Instalación de Microsoft Entra Connect mediante una base de datos existente de ADSync
Microsoft Entra Connect requiere una base de datos SQL Server para almacenar los datos. Puede usar el SQL Server 2019 Express LocalDB predeterminado instalado con Microsoft Entra Connect o usar su propia versión completa de SQL. Anteriormente, al instalar Microsoft Entra Connect, se creaba siempre una nueva base de datos llamada ADSync. Con Microsoft Entra Connect versión 1.1.613.0 (o posterior), tiene la opción de instalar Microsoft Entra Connect haciendo que apunte a una base de datos ADSync existente.
Ventajas de usar una base de datos de ADSync ya existente
Si apunta a una base de datos de ADSync ya existente:
- Excepto la información de las credenciales, la configuración de sincronización que se almacena en la base de datos de ADSync (incluidas las reglas de sincronización personalizadas, los conectores, el filtrado y la configuración de características opcionales) se recupera automáticamente y se usa durante la instalación. Las credenciales usadas por Microsoft Entra Connect para sincronizar cambios con AD local y Microsoft Entra ID están encriptadas y solo puede acceder a ellas el servidor anterior de Microsoft Entra Connect.
- También se recuperan todos los datos de identidad (asociados con los espacios del conector y el metaverso) y las cookies de sincronización almacenadas en la base de datos de ADSync. El servidor Microsoft Entra Connect recién instalado puede seguir sincronizando desde donde lo dejó el servidor Microsoft Entra Connect anterior, sin necesidad de realizar una sincronización completa.
Escenarios donde es útil usar una base de datos existente de ADSync
Estas ventajas son útiles en los escenarios siguientes:
- Ya dispone de una implementación de Microsoft Entra Connect. Su servidor Microsoft Entra Connect existente ya no funciona, pero el servidor SQL que contiene la base de datos ADSync aún está en funcionamiento. Puede instalar un nuevo servidor Microsoft Entra Connect y hacer que apunte a la base de datos ADSync existente.
- Ya dispone de una implementación de Microsoft Entra Connect. El servidor de SQL Server que contiene la base de datos de ADSync ha dejado de funcionar. Sin embargo, tiene una copia de seguridad reciente de la base de datos. Puede restaurar la base de datos de ADSync a un nuevo servidor de SQL Server en primer lugar. Transcurrido ese período, puede instalar un nuevo servidor Microsoft Entra Connect y hacer que apunte a la base de datos ADSync restaurada.
- Tiene una implementación existente de Microsoft Entra Connect que utiliza LocalDB. Debido al límite de 10 GB impuesto por LocalDB, le gustaría migrar a una implementación completa de SQL. Puede realizar la copia de seguridad de la base de datos de ADSync desde LocalDB y restaurarla en un servidor SQL Server. Transcurrido ese período, puede volver a instalar un nuevo servidor de Azure AD Connect y hacer que apunte a la base de datos restaurada de ADSync.
- Está intentando configurar un servidor de ensayo y desea asegurarse de que su configuración coincide con la del servidor activo actual. Puede realizar la copia de seguridad de la base de datos de ADSync y restaurarla en otro servidor SQL Server. Transcurrido ese período, puede volver a instalar un nuevo servidor de Azure AD Connect y hacer que apunte a la base de datos restaurada de ADSync.
Información sobre requisitos previos
Notas importantes a tener en cuenta antes de continuar:
- Asegúrese de revisar los requisitos previos para instalar Microsoft Entra Connect en Hardware y requisitos previos, y cuenta y permisos necesarios para instalar Microsoft Entra Connect. Los permisos necesarios para instalar Microsoft Entra Connect usando el modo "usar base de datos existente" son los mismos que para la instalación "personalizada".
- La implementación de Microsoft Entra Connect en una base de datos ADSync existente solo se admite con SQL completo. No se admite con la base de datos local de SQL Express LocalDB. Si tiene una base de datos de ADSync existente en LocalDB que desee usar, primero debe realizar una copia de seguridad de la base de datos de ADSync (LocalDB) y restaurarla en SQL completa. Transcurrido ese período, puede implementar Microsoft Entra Connect contra la base de datos restaurada utilizando este método.
