Installieren Sie Microsoft Entra Connect mithilfe einer bereits vorhandenen ADSync-Datenbank
Microsoft Entra Connect erfordert eine SQL Server-Datenbank zum Speichern von Daten. Sie können entweder die standardmäßige SQL Server 2019 Express LocalDB verwenden, die mit Microsoft Entra Connect installiert ist, oder Ihre eigene Vollversion von SQL verwenden. Wenn Sie Microsoft Entra Connect installiert haben, wurde zuvor immer eine neue Datenbank mit dem Namen ADSync erstellt. Mit Microsoft Entra Connect, Version 1.1.613.0 (oder höher), können Sie Microsoft Entra Connect installieren, indem Sie sie mit einer vorhandenen ADSync-Datenbank verknüpfen.
Vorteile der Verwendung einer vorhandenen ADSync-Datenbank
Durch Verweisen auf eine vorhandene ADSync-Datenbank:
- Mit Ausnahme von Anmeldeinformationen wird die in der ADSync-Datenbank gespeicherte Synchronisierungskonfiguration während der Installation automatisch wiederhergestellt und verwendet. Dazu gehören benutzerdefinierte Synchronisierungsregeln, Verbindungen, Filterung und die Konfiguration optionaler Funktionen.
- Alle in der ADSync-Datenbank gespeicherten (mit Connectorbereichen und Metaverse verknüpften) Identitätsdaten und Synchronisierungscookies werden auch wiederhergestellt. Der neu installierte Microsoft Entra Connect-Server kann dort weitersynchronisieren, wo der vorherige Microsoft Entra Connect-Server aufgehört hat, anstatt eine vollständige Synchronisierung durchzuführen.
Szenarien, in denen die Verwendung einer vorhandenen ADSync-Datenbank von Vorteil ist
Diese Vorteile sind in den folgenden Szenarien nützlich:
- Sie verfügen über eine vorhandene Microsoft Entra Connect-Bereitstellung. Ihr vorhandener Microsoft Entra Connect-Server funktioniert nicht mehr, aber der SQL-Server, der die ADSync-Datenbank enthält, funktioniert weiterhin. Sie können einen neuen Microsoft Entra Connect-Server installieren und auf die vorhandene ADSync-Datenbank verweisen.
- Sie verfügen über eine vorhandene Microsoft Entra Connect-Bereitstellung. Ihr SQL-Server, der die ADSync-Datenbank enthält, funktioniert nicht mehr. Sie besitzen jedoch eine aktuelle Sicherung der Datenbank. Sie können die ADSync-Datenbank zuerst auf einem neuen SQL-Server wiederherstellen. Danach können Sie einen neuen Microsoft Entra Connect-Server installieren und auf die wiederhergestellte ADSync-Datenbank verweisen.
- Sie verfügen über eine vorhandene Microsoft Entra Connect-Bereitstellung, die LocalDB verwendet. Aufgrund des von LocalDB auferlegten Grenzwerts von 10 GB möchten Sie zu vollständigem SQL migrieren. Sie können die ADSync-Datenbank über LocalDB sichern und auf einem SQL-Server wiederherstellen. Danach können Sie einen neuen Microsoft Entra Connect-Server erneut installieren und auf die wiederhergestellte ADSync-Datenbank verweisen.
- Sie versuchen, einen Stagingserver einzurichten und möchten sicherstellen, dass die Konfiguration mit der des aktuellen aktiven Servers übereinstimmt. Sie können die ADSync-Datenbank sichern und auf einem anderen SQL-Server wiederherstellen. Danach können Sie einen neuen Microsoft Entra Connect-Server erneut installieren und auf die wiederhergestellte ADSync-Datenbank verweisen.
Erforderliche Informationen
Wichtige Hinweise, die Sie notieren müssen, bevor Sie fortfahren:
- Überprüfen Sie unbedingt die Voraussetzungen für die Installation von Microsoft Entra Connect unter Hardware und Voraussetzungen sowie die erforderlichen Konto- und Berechtigungen für die Installation von Microsoft Entra Connect. Die zum Installieren von Microsoft Entra Connect mit dem Modus "Vorhandene Datenbank verwenden" erforderlichen Berechtigungen sind identisch mit der "benutzerdefinierten" Installation.
