Partager via

Microsoft Entra Connect Sync : Planificateur

  • Article

Cette rubrique décrit le planificateur intégré dans Microsoft Entra Connect Sync (moteur de synchronisation).

Cette fonctionnalité a été introduite avec la build 1.1.105.0 (publiée en février 2016).

Aperçu

Microsoft Entra Connect Sync synchronise les modifications se produisant dans votre répertoire local à l’aide d’un planificateur. Il existe deux processus de planificateur, un pour la synchronisation de mot de passe et un autre pour les tâches de synchronisation d’objets/attributs et de maintenance. Cette rubrique traite de ce dernier.

Dans les versions antérieures, le planificateur pour les objets et les attributs était externe au moteur de synchronisation. Il a utilisé le planificateur de tâches Windows ou un service Windows distinct pour déclencher le processus de synchronisation. Le planificateur est intégré dans les versions 1.1 du moteur de synchronisation et permet une certaine personnalisation. La nouvelle fréquence de synchronisation par défaut est de 30 minutes.

Le planificateur est responsable de deux tâches :

  • Cycle de Synchronisation. Processus d’importation, de synchronisation et d’exportation des modifications.
  • Tâches de maintenance. Renouvelez les clés et les certificats pour la réinitialisation de mot de passe et le service d’inscription d’appareil (DRS). Videz les anciennes entrées dans le journal des opérations.

Le planificateur lui-même est toujours en cours d’exécution, mais il ne peut être configuré pour exécuter qu’une ou aucune de ces tâches. Par exemple, si vous devez avoir votre propre processus de cycle de synchronisation, vous pouvez désactiver cette tâche dans le planificateur, mais toujours exécuter la tâche de maintenance.

Important

Par défaut, toutes les 30 minutes, un cycle de synchronisation est exécuté. Si vous avez modifié le cycle de synchronisation, vous devez vous assurer qu’un cycle de synchronisation est exécuté au moins une fois tous les 7 jours.

  • Une synchronisation delta doit se produire dans les 7 jours suivant la dernière synchronisation delta.
  • Une synchronisation delta (après une synchronisation complète) doit se produire dans les 7 jours suivant la dernière synchronisation complète terminée.

L’échec de cette opération peut entraîner des problèmes de synchronisation qui vous obligeront à exécuter une synchronisation complète pour résoudre ce problème. Cela s’applique également aux serveurs en mode intermédiaire.

Configuration du planificateur

Pour afficher vos paramètres de configuration actuels, accédez à PowerShell et exécutez Get-ADSyncScheduler. Il vous montre quelque chose comme cette image :

GetSyncScheduler GetSyncScheduler

Si vous voyez la commande de synchronisation ou l’applet de commande n’est pas disponible lorsque vous exécutez cette applet de commande, le module PowerShell n’est pas chargé. Ce problème peut se produire si vous exécutez Microsoft Entra Connect sur un contrôleur de domaine ou sur un serveur avec des niveaux de restriction PowerShell supérieurs aux paramètres par défaut. Si vous voyez cette erreur, exécutez Import-Module ADSync pour rendre l’applet de commande disponible.

  • AllowedSyncCycleInterval. Intervalle de temps le plus court entre les cycles de synchronisation autorisés par l’ID Microsoft Entra. Vous ne pouvez pas synchroniser plus fréquemment que ce paramètre et être toujours pris en charge.
  • CurrentlyEffectiveSyncCycleInterval. L'horaire actuellement en vigueur. Il a la même valeur que CustomSyncInterval (si défini) s’il n’est pas plus fréquent que AllowedSyncInterval. Si vous utilisez une build antérieure à la version 1.1.281 et que vous modifiez CustomSyncCycleInterval, cette modification prend effet après le prochain cycle de synchronisation. À partir de la build 1.1.281, la modification prend effet immédiatement.
  • CustomizedSyncCycleInterval. Si vous souhaitez que le planificateur s’exécute à une autre fréquence que les 30 minutes par défaut, vous configurez ce paramètre. Dans l’image précédente, le planificateur est défini pour s’exécuter toutes les heures à la place. Si vous définissez ce paramètre sur une valeur inférieure à AllowedSyncInterval, ce dernier est utilisé.
  • NextSyncCyclePolicyType. Delta ou Initial. Définit si l’exécution suivante doit traiter uniquement les modifications delta, ou si la prochaine exécution doit effectuer une importation et une synchronisation complètes. Ces dernières retraiteraient également toutes les règles nouvelles ou modifiées.
  • NextSyncCycleStartTimeInUTC. Prochaine fois que le planificateur démarre le prochain cycle de synchronisation.
  • PurgeRunHistoryInterval. Durée pendant laquelle les journaux d’activité des opérations doivent être conservés. Ces journaux d’activité peuvent être examinés dans le gestionnaire de services de synchronisation. La valeur par défaut consiste à conserver ces journaux pendant 7 jours.
  • SyncCycleEnabled. Indique si le planificateur exécute les processus d’importation, de synchronisation et d’exportation dans le cadre de son opération.
  • MaintenanceEnabled. Indique si le processus de maintenance est activé. Il met à jour les certificats/clés et vide le journal des opérations.
  • StagingModeEnabled. Indique si le mode de préparation est activé. Si ce paramètre est activé, il supprime les exportations de l’exécution, mais exécute toujours l’importation et la synchronisation.
  • SchedulerSuspended. Défini par Se connecter pendant une mise à niveau pour empêcher temporairement l’exécution du planificateur.