- La versión de Microsoft Entra Connect utilizada para la instalación debe cumplir los siguientes criterios:
- 1.1.613.0 o superior Y
- Igual o superior a la última versión de Microsoft Entra Connect utilizada con la base de datos ADSync. Si la versión de Microsoft Entra Connect usada para la instalación es superior a la última versión usada con la base de datos ADSync, puede ser necesaria una sincronización completa. Es necesario realizar una sincronización completa si hay cambios en los esquemas o las reglas de sincronización entre las dos versiones.
- La base de datos de ADSync utilizada debe contener un estado de sincronización que sea relativamente reciente. La última actividad de sincronización con la base de datos ADSync existente debería producirse en las últimas tres semanas; de lo contrario, será necesaria una importación completa desde Microsoft Entra ID para actualizar la marca de agua del directorio.
- Al instalar Microsoft Entra Connect mediante el método "utilizar base de datos existente", no se conserva el método de inicio de sesión configurado en el servidor anterior de Microsoft Entra Connect. Es más, no puede configurar el método de inicio de sesión durante la instalación. Solo puede configurar el método de inicio de sesión una vez completada la instalación.
- No es posible que varios servidores Microsoft Entra Connect compartan la misma base de datos ADSync. El método "utilizar base de datos existente" permite reutilizar una base de datos ADSync existente con un nuevo servidor Microsoft Entra Connect. No admite el uso compartido.
Pasos para instalar Microsoft Entra Connect con el modo "Usar base de datos existente"
- Descargue el instalador de Microsoft Entra Connect (AzureADConnect.MSI) en el servidor Windows. Haga doble clic en el instalador de Microsoft Entra Connect para empezar a instalar Microsoft Entra Connect.
- Una vez completada la instalación MSI, se inicia el asistente de Microsoft Entra Connect con la configuración en modo Express. Cierre la pantalla haciendo clic en el icono de salida.
- Inicie un nuevo símbolo del sistema o sesión de PowerShell. Vaya a la carpeta "C:\Archivos de programa\Microsoft Entra Conectar". Ejecute el comando .\AzureADConnect.exe /useexistingdatabase para iniciar el asistente de Azure AD Connect en el modo de configuración "Usar base de datos existente".
Nota:
Use el modificador /UseExistingDatabase solo cuando la base de datos ya contenga datos de una instalación anterior de Microsoft Entra Connect. Por ejemplo, cuando se pasa de una base de datos local a una base de datos completa de SQL Server o bien cuando se ha recompilado el servidor de Microsoft Entra Connect y se ha restaurado una copia de seguridad SQL de la base de datos ADSync de una instalación anterior de Microsoft Entra Connect. Omita este paso si la base de datos está vacía, es decir, si no contiene datos de una instalación anterior de Microsoft Entra Connect.
Aparecerá la pantalla Bienvenido a Microsoft Entra Connect. Una vez que acepte los términos de licencia y el aviso de privacidad, haga clic en Continuar.
En la pantalla Instalar componentes necesarios, está habilitada la opción Usar un SQL Server existente. Especifique el nombre del servidor de SQL Server que hospeda la base de datos de ADSync. Si la instancia del motor SQL utilizada para hospedar la base de datos de ADSync no es la instancia predeterminada del servidor de SQL Server, deberá especificar el nombre de la instancia del motor SQL. Además, si no está habilitada la exploración de SQL, también deberá especificar el número de puerto de la instancia del motor SQL. Por ejemplo:
En la pantalla Connect to Microsoft Entra ID, debe proporcionar las credenciales de un administrador de identidad híbrida de su directorio Microsoft Entra. Se recomienda utilizar una cuenta en el dominio predeterminado onmicrosoft.com. Esta cuenta se utiliza únicamente para crear una cuenta de servicio en la id. de Microsoft Entra y no se utiliza una vez finalizado el asistente.
En la pantalla Conectar sus directorios, el bosque de AD existente configurado para la sincronización de directorios se muestra con un icono de cruz roja junto a él. Para sincronizar los cambios desde un bosque de AD local, se necesita una cuenta de AD DS. El asistente de Microsoft Entra Connect no puede recuperar las credenciales de la cuenta AD DS almacenadas en la base de datos ADSync ya que las credenciales están cifradas y solo pueden ser descifradas por el servidor anterior de Microsoft Entra Connect. Haga clic en Cambiar credenciales para especificar la cuenta de AD DS para el bosque de AD.
