Partager via

Installer Microsoft Entra Connect à l’aide d’une base de données ADSync existante

  • Article

Microsoft Entra Connect nécessite une base de données SQL Server pour stocker des données. Vous pouvez utiliser la base de données locale SQL Server 2019 Express par défaut installée avec Microsoft Entra Connect ou utiliser votre propre version complète de SQL. Auparavant, lorsque vous avez installé Microsoft Entra Connect, une nouvelle base de données nommée ADSync a toujours été créée. Avec Microsoft Entra Connect version 1.1.613.0 (ou ultérieure), vous pouvez installer Microsoft Entra Connect en le liant à une base de données ADSync existante.

Avantages de l’utilisation d’une base de données ADSync existante

En pointant vers une base de données ADSync existante :

  • À l’exception des informations d’identification, la configuration de synchronisation stockée dans la base de données ADSync est automatiquement récupérée et utilisée pendant l’installation. Cela inclut les règles de synchronisation personnalisées, les connecteurs, le filtrage et la configuration des fonctionnalités facultatives.
  • Toutes les données d’identité (associées aux espaces de connecteur et aux métaverses) et les cookies de synchronisation stockés dans la base de données ADSync sont également récupérées. Le serveur Microsoft Entra Connect nouvellement installé peut continuer à se synchroniser à partir duquel le serveur Microsoft Entra Connect précédent s’est arrêté, au lieu d’avoir besoin d’effectuer une synchronisation complète.

Scénarios où l’utilisation d’une base de données ADSync existante est bénéfique

Ces avantages sont utiles dans les scénarios suivants :

  • Vous disposez d’un déploiement Microsoft Entra Connect existant. Votre serveur Microsoft Entra Connect existant ne fonctionne plus, mais le serveur SQL contenant la base de données ADSync fonctionne toujours. Vous pouvez installer un nouveau serveur Microsoft Entra Connect et le pointer vers la base de données ADSync existante.
  • Vous disposez d’un déploiement Microsoft Entra Connect existant. Votre serveur SQL contenant la base de données ADSync ne fonctionne plus. Toutefois, vous disposez d’une sauvegarde récente de la base de données. Vous pouvez d’abord restaurer la base de données ADSync sur un nouveau serveur SQL. Après quoi, vous pouvez installer un nouveau serveur Microsoft Entra Connect et le pointer vers la base de données ADSync restaurée.
  • Vous disposez d’un déploiement Microsoft Entra Connect existant qui utilise LocalDB. En raison de la limite de 10 Go imposée par LocalDB, vous souhaitez migrer vers sql complet. Vous pouvez sauvegarder la base de données ADSync à partir de LocalDB et la restaurer sur un serveur SQL. Après quoi, vous pouvez réinstaller un nouveau serveur Microsoft Entra Connect et le pointer vers la base de données ADSync restaurée.
  • Vous essayez de configurer un serveur intermédiaire et souhaite vous assurer que sa configuration correspond à celle du serveur actif actuel. Vous pouvez sauvegarder la base de données ADSync et la restaurer sur un autre serveur SQL. Après quoi, vous pouvez réinstaller un nouveau serveur Microsoft Entra Connect et le pointer vers la base de données ADSync restaurée.

Informations requises

Remarques importantes à prendre note avant de continuer :

