Teilen über

Microsoft Entra Connect Sync: Planer

  • Artikel

In diesem Thema wird der integrierte Planer in Microsoft Entra Connect Sync (Synchronisierungsmodul) beschrieben.

Dieses Feature wurde mit Build 1.1.105.0 eingeführt (Veröffentlichung Februar 2016).

Überblick

Microsoft Entra Connect Sync synchronisiert mithilfe eines Planers Änderungen, die in Ihrem lokalen Verzeichnis auftreten. Es gibt zwei Zeitplanprozesse, eine für die Kennwortsynchronisierung und eine für Objekt-/Attributsynchronisierungs- und Wartungsaufgaben. In diesem Thema wird letzteres behandelt.

In früheren Versionen war der Planer für Objekte und Attribute nicht in das Synchronisierungsmodul integriert. Er hat den Windows-Aufgabenplaner oder einen separaten Windows-Dienst verwendet, um den Synchronisierungsprozess auszulösen. Ab den 1.1-Versionen ist der Planer in das Synchronisierungsmodul integriert und kann angepasst werden. Die neue Standardsynchronisierungshäufigkeit beträgt 30 Minuten.

Der Planer ist für zwei Aufgaben verantwortlich:

  • Synchronisierungszyklus. Der Prozess zum Importieren, Synchronisieren und Exportieren von Änderungen.
  • Wartungstasks. Erneuern von Schlüsseln und Zertifikaten für das Zurücksetzen von Kennwörtern und für den Geräteregistrierungsdienst (Device Registration Service, DRS). Löschen alter Einträge im Operationsprotokoll.

Der Scheduler selbst läuft ständig, kann jedoch so konfiguriert werden, dass nur eine oder keine dieser Aufgaben ausgeführt wird. Wenn Sie z. B. über einen eigenen Synchronisierungszyklus verfügen müssen, können Sie diesen Vorgang im Scheduler deaktivieren, die Wartungsaufgabe aber trotzdem ausführen.

Wichtig

Standardmäßig wird alle 30 Minuten ein Synchronisierungszyklus ausgeführt. Wenn Sie den Synchronisierungszyklus geändert haben, müssen Sie sicherstellen, dass ein Synchronisierungszyklus mindestens einmal alle 7 Tage ausgeführt wird.

  • Eine Deltasynchronisierung muss innerhalb von 7 Tagen nach der letzten Delta-Synchronisierung erfolgen.
  • Eine Deltasynchronisierung nach einer vollständigen Synchronisierung muss spätestens 7 Tage nach Abschluss der letzten vollständigen Synchronisierung durchgeführt werden.

Wenn dies nicht geschieht, können Synchronisierungsprobleme auftreten, bei denen Sie eine vollständige Synchronisierung ausführen müssen, um das Problem zu beheben. Dies gilt auch für Server im Stagingmodus.

Planerkonfiguration

Um Ihre aktuellen Konfigurationseinstellungen anzuzeigen, wechseln Sie zu PowerShell, und führen Sie Get-ADSyncScheduleraus. Es zeigt Ihnen etwas, das diesem Bild ähnelt.

GetSyncPlaner

Wenn Sie die Meldung "Der Synchronisierungsbefehl oder das Cmdlet ist nicht verfügbar" sehen, wenn Sie dieses Cmdlet ausführen, dann ist das PowerShell-Modul nicht geladen. Dieses Problem kann auftreten, wenn Sie Microsoft Entra Connect auf einem Domänencontroller oder auf einem Server mit höheren PowerShell-Einschränkungsstufen als die Standardeinstellungen ausführen. Wenn dieser Fehler angezeigt wird, führen Sie Import-Module ADSync aus, um das Cmdlet verfügbar zu machen.