En el cuadro de diálogo emergente, puede (i) proporcionar una credencial de administrador de empresa y dejar que Microsoft Entra Connect cree la cuenta AD DS por usted, o (ii) crear la cuenta AD DS usted mismo y proporcionar su credencial a Microsoft Entra Connect. Una vez que haya seleccionado una opción y proporcionado las credenciales necesarias, haga clic en Aceptar para cerrar el cuadro de diálogo emergente.
Una vez que se hayan proporcionado las credenciales, el icono de cruz roja se reemplazará por un icono de marca de verificación verde. Haga clic en Next.
En la pantalla Listo para configurar, haga clic en Instalar.
Una vez finalizada la instalación, el servidor Microsoft Entra Connect se habilita automáticamente para el modo de ensayo. Se recomienda que revise la configuración del servidor y las exportaciones pendientes para detectar cambios inesperados antes de deshabilitar el modo de ensayo.
Tareas posteriores a la instalación
Al restaurar una copia de seguridad de la base de datos creada por una versión de Microsoft Entra Connect anterior a la 1.2.65.0, el servidor de montaje seleccionará automáticamente un método de inicio de sesión de No configurar. Mientras se restauran las preferencias de sincronización de hash de contraseña y de escritura diferida de contraseñas, deberá cambiar el método de inicio de sesión para que coincida con las demás directivas vigentes para el servidor de sincronización activo. Si no se siguen estos pasos, es posible que los usuarios no puedan iniciar sesión en caso de que este servidor se active.
Utilice la siguiente tabla para comprobar los pasos adicionales que se requieren.
Característica | Pasos |
---|---|
Sincronización de hash de contraseñas | Las configuraciones de sincronización de hash de contraseñas y escritura diferida de contraseñas se restablecen por completo para las versiones de Microsoft Entra Connect a partir de la 1.2.65.0. Si se realiza la restauración utilizando una versión anterior de Microsoft Entra Connect, revise la configuración de las opciones de sincronización de estas funciones para asegurarse de que coinciden con su servidor de sincronización activo. No deberían ser necesarios otros pasos de configuración. |
Federación con AD FS | Las autenticaciones de Azure seguirán utilizando la directiva de AD FS configurada para el servidor de sincronización activo. Si usa Microsoft Entra Connect para administrar su granja AD FS, puede cambiar opcionalmente el método de inicio de sesión a federación AD FS como preparación para que su servidor en espera se convierta en la instancia de sincronización activa. Si las opciones de dispositivo están habilitadas en el servidor de sincronización activo, configure esas opciones en este servidor al ejecutar la tarea "Configurar opciones de dispositivo". |
Autenticación de paso a través e inicio de sesión único de escritorio | Actualice el método de inicio de sesión para que coincida con la configuración del servidor de sincronización activo. Si esto no se sigue antes de promover el servidor a principal, la autenticación de paso a través junto con el inicio de sesión único de conexión directa se deshabilitará y el inquilino podría quedar bloqueado si no se dispone de la sincronización de hash de contraseñas como opción de inicio de sesión de respaldo. Tenga en cuenta también que cuando habilite la autenticación de paso a través en el modo de almacenamiento provisional, se instalará, registrará y ejecutará un nuevo agente de autenticación como agente de alta disponibilidad que aceptará las solicitudes de inicio de sesión. |
Federación con PingFederate | Las autenticaciones de Azure seguirán utilizando la directiva PingFederate configurada para el servidor de sincronización activo. Puede cambiar opcionalmente el método de inicio de sesión a PingFederate en preparación para que el servidor en espera se convierta en la instancia de sincronización activa. Este paso se puede retrasar hasta que necesite federar dominios adicionales con PingFederate. |
Pasos siguientes
- Ahora que ya tiene instalado Microsoft Entra Connect puede comprobar la instalación y asignar licencias.
- Obtenga más información sobre estas funciones, que se habilitaron con la instalación: Evitar eliminaciones accidentales y Microsoft Entra Connect Health.
- Obtenga información acerca de estos temas habituales: el programador y cómo desencadenar la sincronización.
- Más información sobre la Integración de las identidades locales con Microsoft Entra ID.