  • Veillez à passer en revue les conditions préalables à l’installation de Microsoft Entra Connect à la section Matériel et conditions préalables, ainsi que les autorisations requises pour l’installation de Microsoft Entra Connect. Les autorisations requises pour installer Microsoft Entra Connect à l’aide du mode « utiliser une base de données existante » sont identiques à celles de l’installation « personnalisée ».
  • Le déploiement de Microsoft Entra Connect sur une base de données ADSync existante est pris en charge uniquement avec sql complet. Elle n’est pas prise en charge avec SQL Express LocalDB. Si vous disposez d’une base de données ADSync existante dans LocalDB que vous souhaitez utiliser, vous devez d’abord sauvegarder la base de données ADSync (LocalDB). Ensuite, restaurez-le en SQL complet. Ensuite, vous pouvez déployer Microsoft Entra Connect sur la base de données restaurée à l’aide de cette méthode.
  • La version de Microsoft Entra Connect utilisée pour l’installation doit répondre aux critères suivants :
    • 1.1.613.0 ou version ultérieure, AND
    • Identique ou supérieur à la version de Microsoft Entra Connect utilisée pour la dernière fois avec la base de données ADSync. Si la version de Microsoft Entra Connect utilisée pour l’installation est supérieure à la dernière version utilisée avec la base de données ADSync, une synchronisation complète peut être nécessaire. La synchronisation complète est requise s’il existe des modifications de schéma ou de règle de synchronisation entre les deux versions.
  • La base de données ADSync utilisée doit contenir un état de synchronisation relativement récent. La dernière activité de synchronisation avec la base de données ADSync existante doit être au cours des trois dernières semaines, sinon une importation complète à partir de l’ID Microsoft Entra est nécessaire pour mettre à jour le filigrane du répertoire.
  • Lors de l’installation de Microsoft Entra Connect à l’aide de la méthode « utiliser une base de données existante », la méthode de connexion configurée sur le serveur Microsoft Entra Connect précédent n’est pas conservée. En outre, vous ne pouvez pas configurer la méthode de connexion pendant l’installation. Vous ne pouvez configurer la méthode de connexion qu’une fois l’installation terminée.
  • Vous ne pouvez pas avoir plusieurs serveurs Microsoft Entra Connect partagent la même base de données ADSync. La méthode « utiliser une base de données existante » vous permet de réutiliser une base de données ADSync existante avec un nouveau serveur Microsoft Entra Connect. Ce n'est pas compatible avec le partage.

Étapes d’installation de Microsoft Entra Connect avec le mode « Utiliser une base de données existante »

  1. Téléchargez le programme d’installation de Microsoft Entra Connect (AzureADConnect.MSI) sur le serveur Windows. Double-cliquez sur le programme d’installation de Microsoft Entra Connect pour démarrer son installation.
  2. Une fois l’installation MSI terminée, l’Assistant Microsoft Entra Connect commence par la configuration du mode Express. Fermez l’écran en sélectionnant l’icône de sortie. Capture d’écran montrant la page « Bienvenue dans Microsoft Entra Connect », avec « Paramètres express » dans le menu de gauche mis en surbrillance.
  3. Démarrez une nouvelle invite de commandes ou une session PowerShell. Accédez au dossier « C :\Program Files\Microsoft Entra Connect ». Exécuter la commande .\AzureADConnect.exe /useexistingdatabase pour démarrer l’Assistant Microsoft Entra Connect en mode d’installation « Utiliser une base de données existante ».

Note

Utilisez le commutateur /UseExistingDatabase uniquement lorsque la base de données contient déjà des données d’une installation antérieure de Microsoft Entra Connect. Par exemple, lorsque vous passez d’une base de données locale à une base de données SQL Server complète ou lorsque le serveur Microsoft Entra Connect a été reconstruit et que vous avez restauré une sauvegarde SQL de la base de données ADSync à partir d’une installation antérieure de Microsoft Entra Connect. Si la base de données est vide, autrement dit, elle ne contient aucune donnée d’une installation précédente de Microsoft Entra Connect, ignorez cette étape.

PowerShell

  1. Vous êtes accueilli par l’écran Bienvenue dans Microsoft Entra Connect. Une fois que vous acceptez les termes du contrat de licence et la notification de confidentialité, sélectionnez Continuer. capture d’écran montrant la page « Bienvenue dans Microsoft Entra Connect »

  2. Sur l’écran Installer les composants requis, l’option Utiliser une option sql Server existante est activée. Spécifiez le nom du serveur SQL qui héberge la base de données ADSync. Si l’instance du moteur SQL utilisée pour héberger la base de données ADSync n’est pas l’instance par défaut sur le serveur SQL, vous devez spécifier le nom de l’instance du moteur SQL. En outre, si la navigation SQL n’est pas activée, vous devez également spécifier le numéro de port de l’instance du moteur SQL. Par exemple:
    Capture d’écran montrant la page « Installer les composants requis ».

  3. Dans l’écran "Se connecter à l’ID Microsoft Entra", vous devez fournir les informations d’identification d’un administrateur d’identité hybride de votre annuaire Microsoft Entra. La recommandation consiste à utiliser un compte dans le domaine onmicrosoft.com par défaut. Ce compte est uniquement utilisé pour créer un compte de service dans Microsoft Entra ID et n’est plus utilisé une fois l’assistant terminé. Se connecter