  • AllowedSyncCycleInterval. Das kürzeste Zeitintervall zwischen Synchronisierungszyklen, das von Microsoft Entra ID zulässig ist. Sie können nicht häufiger als diese Einstellung synchronisieren und weiterhin unterstützt werden.
  • CurrentlyEffectiveSyncCycleInterval. Der derzeit in Kraft befindliche Zeitplan. Er hat denselben Wert wie CustomSyncInterval (falls festgelegt), wenn er nicht häufiger als AllowedSyncInterval ist. Wenn Sie einen Build vor 1.1.281 verwenden und CustomSyncCycleInterval ändern, wird diese Änderung nach dem nächsten Synchronisierungszyklus wirksam. Ab Build 1.1.281 wird die Änderung sofort wirksam.
  • CustomizedSyncCycleInterval. Wenn der Scheduler in einem anderen Intervall als dem Standard von 30 Minuten ausgeführt werden soll, konfigurieren Sie diese Einstellung. Im vorherigen Bild wird der Scheduler stattdessen so eingestellt, dass er jede Stunde ausgeführt wird. Wenn Sie diese Einstellung auf einen Wert festlegen, der niedriger als AllowedSyncInterval ist, wird letzteres verwendet.
  • NextSyncCyclePolicyType. Entweder „Delta“ oder „Initial“. Definiert, ob die nächste Ausführung nur Deltaänderungen verarbeiten soll oder wenn die nächste Ausführung einen vollständigen Import und eine vollständige Synchronisierung ausführen soll. Letzteres würde auch neue oder geänderte Regeln erneut verarbeiten.
  • NextSyncCycleStartTimeInUTC. Der nächste Zeitpunkt, zu dem der Planer den nächsten Synchronisierungszyklus startet.
  • PurgeRunHistoryInterval. Der Zeitraum, für den die Vorgangsprotokolle aufbewahrt werden sollen. Diese Protokolle können im Synchronisierungsdienst-Manager überprüft werden. Standardmäßig werden diese Protokolle 7 Tage lang beibehalten.
  • SyncCycleEnabled. Gibt an, ob der Scheduler die Import-, Synchronisierungs- und Exportprozesse als Teil des Vorgangs ausführt.
  • MaintenanceEnabled. Zeigt an, ob der Wartungsvorgang aktiviert ist. Sie aktualisiert die Zertifikate/Schlüssel und löscht das Betriebsprotokoll.
  • StagingModeEnabled. Zeigt an, ob der Stagingmodus aktiviert ist. Wenn diese Einstellung aktiviert ist, wird die Ausführung der Exporte unterdrückt, aber weiterhin Import und Synchronisierung ausgeführt.
  • PlanerSuspended. Während eines Upgrades von Connect festgelegt, um den Planer vorübergehend am Ausführen zu hindern.

Sie können einige dieser Einstellungen mit Set-ADSyncSchedulerändern. Die folgenden Parameter können geändert werden:

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

In früheren Builds von Microsoft Entra Connect wurde isStagingModeEnabled in Set-ADSyncPlaner freigelegt. Es wird nicht unterstützte, um diese Eigenschaft festzulegen. Die Eigenschaft PlanerSuspended sollte nur von Connect geändert werden. Es wird nicht unterstützte, dies mit PowerShell direkt festzulegen.

Die Planerkonfiguration wird in Microsoft Entra ID gespeichert. Wenn Sie über einen Stagingserver verfügen, wirkt sich jede Änderung auf dem Primärserver auch auf den Stagingserver aus (mit Ausnahme von IsStagingModeEnabled).

CustomizedSyncCycleInterval

Syntax: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - Tage, HH - Stunden, mm - Minuten, ss - Sekunden

Beispiel: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Ändert den Zeitplan so, dass er alle 3 Stunden ausgeführt wird.

Beispiel: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Änderungen ändern den Zeitplan so, dass er täglich ausgeführt wird.

Scheduler deaktivieren

Wenn Sie Konfigurationsänderungen vornehmen müssen, möchten Sie den Zeitplan deaktivieren. Zum Beispiel, wenn Sie die Filterung konfigurieren oder Änderungen an Synchronisierungsregeln vornehmen.

Führen Sie Set-ADSyncScheduler -SyncCycleEnabled $false aus, um den Planer zu deaktivieren.

Deaktivieren des Planers

Wenn Sie Änderungen vornehmen, vergessen Sie nicht, den Zeitplan erneut mit Set-ADSyncScheduler -SyncCycleEnabled $truezu aktivieren.

Starten des Planers

Der Scheduler wird standardmäßig alle 30 Minuten ausgeführt. In einigen Fällen möchten Sie vielleicht einen Synchronisierungszyklus zwischen den geplanten Zyklen ausführen, oder Sie müssen einen anderen Typ ausführen.