Vous pouvez modifier certains de ces paramètres avec Set-ADSyncScheduler. Les paramètres suivants peuvent être modifiés :

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

Dans les versions antérieures de Microsoft Entra Connect, isStagingModeEnabled était exposé dans Set-ADSyncScheduler. Elle n’est pas prise en charge pour la définition de cette propriété. La propriété SchedulerSuspended ne doit être modifiée que par Connect. Elle n’est pas prise en charge pour la définition avec PowerShell directement.

La configuration du planificateur est stockée dans l’ID Microsoft Entra. Si vous avez un serveur intermédiaire, toute modification sur le serveur principal affecte également le serveur intermédiaire (à l’exception de IsStagingModeEnabled).

CustomizedSyncCycleInterval

Syntaxe : Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - jours, HH - heures, mm - minutes, ss - secondes

Exemple : Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Modifie le planificateur pour qu’il s’exécute toutes les 3 heures.

Exemple : Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Les modifications modifient le planificateur pour qu’il s’exécute quotidiennement.

Désactiver le planificateur

Si vous avez besoin d’apporter des modifications de configuration, vous souhaitez désactiver le planificateur. Par exemple, lorsque vous configurez le filtrage ou apportez des modifications aux règles de synchronisation.

Pour désactiver le planificateur, exécutez Set-ADSyncScheduler -SyncCycleEnabled $false.

désactiver le planificateur

Lorsque vous apportez des modifications, n’oubliez pas d’activer à nouveau le planificateur avec Set-ADSyncScheduler -SyncCycleEnabled $true.

Démarrer le planificateur

Le planificateur est exécuté par défaut toutes les 30 minutes. Dans certains cas, vous pouvez exécuter un cycle de synchronisation entre les cycles planifiés ou exécuter un autre type.

Cycle de synchronisation delta

Un cycle de synchronisation delta comprend les étapes suivantes :

  • Importation delta sur tous les connecteurs
  • Synchronisation delta sur tous les connecteurs
  • Exporter sur tous les connecteurs

Cycle de synchronisation complet

Un cycle de synchronisation complet comprend les étapes suivantes :

  • Importation complète sur tous les connecteurs
  • Synchronisation complète sur tous les connecteurs
  • Exporter sur tous les connecteurs

Il peut s’agir d’une modification urgente qui doit être synchronisée immédiatement, c’est pourquoi vous devez exécuter manuellement un cycle.

Si vous devez exécuter manuellement un cycle de synchronisation, à partir de PowerShell, exécutez Start-ADSyncSyncCycle -PolicyType Delta.

Pour lancer un cycle de synchronisation complet, exécutez Start-ADSyncSyncCycle -PolicyType Initial à partir d’une invite PowerShell.

L’exécution d’un cycle de synchronisation complet peut prendre beaucoup de temps, lisez la section suivante pour savoir comment optimiser ce processus.

Étapes de synchronisation requises pour différentes modifications de configuration

Différentes modifications de configuration nécessitent différentes étapes de synchronisation pour vous assurer que les modifications sont correctement appliquées à tous les objets.

  • Ajout d’objets ou d’attributs à importer à partir d’un répertoire source (en ajoutant/modifiant les règles de synchronisation)
    • Une importation complète est requise sur le connecteur pour ce répertoire source
  • Modifications apportées aux règles de synchronisation
    • Une synchronisation complète est requise sur le connecteur pour les règles de synchronisation modifiées
  • Changé le filtrage afin d'inclure un nombre différent d'objets.
    • Une importation complète est requise sur le connecteur pour chaque connecteur AD. L’exception est si vous utilisez le filtrage basé sur des attributs en fonction des attributs déjà importés dans le moteur de synchronisation

La personnalisation d’un cycle de synchronisation consiste à choisir le bon mélange d'étapes de synchro delta et complète.