  4. Sur l’écran Connecter vos répertoires, la forêt AD existante configurée pour la synchronisation d’annuaires est répertoriée avec une icône de croix rouge en regard de celle-ci. Pour synchroniser les modifications d’une forêt AD locale, un compte AD DS est requis. L’Assistant Microsoft Entra Connect ne peut pas récupérer les informations d’identification du compte AD DS stocké dans la base de données ADSync. Cela est dû au fait que les informations d’identification sont chiffrées et ne peuvent être déchiffrées que par le serveur Microsoft Entra Connect précédent. Sélectionnez Modifier les informations d’identification pour spécifier le compte AD DS pour la forêt AD. Répertoires

  5. Dans la boîte de dialogue contextuelle, vous pouvez fournir (i) des informations d’identification d’administrateur d’entreprise et laisser Microsoft Entra Connect créer le compte AD DS pour vous, ou (ii) créer le compte AD DS vous-même et fournir ses informations d’identification à Microsoft Entra Connect. Une fois que vous avez sélectionné une option et fourni les informations d’identification nécessaires, sélectionnez OK pour fermer la boîte de dialogue contextuelle. Capture d’écran montrant la boîte de dialogue contextuelle « Compte de forêt AD » avec l’option « Créer un compte AD » sélectionnée.

  6. Une fois les informations d’identification fournies, la croix rouge est remplacée par une coche verte. Sélectionnez puissuivant. Capture d’écran montrant la page « Connecter vos répertoires ».

  7. Dans l’écran Prêt à configurer, cliquez sur Installer. Bienvenue

  8. Une fois l’installation terminée, le serveur Microsoft Entra Connect est automatiquement activé pour le mode intermédiaire. Il est recommandé de passer en revue la configuration du serveur et les exportations en attente pour les modifications inattendues avant de désactiver le mode intermédiaire.

Tâches post-installation

Lors de la restauration d’une sauvegarde de base de données créée par une version de Microsoft Entra Connect antérieure à la version 1.2.65.0, le serveur intermédiaire sélectionne automatiquement une méthode de connexion de Ne pas configurer. Pendant que vos préférences de synchronisation de hachage de mot de passe et d’écriture différée de mot de passe sont restaurées, vous devez par la suite modifier la méthode de connexion pour qu’elle corresponde aux autres stratégies appliquées à votre serveur de synchronisation actif. L’échec de ces étapes peut empêcher les utilisateurs de se connecter si ce serveur devient actif.

Utilisez le tableau suivant pour vérifier les étapes supplémentaires requises.

Caractéristique Étapes
Synchronisation du hachage des mots de passe Les paramètres de synchronisation de hachage de mot de passe et de réécriture du mot de passe sont entièrement restaurés pour les versions de Microsoft Entra Connect à partir de la version 1.2.65.0. Si vous restaurez à l’aide d’une version antérieure de Microsoft Entra Connect, passez en revue les paramètres d’option de synchronisation de ces fonctionnalités pour vous assurer qu’elles correspondent à votre serveur de synchronisation actif. Aucune autre procédure de configuration ne doit être nécessaire.
Fédération avec AD FS Les authentifications Azure continuent d’utiliser la stratégie AD FS configurée pour votre serveur de synchronisation actif. Si vous utilisez Microsoft Entra Connect pour gérer votre batterie de serveurs AD FS, vous pouvez éventuellement modifier la méthode de connexion en fédération AD FS. Cela prépare votre serveur de secours pour devenir l’instance de synchronisation active. Si les options d’appareil sont activées sur le serveur de synchronisation actif, configurez ces options sur ce serveur en exécutant la tâche « Configurer les options d’appareil ».
Authentification de transmission directe et authentification unique de bureau Mettez à jour la méthode de connexion pour qu’elle corresponde à la configuration sur votre serveur de synchronisation actif. Si vous ne suivez pas cette procédure avant de promouvoir le serveur en serveur principal, l’authentification directe et la Sign-On unique transparente seront désactivées. En outre, votre locataire peut être verrouillé si vous n’avez pas de synchronisation de hachage de mot de passe en tant qu’option de connexion de sauvegarde. Lorsque vous activez l’authentification directe en mode intermédiaire, un nouvel agent d’authentification est installé, inscrit et exécuté en tant qu’agent à haute disponibilité qui accepte les demandes de connexion.
Fédération avec PingFederate Les authentifications Azure continuent d’utiliser la stratégie PingFederate configurée pour votre serveur de synchronisation actif. Vous pouvez éventuellement remplacer la méthode de connexion par PingFederate en vue de préparer votre serveur en veille à devenir l'instance de synchronisation active. Cette étape peut être différée jusqu’à ce que vous deviez fédérer des domaines supplémentaires avec PingFederate.

Étapes suivantes