- Bereitstellen von Microsoft Entra Connect für eine vorhandene ADSync-Datenbank wird nur mit vollständigem SQL unterstützt. Es wird nicht mit SQL Express LocalDB unterstützt. Wenn Sie über eine vorhandene ADSync-Datenbank in LocalDB verfügen, die Sie verwenden möchten, müssen Sie zuerst die ADSync-Datenbank (LocalDB) sichern. Stellen Sie sie dann in vollständiger SQL-Datei wieder her. Als Nächstes können Sie Microsoft Entra Connect mithilfe dieser Methode für die wiederhergestellte Datenbank bereitstellen.
- Die für die Installation verwendete Version von Microsoft Entra Connect muss die folgenden Kriterien erfüllen:
- 1.1.613.0 oder höher, UND
- Identisch oder höher als die Version von Microsoft Entra Connect, die zuletzt mit der ADSync-Datenbank verwendet wurde. Wenn die für die Installation verwendete Microsoft Entra Connect-Version höher als die zuletzt mit der ADSync-Datenbank verwendete Version ist, ist möglicherweise eine vollständige Synchronisierung erforderlich. Die vollständige Synchronisierung ist erforderlich, wenn Schema- oder Synchronisierungsregeländerungen zwischen den beiden Versionen vorhanden sind.
- Die verwendete ADSync-Datenbank sollte einen Synchronisierungsstatus enthalten, der relativ aktuell ist. Die letzte Synchronisierungsaktivität mit der vorhandenen ADSync-Datenbank sollte innerhalb der letzten drei Wochen erfolgt sein, andernfalls ist ein vollständiger Import aus Microsoft Entra ID erforderlich, um das Wasserzeichen des Verzeichnisses zu aktualisieren.
- Bei der Installation von Microsoft Entra Connect mit der Methode "Vorhandene Datenbank verwenden" wird die auf dem vorherigen Microsoft Entra Connect-Server konfigurierte Anmeldemethode nicht beibehalten. Darüber hinaus können Sie die Anmeldemethode während der Installation nicht konfigurieren. Sie können die Anmeldemethode erst nach Abschluss der Installation konfigurieren.
- Sie können nicht über mehrere Microsoft Entra Connect-Server verfügen, die dieselbe ADSync-Datenbank verwenden. Mit der Methode "Vorhandene Datenbank verwenden" können Sie eine vorhandene ADSync-Datenbank mit einem neuen Microsoft Entra Connect-Server wiederverwenden. Freigeben wird nicht unterstützt.
Schritte zum Installieren von Microsoft Entra Connect mit dem Modus "Vorhandene Datenbank verwenden"
- Laden Sie das Microsoft Entra Connect-Installationsprogramm (AzureADConnect.MSI) auf den Windows-Server herunter. Doppelauswählen von Microsoft Entra Connect-Installationsprogramm, um mit der Installation von Microsoft Entra Connect zu beginnen.
- Sobald die MSI-Installation abgeschlossen ist, wird der Microsoft Entra Connect-Assistent mit dem Setup im Express-Modus gestartet. Schließen Sie den Bildschirm, indem Sie das Symbol "Beenden" auswählen.
- Rufen Sie eine neue Eingabeaufforderung oder PowerShell-Sitzung auf. Navigieren Sie zu Ordner "C:\Programme\Microsoft Entra Connect". Führen Sie den Befehl „.\AzureADConnect.exe /useexistingdatabase“ aus, um den Microsoft Entra Connect-Assistenten im Setupmodus „Vorhandene Datenbank verwenden“ auszuführen.
