Importieren und Exportieren von Microsoft Entra Connect-Konfigurationseinstellungen
Microsoft Entra Connect-Bereitstellungen variieren von Installationen im Express-Modus mit einer einzigen Gesamtstruktur bis zu komplexen Bereitstellungen, die mithilfe benutzerdefinierter Synchronisierungsregeln über mehrere Gesamtstrukturen synchronisiert werden. Aufgrund der großen Anzahl von Konfigurationsoptionen und -mechanismen ist es von entscheidender Bedeutung, dass Sie verstehen, welche Einstellungen aktiv sind, und schnell in der Lage sind, einen Server mit einer identischen Konfiguration bereitzustellen. Mit diesem Feature wird die Möglichkeit eingeführt, die Konfiguration eines bestimmten Synchronisierungsservers zu katalogisieren und die Einstellungen in eine neue Bereitstellung zu importieren. Unterschiedliche Momentaufnahmen der Synchronisierungseinstellungen können verglichen werden, um die Unterschiede zwischen zwei Servern oder zwischen zwei Zuständen desselben Servers zu unterschiedlichen Zeitpunkten zu visualisieren.
Bei jeder Konfigurationsänderung über den Microsoft Entra Connect-Assistenten wird automatisch eine neue JSON-Einstellungsdatei mit Zeitstempel in %ProgramData%\AADConnect exportiert. Der Name der Einstellungsdatei weist das Format Applied-SynchronizationPolicy-*.JSON auf, wobei der letzte Teil des Dateinamens ein Zeitstempel ist.
Wichtig
Nur von Microsoft Entra Connect vorgenommene Änderungen werden automatisch exportiert. Alle mit PowerShell, Synchronization Service Manager oder dem Synchronisierungsregel-Editor vorgenommenen Änderungen müssen nach Bedarf exportiert werden, um eine aktuelle Kopie zu erhalten. Der Export nach Bedarf kann auch verwendet werden, um eine Kopie der Einstellungen zur Notfallwiederherstellung an einem sicheren Ort aufzubewahren.
Hinweis
Dieses Feature kann nicht verwendet werden, wenn die Microsoft Entra Connect-Installation so geändert wurde, dass sie den G-SQL-Connector oder den G-LDAP-Connector enthält.
Hinweis
Dieses Feature kann nicht zusammen mit einer vorhandenen ADSync-Datenbank verwendet werden. Die Verwendung der Import-/Exportkonfiguration und die Verwendung einer vorhandenen Datenbank schließen sich gegenseitig aus.
Exportieren von Microsoft Entra Connect-Einstellungen
Um eine Zusammenfassung Ihrer Konfigurationseinstellungen anzuzeigen, öffnen Sie das Microsoft Entra Connect-Tool, und wählen Sie die zusätzliche Aufgabe Aktuelle Konfiguration anzeigen oder exportieren aus. Eine kurze Zusammenfassung der Einstellungen wird angezeigt, und Sie erhalten die Möglichkeit zum Exportieren der vollständigen Konfiguration Ihres Servers.
Standardmäßig werden die Einstellungen in %ProgramData%\AADConnect exportiert. Sie können die Einstellungen auch an einem geschützten Speicherort speichern, um bei einem Notfall die Verfügbarkeit sicherzustellen. Die Einstellungen werden im JSON-Dateiformat exportiert und dürfen zur Gewährleistung logischer Konsistenz nicht manuell erstellt oder bearbeitet werden. Das Importieren manuell erstellter oder bearbeiteter Dateien wird nicht unterstützt und kann zu unerwarteten Ergebnissen führen.
Importieren von Microsoft Entra Connect-Einstellungen
Gehen Sie wie folgt vor, um zuvor exportierte Einstellungen zu importieren:
Installieren Sie Microsoft Entra Connect auf einem neuen Server.
Wählen Sie nach der Startseite die Option Anpassen aus.
Wählen Sie Synchronisierungseinstellungen importieren aus. Suchen Sie nach der zuvor exportierten JSON-Einstellungsdatei.
Wählen Sie Installieren aus.
Hinweis
Überschreiben Sie die Einstellungen auf dieser Seite, beispielsweise die Verwendung von SQL Server anstelle von LocalDB oder die Verwendung eines vorhandenen Dienstkontos anstelle eines Standard-VSA. Diese Einstellungen werden aus der Datei mit den Konfigurationseinstellungen nicht importiert. Sie sind nur zu Informations- und Vergleichszwecken vorhanden.
Hinweis
Das Ändern der exportierten JSON-Datei zum Ändern der Konfiguration wird nicht unterstützt.
