací, které budou vyžadovat, abyste spustili úplnou synchronizaci, abyste ji vyřešili. To platí také pro servery ve staging režimu.

Konfigurace plánovače

Pokud chcete zobrazit aktuální nastavení konfigurace, přejděte do PowerShellu a spusťte Get-ADSyncScheduler. Zobrazuje něco jako tento obrázek:

GetSyncScheduler

Pokud se při spuštění této rutiny zobrazí Příkaz synchronizace nebo rutina nejsou k dispozici, modul PowerShellu se nenačte. K tomuto problému může dojít, pokud spustíte Microsoft Entra Connect na řadiči domény nebo na serveru s vyšší úrovní omezení PowerShellu než výchozí nastavení. Pokud se zobrazí tato chyba, spusťte Import-Module ADSync, aby byl cmdlet dostupný.

  • AllowedSyncCycleInterval. Nejkratší časový interval mezi synchronizačními cykly, který povoluje Microsoft Entra ID. Nemůžete synchronizovat častěji, než je toto nastavení, a přesto se podporuje.
  • Aktuálně účinný interval synchronizačního cyklu. Plán je aktuálně v platnosti. Má stejnou hodnotu jako CustomizedSyncInterval (pokud je nastavená), pokud není častější než AllowedSyncInterval. Pokud používáte build před verzí 1.1.281 a změníte CustomizedSyncCycleInterval, projeví se tato změna po dalším synchronizačním cyklu. Z buildu 1.1.281 se změna projeví okamžitě.
  • CustomizedSyncCycleInterval. Pokud chcete, aby plánovač běžel v jakékoli jiné frekvenci než výchozí 30 minut, nakonfigurujete toto nastavení. Na předchozím obrázku je plánovač nastavený tak, aby běžel každou hodinu. Pokud toto nastavení nastavíte na hodnotu nižší než AllowedSyncInterval, použije se druhá hodnota.
  • NextSyncCyclePolicyType. Delta nebo Initial. Definuje, jestli by další spuštění mělo zpracovávat pouze rozdílové změny, nebo pokud by další spuštění mělo provést úplný import a synchronizaci. Druhá by také znovu zpracovala všechna nová nebo změněná pravidla.
  • NextSyncCycleStartTimeInUTC. Až plánovač příště spustí další cyklus synchronizace.
  • PurgeRunHistoryInterval. Protokoly časových operací by se měly uchovávat. Tyto protokoly je možné zkontrolovat ve správci synchronizačních služeb. Výchozí možností je uchovávat tyto protokoly po dobu 7 dnů.
  • SyncCycleEnabled. Určuje, jestli plánovač spouští procesy importu, synchronizace a exportu v rámci operace.
  • ÚdržbaPovolena. Zobrazuje, jestli je povolený proces údržby. Aktualizuje certifikáty/klíče a vyprázdní protokol operací.
  • stagingModeEnabled. Zobrazuje, jestli je povolený režim přípravy . Pokud je toto nastavení povolené, zabrání spuštění exportů, zatímco import a synchronizace se spustí.
  • SchedulerSuspended. Služba Connect nastaví během upgradu dočasné zablokování spuštění plánovače.

Některá z těchto nastavení můžete změnit pomocí Set-ADSyncScheduler. Můžete upravit následující parametry:

  • PřizpůsobenýIntervalSynchronizačníhoCyklu
  • TypPolitikyDalšíhoSynchronizačníhoCyklu
  • PurgeRunHistoryInterval (Interval pro vymazání historie spuštění)
  • Synchronizace Cyklu Povolena
  • ÚdržbaPovolena

V dřívějších buildech Microsoft Entra Connect byl isStagingModeEnabled zpřístupněn v Set-ADSyncScheduler. Tuto vlastnost nastavíte nepodporovanými. Vlastnost SchedulerSuspended by měla být upravena pouze službou Connect. Je nepodporované nastavit přímo pomocí PowerShellu.