Pour éviter d’exécuter un cycle de synchronisation complet, vous pouvez marquer des connecteurs spécifiques pour exécuter une étape complète à l’aide des applets de commande suivantes.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Exemple : si vous avez apporté des modifications aux règles de synchronisation pour le connecteur « AD Forest A » qui ne nécessitent aucun nouvel attribut importé, vous devez exécuter les applets de commande suivantes pour exécuter un cycle de synchronisation delta qui a également effectué une étape de synchronisation complète pour ce connecteur.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Exemple : si vous avez apporté des modifications aux règles de synchronisation pour le connecteur « AD Forest A » afin qu’elles nécessitent désormais l’importation d’un nouvel attribut, vous exécutez les applets de commande suivantes pour exécuter un cycle de synchronisation delta qui a également effectué une étape d’importation complète et de synchronisation complète pour ce connecteur.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Arrêter le planificateur

Si le planificateur exécute actuellement un cycle de synchronisation, vous devrez peut-être l’arrêter. Par exemple, si vous démarrez l’Assistant Installation et que vous obtenez cette erreur :

Capture d’écran montrant Impossible de modifier le message d’erreur de configuration.

Quand un cycle de synchronisation est en cours d’exécution, vous ne pouvez pas apporter de modifications de configuration. Vous pouvez attendre que le planificateur termine le processus, mais vous pouvez également l’arrêter afin de pouvoir apporter vos modifications immédiatement. L’arrêt du cycle actuel n’est pas dangereux et les modifications en attente sont traitées avec l’exécution suivante.

  1. Commencez par indiquer au planificateur d’arrêter son cycle actuel avec l’applet de commande PowerShell Stop-ADSyncSyncCycle.

  2. Si vous utilisez une build antérieure à la version 1.1.281, l’arrêt du planificateur n’arrête pas le connecteur actuel de sa tâche actuelle. Pour forcer l’arrêt du connecteur, effectuez les actions suivantes :

    Capture d’écran montrant Synchronization Service Manager avec connecteurs sélectionnés et un connecteur en cours d’exécution mis en surbrillance avec l’action Arrêter sélectionnée.

    • Démarrez le Service de synchronisation depuis le menu Démarrer. Accédez à Connecteurs, mettez en surbrillance le connecteur avec l’état En cours d’exécution et sélectionnez Arrêter dans les actions.

Le planificateur est toujours actif et redémarrera à la prochaine occasion.

Planificateur personnalisé

Les applets de commande documentées dans cette section ne sont disponibles que dans la build 1.1.130.0 et versions ultérieures.

Si le planificateur intégré ne répond pas à vos besoins, vous pouvez planifier les connecteurs à l’aide de PowerShell.

Invoke-ADSyncRunProfile

Vous pouvez créer un profil pour un Connecteur de cette façon :

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Les noms à utiliser pour Noms de connecteur et Exécuter les noms de profil se trouvent dans l’interface utilisateur Synchronization Service Manager.

Appeler le profil d’exécution

L’applet de commande Invoke-ADSyncRunProfile est synchrone, c’est-à-dire qu’elle ne retournera pas de contrôle avant que le connecteur termine l’opération, avec succès ou avec une erreur.

Lorsque vous planifiez vos connecteurs, il est recommandé de les planifier dans l’ordre suivant :

  1. (Full/Delta) Importer à partir de répertoires locaux, tels qu’Active Directory
  2. (Full/Delta) Importer à partir de l’ID Microsoft Entra
  3. (Full/Delta) Synchronisation à partir de répertoires locaux, tels qu’Active Directory
  4. (Full/Delta) Synchronisation à partir de l’ID Microsoft Entra
  5. Exportation vers Microsoft Entra ID
  6. Exporter vers des répertoires locaux, tels qu’Active Directory

Cet ordre est la manière dont le planificateur intégré exécute les Connectors.

Get-ADSyncConnectorRunStatus

Vous pouvez également surveiller le moteur de synchronisation pour voir s’il est occupé ou inactif. Cette applet de commande retourne un résultat vide si le moteur de synchronisation est inactif et n’exécute pas de connecteur. Si un connecteur est en cours d’exécution, il retourne le nom du connecteur.

Get-ADSyncConnectorRunStatus

État d’exécution du connecteur
Dans l’image ci-dessus, la première ligne provient d’un état dans lequel le moteur de synchronisation est inactif. La deuxième ligne au moment où le Connecteur Microsoft Entra s’exécute.

Planificateur et assistant d'installation

Si vous démarrez l’Assistant Installation, le planificateur est temporairement suspendu. Ce comportement est dû au fait qu’il est supposé que vous apportez des modifications de configuration et que ces paramètres ne peuvent pas être appliqués si le moteur de synchronisation s’exécute activement. Pour cette raison, ne laissez pas l’Assistant Installation ouvert, car il empêche le moteur de synchronisation d’effectuer des actions de synchronisation.

Étapes suivantes

En savoir plus sur la configuration Microsoft Entra Connect Sync.

En savoir plus sur l'intégration de vos identités sur site avec Microsoft Entra ID.