Importinstallationsoberfläche
Die Importinstallationsoberfläche ist mit einem Mindestmaß an Benutzereingaben absichtlich einfach gehalten, um die Reproduktion eines vorhandenen Servers zu erleichtern.
Im Folgenden sind die einzigen Änderungen aufgeführt, die während der Installation vorgenommen werden können. Alle anderen Änderungen können nach der Installation mithilfe des Microsoft Entra Connect-Assistenten vorgenommen werden:
- Microsoft Entra-Anmeldeinformationen: Standardmäßig wird der Kontoname des globalen Azure-Administrators vorgeschlagen, der den ursprünglichen Server konfiguriert hat. Dieser muss geändert werden, wenn Sie Informationen in einem neuen Verzeichnis synchronisieren möchten.
- Benutzeranmeldung: Die für den ursprünglichen Server konfigurierten Anmeldeoptionen sind standardmäßig ausgewählt. Sie werden automatisch zur Eingabe von Anmeldeinformationen oder anderen Informationen aufgefordert, die bei der Konfiguration erforderlich sind. In seltenen Fällen muss möglicherweise ein Server mit anderen Optionen eingerichtet werden, um eine Änderung des Verhaltens auf dem aktiven Server zu vermeiden. Wählen Sie andernfalls Weiter aus, um dieselben Einstellungen zu verwenden.
- Anmeldeinformationen für lokale Verzeichnisse: Sie müssen für jedes in Ihren Synchronisierungseinstellungen enthaltene lokale Verzeichnis Anmeldeinformationen angeben, um ein Synchronisierungskonto zu erstellen oder ein vorab erstelltes benutzerdefiniertes Synchronisierungskonto bereitzustellen. Diese Vorgehensweise ist mit der Neuinstallation identisch, mit der Ausnahme, dass Sie keine Verzeichnisse hinzufügen oder entfernen können.
- Konfigurationsoptionen: Wie bei einer Neuinstallation können Sie die Anfangseinstellungen für das Starten der automatischen Synchronisierung oder das Aktivieren des Stagingmodus konfigurieren. Der Hauptunterschied besteht darin, dass der Stagingmodus bewusst standardmäßig aktiviert ist, um vor dem aktiven Exportieren der Ergebnisse nach Azure einen Vergleich der Konfigurations- und Synchronisierungsergebnisse zu gestatten.
Hinweis
Die primäre Rolle kann nur einem Synchronisierungsserver zugeordnet werden, der Konfigurationsänderungen aktiv nach Azure exportiert. Alle übrigen Server müssen in den Stagingmodus versetzt werden.
Migrieren von Einstellungen eines vorhandenen Servers
Wenn die Einstellungsverwaltung von einem vorhandenen Server nicht unterstützt wird, können Sie den Server entweder direkt aktualisieren oder die Einstellungen zur Verwendung auf einem neuen Stagingserver migrieren.
Für die Migration muss ein PowerShell-Skript ausgeführt werden, das die vorhandenen Einstellungen zur Verwendung in einer neuen Installation extrahiert. Verwenden Sie diese Methode, um die Einstellungen des vorhandenen Servers zu katalogisieren und dann auf einen neu installierten Stagingserver anzuwenden. Bei einem Vergleich der Einstellungen des ursprünglichen Servers mit denen eines neu erstellten Servers werden die Änderungen zwischen den Servern schnell sichtbar. Befolgen Sie grundsätzlich den Zertifizierungsprozess Ihrer Organisation, um sicherzustellen, dass keine zusätzliche Konfiguration erforderlich ist.
Migrationsprozess
Gehen Sie wie folgt vor, um die Einstellungen zu migrieren:
Starten Sie auf dem neuen Stagingserver die Datei AzureADConnect.msi, und halten Sie auf der Startseite von Microsoft Entra Connect an.
Kopieren Sie MigrateSettings.ps1 aus dem Verzeichnis „Microsoft Entra Connect\Tools“ in einen Speicherort auf dem vorhandenen Server. Beispiel: „C:\setup“, wobei „setup“ ein Verzeichnis ist, das auf dem vorhandenen Server erstellt wurde:
Hinweis
Die Meldung „Ein Positionsparameter wurde nicht gefunden, der das Argument True akzeptiert" wird angezeigt (siehe Abbildung):
Bearbeiten Sie dann die Datei „MigrateSettings.ps1“, entfernen Sie $true, und führen Sie dann das Skript aus:
Führen Sie das Skript wie nachfolgend dargestellt aus, und speichern Sie das gesamte Serverkonfigurationsverzeichnis. Kopieren Sie dieses Verzeichnis auf den neuen Stagingserver. Sie müssen den gesamten Ordner Exported-ServerConfiguration- * auf den neuen Server kopieren.