Konfigurace plánovače je uložena v Microsoft Entra ID. Pokud máte přípravný server, má jakákoli změna na primárním serveru vliv také na pracovní server (s výjimkou IsStagingModeEnabled).

VlastníIntervalSynchronizačníhoCyklu

Syntaxe: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dny, HH - hodiny, mm - minuty, ss - sekundy

Příklad: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Změní plánovač tak, aby běžel každých 3 hodiny.

Příklad: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Změny upraví plánovač, aby běžel každý den.

Zakázání plánovače

Pokud potřebujete provést změny konfigurace, pak chcete plánovač zakázat. Například když nakonfigurujete filtrování nebo provádíte změny pravidel synchronizace.

Pokud chcete plánovač zakázat, spusťte Set-ADSyncScheduler -SyncCycleEnabled $false.

Zakázat plánovač

Při provádění změn nezapomeňte plánovač znovu povolit pomocí Set-ADSyncScheduler -SyncCycleEnabled $true.

Spuštění plánovače

Plánovač se standardně spouští každých 30 minut. V některých případech můžete chtít spustit synchronizační cyklus mezi plánovanými cykly nebo potřebujete spustit jiný typ.

Rozdílový cyklus synchronizace

Rozdílový cyklus synchronizace zahrnuje následující kroky:

  • Rozdílový import u všech konektorů
  • Rozdílová synchronizace u všech konektorů
  • Export u všech konektorů

Úplný cyklus synchronizace

Úplný cyklus synchronizace zahrnuje následující kroky:

  • Úplný import pro všechny konektory
  • Úplná synchronizace u všech konektorů
  • Export u všech konektorů

Může se stát, že máte okamžitou změnu, která se musí okamžitě synchronizovat, a proto potřebujete cyklus spustit ručně.

Pokud potřebujete ručně spustit cyklus synchronizace, spusťte z PowerShellu Start-ADSyncSyncCycle -PolicyType Delta.

Pokud chcete zahájit úplný cyklus synchronizace, spusťte Start-ADSyncSyncCycle -PolicyType Initial z příkazového řádku PowerShellu.

Spuštění úplného cyklu synchronizace může být velmi časově náročné, přečtěte si další část, kde se dozvíte, jak tento proces optimalizovat.

Kroky synchronizace vyžadované pro různé změny konfigurace

Různé změny konfigurace vyžadují různé kroky synchronizace, aby se zajistilo, že se změny správně použijí na všechny objekty.

  • Přidání dalších objektů nebo atributů, které se mají importovat ze zdrojového adresáře (přidáním nebo úpravou pravidel synchronizace)
    • V konektoru pro tento zdrojový adresář se vyžaduje úplný import.
  • Provedli jsme změny pravidel synchronizace.
    • U konektoru se vyžaduje úplná synchronizace pro změněná synchronizační pravidla.
  • Změněno filtrování tak, aby měl být zahrnut jiný počet objektů.
    • Pro každý konektor AD se vyžaduje úplný import. Výjimkou je, pokud používáte filtrování založené na atributech na základě atributů, které se už importují do synchronizačního modulu.

Přizpůsobení cyklu synchronizace spustí správnou kombinaci kroků rozdílové a úplné synchronizace.

Abyste se vyhnuli spuštění úplného cyklu synchronizace, můžete pomocí následujících rutin označit konkrétní konektory ke spuštění úplného kroku.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Příklad: Pokud jste provedli změny synchronizačních pravidel pro konektor "Doménová struktura AD A", které nevyžadují žádné nové importované atributy, spustíte následující rutiny, abyste spustili rozdílový synchronizační cyklus, který také zahrnuje krok Úplné synchronizace pro tento konektor.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Příklad: Pokud jste provedli změny pravidel synchronizace pro konektor "Doménová struktura AD A", který nyní vyžaduje import nového atributu, spustili byste následující rutiny pro spuštění rozdílového synchronizačního cyklu, který zahrnuje také krok úplného importu a úplné synchronizace pro tento konektor.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Zastavení plánovače