Anmerkung
Verwenden Sie den Switch /UseExistingDatabase nur, wenn die Datenbank bereits Daten aus einer früheren Microsoft Entra Connect-Installation enthält. Wenn Sie beispielsweise von einer lokalen Datenbank zu einer vollständigen SQL Server-Datenbank wechseln oder der Microsoft Entra Connect-Server neu erstellt wurde und Sie eine SQL-Sicherung der ADSync-Datenbank aus einer früheren Installation von Microsoft Entra Connect wiederhergestellt haben. Wenn die Datenbank leer ist, d. h., sie enthält keine Daten aus einer vorherigen Microsoft Entra Connect-Installation, überspringen Sie diesen Schritt.
Sie werden mit dem Bildschirm "Willkommen bei Microsoft Entra Connect" begrüßt. Wenn Sie den Lizenzbedingungen und dem Datenschutzhinweis zugestimmt haben, wählen Sie Fortfahren aus.
Auf dem Bildschirm Installieren erforderlicher Komponenten ist die Option Verwenden eines vorhandenen SQL Servers aktiviert. Geben Sie den Namen des SQL-Servers an, der die ADSync-Datenbank hosten soll. Wenn die ZUM Hosten der ADSync-Datenbank verwendete SQL-Modulinstanz nicht die Standardinstanz auf dem SQL-Server ist, müssen Sie den Namen der SQL-Modulinstanz angeben. Wenn das SQL-Browsing nicht aktiviert ist, müssen Sie auch die Portnummer der SQL-Serverinstanz angeben. Zum Beispiel:
Auf der Seite Mit Microsoft Entra ID verbinden müssen Sie die Anmeldeinformationen eines Kontos mit der Rolle „Hybrididentitätsadministrator“ für Ihr Verzeichnis in Microsoft Entra ID angeben. Es wird empfohlen, ein Konto in der Standarddomäne onmicrosoft.com zu verwenden. Dieses Konto wird nur verwendet, um ein Dienstkonto in der Microsoft Entra-ID zu erstellen und wird nach Abschluss des Assistenten nicht verwendet.
Auf dem Bildschirm Verzeichnisse verbinden wird die für die Verzeichnissynchronisierung konfigurierte vorhandene AD-Gesamtstruktur mit einem roten Kreuzsymbol aufgelistet. Zum Synchronisieren der Änderungen von einer lokalen AD-Gesamtstruktur ist ein AD DS-Konto erforderlich. Der Microsoft Entra Connect-Assistent kann die Anmeldeinformationen des AD DS-Kontos, das in der ADSync-Datenbank gespeichert ist, nicht abrufen. Dies liegt daran, dass die Anmeldeinformationen verschlüsselt sind und nur vom vorherigen Microsoft Entra Connect-Server entschlüsselt werden können. Wählen Sie die Option Anmeldeinformationen ändern, um das AD DS-Konto für die AD-Gesamtstruktur anzugeben.
Im Popupdialogfeld können Sie entweder (i) eine Enterprise-Administratoranmeldeinfo eingeben und Microsoft Entra Connect das AD DS-Konto für Sie erstellen lassen, oder (ii) das AD DS-Konto selbst erstellen und Microsoft Entra Connect die Anmeldeinformationen angeben. Nachdem Sie eine Option ausgewählt und die erforderlichen Anmeldeinformationen bereitgestellt haben, wählen Sie OK aus, um das Popupdialogfeld zu schließen.
Sobald die Anmeldeinformationen angegeben wurden, wird das rote Kreuzsymbol durch ein grünes Häkchensymbol ersetzt. Wählen Sie Weiter aus.
Wählen Sie auf dem Bildschirm "Bereit zum Konfigurieren"Installierenaus.
Nach Abschluss der Installation wird der Microsoft Entra Connect-Server automatisch für den Stagingmodus aktiviert. Es wird empfohlen, die Serverkonfiguration und ausstehende Exporte auf unerwartete Änderungen zu überprüfen, bevor Sie den Stagingmodus deaktivieren.