Starten Sie Microsoft Entra Connect, indem Sie auf dem Desktop auf das entsprechende Symbol doppelklicken. Akzeptieren Sie die Microsoft-Software-Lizenzbedingungen, und wählen Sie dann auf der nächsten Seite die Option Anpassen aus.
Aktivieren Sie das Kontrollkästchen Synchronisierungseinstellungen importieren. Wählen Sie Durchsuchen aus, um nach dem kopierten Ordner „Exported-ServerConfiguration-*“ zu suchen. Wählen Sie die Datei „MigratedPolicy.json“ aus, um die migrierten Einstellungen zu importieren.
Überprüfung nach der Installation
Der Vergleich der ursprünglich importierten Einstellungsdatei mit der exportierten Einstellungsdatei des neu bereitgestellten Servers ist ein wichtiger Schritt, um die Unterschiede zwischen der beabsichtigten und der resultierenden Bereitstellung zu verstehen. Mit Ihrer bevorzugten Anwendung zum Textvergleich erhalten Sie sofort eine Darstellung, in der alle gewünschten oder versehentlichen Änderungen hervorgehoben sind.
Auch wenn viele ehemals manuelle Konfigurationsschritte jetzt nicht mehr nötig sind, müssen Sie weiterhin den Zertifizierungsprozess Ihrer Organisation befolgen, um sicherzustellen, dass keine zusätzliche Konfiguration erforderlich ist. Eine solche Konfiguration könnte erfolgen, wenn Sie erweiterte Einstellungen verwenden, die derzeit nicht in diesem Release der Einstellungsverwaltung erfasst werden.
Folgende Einschränkungen sind bekannt:
- Synchronisierungsregeln: Die Rangfolge für eine benutzerdefinierte Regel muss im reservierten Bereich zwischen 0 und 99 liegen, um Konflikte mit den Standardregeln von Microsoft zu vermeiden. Wenn Sie eine benutzerdefinierte Regel außerhalb des reservierten Bereichs einfügen, wird Ihre benutzerdefinierte Regel beim Hinzufügen von Standardregeln zur Konfiguration möglicherweise verschoben. Ein ähnliches Problem tritt auf, wenn Ihre Konfiguration geänderte Standardregeln enthält. Es wird davon abgeraten, Änderungen an einer Standardregel vorzunehmen, weil Regeln dadurch wahrscheinlich falsch angeordnet werden.
- Geräterückschreiben: Diese Einstellungen werden katalogisiert. Sie werden derzeit nicht während der Konfiguration angewendet. Wenn das Geräterückschreiben für den ursprünglichen Server aktiviert war, müssen Sie das Feature auf dem neu bereitgestellten Server manuell konfigurieren.
- Synchronisierte Objekttypen: Auch wenn die Liste synchronisierter Objekttypen (wie Benutzer, Kontakte und Gruppen) mithilfe von Synchronization Service Manager eingeschränkt werden kann, wird dieses Feature über die Synchronisierungseinstellungen derzeit nicht unterstützt. Nach Abschluss der Installation müssen Sie die erweiterte Konfiguration manuell erneut anwenden.
- Ausgewählte Attributes: Auch wenn die Liste synchronisierter Attributtypen (wie Erweiterungsattribute) mithilfe von Synchronization Service Manager eingeschränkt werden kann, wird dieses Feature über die Synchronisierungseinstellungen derzeit nicht unterstützt. Nach Abschluss der Installation müssen Sie die erweiterte Konfiguration manuell erneut anwenden.
- Benutzerdefinierte Ausführungsprofile: Obwohl der Standardsatz von Ausführungsprofilen mithilfe von Synchronization Service Manager geändert werden kann, wird dieses Feature über die Synchronisierungseinstellungen derzeit nicht unterstützt. Nach Abschluss der Installation müssen Sie die erweiterte Konfiguration manuell erneut anwenden.
- Konfigurieren der Bereitstellungshierarchie: Dieses erweiterte Feature von Synchronization Service Manager wird über die Synchronisierungseinstellungen nicht unterstützt. Es muss nach Abschluss der Erstbereitstellung manuell neu konfiguriert werden.
- AD FS- und PingFederate-Authentifizierung: Die diesen Authentifizierungsfeatures zugeordneten Anmeldemethoden werden automatisch vorab ausgewählt. Alle anderen erforderlichen Konfigurationsparameter müssen Sie interaktiv angeben.
- Eine deaktivierte benutzerdefinierte Synchronisierungsregel wird als aktiviert importiert: Eine deaktivierte benutzerdefinierte Synchronisierungsregel wird als aktiviert importiert. Sie müssen diese unbedingt auch auf dem neuen Server deaktivieren.