Deltasynchronisierungszyklus

Ein Delta-Synchronisierungszyklus umfasst die folgenden Schritte:

  • Deltaimport auf allen Connectors
  • Deltasynchronisierung auf allen Connectors
  • Export auf allen Connectors

Vollständiger Synchronisierungszyklus

Ein vollständiger Synchronisierungszyklus umfasst die folgenden Schritte:

  • Vollständiger Import auf allen Connectors
  • Vollständige Synchronisierung für alle Konnektoren
  • Export auf allen Connectors

Möglicherweise haben Sie eine dringende Änderung, die sofort synchronisiert werden muss, weshalb Sie einen Zyklus manuell ausführen müssen.

Wenn Sie einen Synchronisierungszyklus manuell ausführen müssen, führen Sie in PowerShell Start-ADSyncSyncCycle -PolicyType Deltaaus.

Um einen vollständigen Synchronisierungszyklus zu initiieren, führen Sie Start-ADSyncSyncCycle -PolicyType Initial über eine PowerShell-Eingabeaufforderung aus.

Das Ausführen eines vollständigen Synchronisierungszyklus kann sehr zeitaufwändig sein, lesen Sie den nächsten Abschnitt, um zu erfahren, wie Sie diesen Prozess optimieren.

Synchronisierungsschritte, die für unterschiedliche Konfigurationsänderungen erforderlich sind

Unterschiedliche Konfigurationsänderungen erfordern unterschiedliche Synchronisierungsschritte, um sicherzustellen, dass die Änderungen ordnungsgemäß auf alle Objekte angewendet werden.

  • Es wurden weitere Objekte oder Attribute hinzugefügt, die aus einem Quellverzeichnis importiert werden sollen (durch Hinzufügen/Ändern der Synchronisierungsregeln)
    • Für dieses Quellverzeichnis ist ein vollständiger Import auf den Connector erforderlich
  • Änderungen an den Synchronisierungsregeln vorgenommen
    • Für die geänderten Synchronisierungsregeln ist eine vollständige Synchronisierung auf dem Connector erforderlich
  • Sie haben die Filterung geändert, sodass eine andere Anzahl von Objekten einbezogen werden sollte
    • Für jeden AD Connector ist ein vollständiger Import auf dem Connector erforderlich. Die Ausnahme ist, wenn Sie attributbasierte Filterung basierend auf Attributen verwenden, die bereits in das Synchronisierungsmodul importiert werden.

Anpassen des Synchronisierungszyklus für die richtige Mischung aus Delta- und vollständiger Synchronisierung

Um das Ausführen eines vollständigen Synchronisierungszyklus zu vermeiden, können Sie bestimmte Connectors markieren, um einen vollständigen Schritt mit den folgenden Cmdlets auszuführen.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Beispiel: Wenn Sie Änderungen an den Synchronisierungsregeln für den Connector "AD-Gesamtstruktur A" vorgenommen haben, für die keine neuen importierten Attribute erforderlich sind, führen Sie die folgenden Cmdlets aus, um einen Delta-Synchronisierungszyklus auszuführen, der auch einen vollständigen Synchronisierungsschritt für diesen Connector ausführt.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Beispiel: Wenn Sie die Synchronisierungsregeln für Connector „AD Forest A“ geändert haben, sodass jetzt ein neues Attribut importiert werden muss, führen Sie die folgenden Cmdlets aus, um einen Delta-Synchronisierungszyklus auszuführen, der auch einen vollständigen Import, vollständigen Synchronisierungsschritt für diesen Connector ausführt.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Beenden des Planers

Wenn der Scheduler derzeit einen Synchronisierungszyklus ausführt, müssen Sie ihn möglicherweise beenden. Wenn Sie beispielsweise den Installations-Assistenten starten und diese Fehlermeldung erhalten:

Screenshot zeigt, dass konfigurationsfehlermeldung nicht geändert werden kann.

Wenn ein Synchronisierungszyklus ausgeführt wird, können Sie keine Konfigurationsänderungen vornehmen. Sie können warten, bis der Zeitplaner den Vorgang abgeschlossen hat, aber Sie können ihn auch beenden, damit Sie Ihre Änderungen sofort vornehmen können. Das Beenden des aktuellen Zyklus ist nicht schädlich, und ausstehende Änderungen werden mit der nächsten Ausführung verarbeitet.