Pokud plánovač aktuálně spouští synchronizační cyklus, možná ho budete muset zastavit. Pokud například spustíte průvodce instalací a zobrazí se tato chyba:

snímek obrazovky s chybovou zprávou Nejde změnit konfiguraci

Když je spuštěný cyklus synchronizace, nemůžete provádět změny konfigurace. Můžete počkat, až plánovač dokončí proces, ale můžete ho také zastavit, abyste mohli změny provést okamžitě. Zastavení aktuálního cyklu není škodlivé a čekající změny se zpracovávají při dalším spuštění.

  1. Začněte tím, že plánovači řeknete, aby zastavil aktuální cyklus pomocí rutiny PowerShellu Stop-ADSyncSyncCycle.

  2. Pokud používáte verzi starší než 1.1.281, zastavení plánovače nezastaví aktuální konektor v jeho současném úkolu. Pokud chcete vynutit zastavení konektoru, proveďte následující akce:

    Snímek obrazovky ukazuje Synchronization Service Manager s vybranými konektory a zvýrazněným spuštěným konektorem s vybranou akcí Zastavit.

    • Spusťte synchronizační službu z nabídky Start. Přejděte na Konektory, zvýrazněte konektor se stavem Spuštěnoa v části Akce zvolte možnost Zastavit.

Plánovač je stále aktivní a znovu se spustí při nejbližší možné příležitosti.

Vlastní plánovač

Rutiny popsané v této části jsou k dispozici pouze ve verzi 1.1.130.0 a novější.

Pokud integrovaný plánovač nevyhovuje vašim požadavkům, můžete konektory naplánovat pomocí PowerShellu.

Invoke-ADSyncRunProfile

Profil konektoru můžete vytvořit tímto způsobem:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Názvy pro konektory a názvy profilů spuštění lze nalézt v rozhraní správce služby synchronizace.

vyvoláníprofilu spuštění

Cmdlet Invoke-ADSyncRunProfile je synchronní, což znamená, že nevrací řízení, dokud konektor operaci nedokončí – buď úspěšně, nebo s chybou.

Při plánování konektorů doporučujeme je naplánovat v následujícím pořadí:

  1. (Full/Delta) Import z místních adresářů, například ze služby Active Directory
  2. (Full/Delta) Import z Microsoft Entra ID
  3. (Full/Delta) Synchronizace z místních adresářů, například ze služby Active Directory
  4. (Full/Delta) Synchronizace z Microsoft Entra ID
  5. Export do Microsoft Entra ID
  6. Export do místních adresářů, jako je například Active Directory

Toto pořadí určuje, jak integrovaný plánovač spouští konektory.

Get-ADSyncConnectorRunStatus

Synchronizační modul můžete také monitorovat a zjistit, jestli je zaneprázdněný nebo nečinný. Tento cmdlet vrátí prázdný výsledek, pokud je synchronizační modul nečinný a nespouští se žádný konektor. Pokud je konektor spuštěný, vrátí název konektoru.

Get-ADSyncConnectorRunStatus

stavu spuštění konektoru
Na obrázku výše je první řádek ze stavu, ve kterém je synchronizační modul nečinný. Druhý řádek, když je konektor Microsoft Entra spuštěn.

Průvodce plánovačem a instalací

Pokud spustíte průvodce instalací, plánovač je dočasně pozastavený. Toto chování je proto, že předpokládáte, že provádíte změny konfigurace a tato nastavení se nedají použít, pokud synchronizační modul aktivně běží. Z tohoto důvodu nenechávejte průvodce instalací otevřený, protože zastaví synchronizační modul v provádění jakýchkoli akcí synchronizace.

Další kroky

Přečtěte si další informace o konfiguraci Microsoft Entra Connect Sync.

Zjistěte více o integraci vašich místních identit s Microsoft Entra ID.