Aufgaben nach der Installation
Bei der Wiederherstellung einer Datenbanksicherung, die mit einer Version von Microsoft Entra Connect vor 1.2.65.0 erstellt wurde, wählt der Stagingserver automatisch die Anmeldemethode Nicht konfigurieren aus. Während die Einstellungen für die Kennworthashsynchronisierung und die Kennwortrückschreibung wiederhergestellt werden, müssen Sie die Anmeldemethode anschließend so ändern, dass sie mit den anderen für Ihren aktiven Synchronisationsserver geltenden Richtlinien übereinstimmt. Wenn Sie diese Schritte nicht ausführen, können Benutzer daran gehindert werden, sich anzumelden, wenn dieser Server aktiv wird.
Verwenden Sie die folgende Tabelle, um alle erforderlichen zusätzlichen Schritte zu überprüfen.
| Funktion | Schritte |
|---|---|
| Kennwort-Hash-Synchronisierung | Die Kennworthashsynchronisierung und die Kennwortrückschreibung werden für Versionen von Microsoft Entra Connect ab 1.2.65.0 vollständig wiederhergestellt. Wenn Sie eine ältere Version von Microsoft Entra Connect wiederherstellen, überprüfen Sie die Synchronisierungsoptionseinstellungen für diese Features, um sicherzustellen, dass sie ihrem aktiven Synchronisierungsserver entsprechen. Es sollten keine anderen Konfigurationsschritte erforderlich sein. |
| Verbund mit AD FS | Azure-Authentifizierungen verwenden weiterhin die AD FS-Richtlinie, die für Ihren aktiven Synchronisierungsserver konfiguriert ist. Wenn Sie Microsoft Entra Connect verwenden, um Ihre AD FS-Farm zu verwalten, können Sie optional die Anmeldemethode in den AD FS-Partnerverbund ändern. Dadurch wird der Standbyserver darauf vorbereitet, die aktive Synchronisierungsinstanz zu werden. Wenn Geräteoptionen auf dem aktiven Synchronisierungsserver aktiviert sind, konfigurieren Sie diese Optionen auf diesem Server, indem Sie die Aufgabe "Geräteoptionen konfigurieren" ausführen. |
| Pass-Through-Authentifizierung und einmaliges Anmelden beim Desktop | Aktualisieren Sie die Anmeldemethode so, dass sie mit der Konfiguration auf Dem aktiven Synchronisierungsserver übereinstimmt. Wenn Sie dieses Verfahren nicht ausführen, bevor Sie den Server zum primären Server befördern, werden die Pass-Through-Authentifizierung und Seamless Single Sign-On deaktiviert. Darüber hinaus ist Ihr Mandant möglicherweise gesperrt, wenn Sie keine Kennworthashsynchronisierung als Sicherungsanmeldungsoption haben. Wenn Sie die Passthrough-Authentifizierung im Stagingmodus aktivieren, ein neuer Authentifizierungs-Agent installiert, registriert und als hochverfügbarer Agent ausgeführt wird, der Anmeldeanforderungen akzeptiert. |
| Verbund mit PingFederate | Azure-Authentifizierungen verwenden weiterhin die für Ihren aktiven Synchronisierungsserver konfigurierte PingFederate-Richtlinie. Sie können optionalerweise die Anmeldemethode zu PingFederate ändern, um Ihren Standbyserver auf dessen Übergang zur aktiven Synchronisierungsinstanz vorzubereiten. Dieser Schritt kann zurückgestellt werden, bis Sie zusätzliche Domänen mit PingFederate verbinden müssen. |
Nächste Schritte
- Nachdem Sie Microsoft Entra Connect installiert haben, können Sie die Installation überprüfen und Lizenzen zuweisen.
- Erfahren Sie mehr über diese Features, die mit der Installation aktiviert wurden: Verhindern versehentlicher Löschungen und Microsoft Entra Connect Health.
- Weitere Informationen zu folgenden allgemeinen Themen: Scheduler und Auslösen der Synchronisierung.
- Erfahren Sie mehr über Integrieren Ihrer lokalen Identitäten mit Microsoft Entra ID.