  1. Beginnen Sie, indem Sie dem Planer mitteilen, den aktuellen Zyklus mit dem PowerShell-Cmdlet Stop-ADSyncSyncCyclezu beenden.

  2. Wenn Sie einen Build vor Version 1.1.281 verwenden, dann führt das Anhalten des Planers nicht dazu, dass der aktuelle Connector seine aktuelle Aufgabe unterbricht. Um ein Beenden des Connectors zu erzwingen, führen Sie folgende Aktionen aus:

    Screenshot mit Synchronization Service Manager mit ausgewählten Connectors und einem laufenden Connector mit hervorgehobener Auswahl „Stop“

    • Starten Sie den Synchronisierungsdienst über das Startmenü. Wechseln Sie zu Connectors, markieren Sie den Connector mit dem Status Wird ausgeführt, und wählen Sie unter „Aktionen“ die Option Beenden aus.

Der Planer ist noch immer aktiv und wird bei der nächsten Gelegenheit wieder gestartet.

Benutzerdefinierter Zeitplaner

Die in diesem Abschnitt dokumentierten Cmdlets sind nur in Build 1.1.130.0 und höher verfügbar.

Wenn der integrierte Zeitplan Ihre Anforderungen nicht erfüllt, können Sie die Verbindungen mithilfe von PowerShell einplanen.

Invoke-ADSyncRunProfile

Sie können ein Profil für einen Connector auf folgende Weise starten:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Die verwendbaren Connectornamen und Ausführungsprofilnamen finden Sie auf der Synchronization Service Manager-Benutzeroberfläche.

Aufrufen des Ausführungsprofils

Das cmdlet Invoke-ADSyncRunProfile ist synchron, d. h. es gibt erst die Steuerung zurück, wenn der Connector den Vorgang erfolgreich oder mit einem Fehler abgeschlossen hat.

Es empfiehlt sich, die Connectors in der folgenden Reihenfolge zu planen:

  1. (Vollständiger/Delta-)Import aus lokalen Verzeichnissen wie Active Directory
  2. Import (vollständig/Delta) aus Microsoft Entra ID
  3. Synchronisieren aus lokalen Verzeichnissen wie beispielsweise Active Directory (vollständig oder als Delta)
  4. Vollständige/Delta-Synchronisierung von Microsoft Entra ID
  5. In Microsoft Entra ID exportieren
  6. Exportieren in lokale Verzeichnisse, z. B. Active Directory

Der integrierte Planer führt die Connectors in dieser Reihenfolge aus.

Get-ADSyncConnectorRunStatus

Sie können auch das Synchronisierungsmodul überwachen, um festzustellen, ob es ausgelastet oder im Leerlauf ist. Dieses Cmdlet gibt ein leeres Ergebnis zurück, wenn die Synchronisierungs-Engine im Leerlauf ist und kein Connector ausgeführt wird. Wenn ein Connector ausgeführt wird, gibt das Cmdlet den Namen des Connectors zurück.

Get-ADSyncConnectorRunStatus

Status der Connectorausführung
In der obigen Abbildung weist die erste Zeile darauf hin, dass sich das Synchronisierungsmodul im Leerlauf befindet. Die zweite Zeile ab dem Zeitpunkt, an dem der Microsoft Entra Connector ausgeführt wird.

Planer und Installations-Assistent

Wenn Sie den Installations-Assistenten starten, wird der Planer vorübergehend unterbrochen. Dieses Verhalten tritt auf, weil angenommen wird, dass Sie Konfigurationsänderungen vornehmen, und diese Einstellungen nicht angewendet werden können, wenn das Synchronisierungsmodul läuft. Aus diesem Grund lassen Sie den Installationsassistenten nicht geöffnet, da das Synchronisierungsmodul daran gehindert wird, irgendwelche Synchronisierungsaktionen durchzuführen.

Nächste Schritte

Erfahren Sie mehr über die Konfiguration von Microsoft Entra Connect Sync.

Erfahren Sie mehr über Integrieren Ihrer lokalen Identitäten mit Microsoft Entra ID.