Delen via

Microsoft Entra Connect Sync: Planner

  • Artikel

In dit onderwerp wordt de ingebouwde scheduler in Microsoft Entra Connect Sync (synchronisatie-engine) beschreven.

Deze functie is geïntroduceerd met build 1.1.105.0 (uitgebracht in februari 2016).

Overzicht

Microsoft Entra Connect Sync synchroniseert wijzigingen die plaatsvinden in uw on-premises directory met behulp van een scheduler. Er zijn twee scheduler-processen, één voor wachtwoordsynchronisatie en een andere voor synchronisatie van objecten/kenmerken en onderhoudstaken. In dit onderwerp wordt het laatste behandeld.

In eerdere versies was de scheduler voor objecten en kenmerken extern aan de synchronisatie-engine. Het gebruikte Windows-taakplanner of een afzonderlijke Windows-service om het synchronisatieproces te activeren. De scheduler is in de 1.1-releases ingebouwd in de synchronisatie-engine en maakt enige aanpassingen mogelijk. De nieuwe standaardsynchronisatiefrequentie is 30 minuten.

De scheduler is verantwoordelijk voor twee taken:

  • synchronisatiecyclus. Het proces voor het importeren, synchroniseren en exporteren van wijzigingen.
  • onderhoudstaken. Vernieuw sleutels en certificaten voor wachtwoordherstel en Device Registration Service (DRS). Oude vermeldingen in het bewerkingslogboek leegmaken.

De scheduler zelf wordt altijd uitgevoerd, maar kan worden geconfigureerd om slechts één of geen van deze taken uit te voeren. Als u bijvoorbeeld uw eigen synchronisatiecyclusproces moet hebben, kunt u deze taak uitschakelen in de planner, maar toch de onderhoudstaak uitvoeren.

Belangrijk

Standaard wordt elke 30 minuten een synchronisatiecyclus uitgevoerd. Als u de synchronisatiecyclus hebt gewijzigd, moet u ervoor zorgen dat een synchronisatiecyclus minstens één keer per 7 dagen wordt uitgevoerd.

  • Een deltasynchronisatie moet plaatsvinden binnen 7 dagen na de laatste deltasynchronisatie.
  • Een deltasynchronisatie (na een volledige synchronisatie) moet binnen zeven dagen plaatsvinden vanaf het moment dat de laatste volledige synchronisatie is voltooid.

Als u dit niet doet, kan dit synchronisatieproblemen veroorzaken waardoor u een volledige synchronisatie moet uitvoeren om dit op te lossen. Dit geldt ook voor servers in de faseringsmodus.

Scheduler-configuratie

Als u de huidige configuratie-instellingen wilt zien, gaat u naar PowerShell en voert u Get-ADSyncScheduleruit. Het toont u iets zoals deze afbeelding:

GetSyncScheduler

Als u ziet De synchronisatieopdracht of cmdlet niet beschikbaar is wanneer u deze cmdlet uitvoert, wordt de PowerShell-module niet geladen. Dit probleem kan optreden als u Microsoft Entra Connect uitvoert op een domeincontroller of op een server met hogere PowerShell-beperkingsniveaus dan de standaardinstellingen. Als u deze fout ziet, voert u Import-Module ADSync uit om de cmdlet beschikbaar te maken.

  • AllowedSyncCycleInterval. Het kortste tijdsinterval tussen synchronisatiecycli die zijn toegestaan door Microsoft Entra-id. U kunt niet vaker synchroniseren dan deze instelling en nog steeds worden ondersteund.
  • CurrentlyEffectiveSyncCycleInterval. De planning is momenteel van kracht. Deze heeft dezelfde waarde als CustomizedSyncInterval (indien ingesteld) als deze niet vaker voorkomt dan AllowedSyncInterval. Als u een build vóór 1.1.281 gebruikt en u CustomizedSyncCycleInterval wijzigt, wordt deze wijziging van kracht na de volgende synchronisatiecyclus. Vanaf build 1.1.281 wordt de wijziging onmiddellijk van kracht.
  • CustomizedSyncCycleInterval. Als u wilt dat de scheduler met een andere frequentie dan de standaardtijd van 30 minuten wordt uitgevoerd, configureert u deze instelling. In de vorige afbeelding is de planner ingesteld om elk uur te worden uitgevoerd. Als u deze instelling instelt op een waarde lager dan AllowedSyncInterval, wordt de laatste gebruikt.
  • NextSyncCyclePolicyType. Of Delta of Initial. Definieert of de volgende uitvoering alleen deltawijzigingen moet verwerken of als de volgende uitvoering een volledige import en synchronisatie moet uitvoeren. De laatste zou ook nieuwe of gewijzigde regels opnieuw verwerken.
  • NextSyncCycleStartTimeInUTC. De volgende keer dat de scheduler de volgende synchronisatiecyclus start.
  • PurgeRunHistoryInterval. De tijdbewerkingslogboeken moeten worden bewaard. Deze logboeken kunnen worden gecontroleerd in de synchronisatieservicebeheerder. De standaardinstelling is om deze logboeken 7 dagen te bewaren.
  • SyncCycleEnabled. Geeft aan of de scheduler de import-, synchronisatie- en exportprocessen uitvoert als onderdeel van de bewerking.
  • MaintenanceEnabled. Geeft aan of het onderhoudsproces is ingeschakeld. Hiermee worden de certificaten/sleutels bijgewerkt en het bewerkingslogboek verwijderd.
  • StagingModeEnabled. Hier wordt weergegeven of faseringsmodus is ingeschakeld. Als deze instelling is ingeschakeld, worden de exportbewerkingen onderdrukt, maar worden import- en synchronisatiebewerkingen nog steeds uitgevoerd.
  • SchedulerSuspended. Ingesteld door Connect tijdens een upgrade om tijdelijk te voorkomen dat de scheduler wordt gedraaid.

U kunt enkele van deze instellingen wijzigen met Set-ADSyncScheduler. De volgende parameters kunnen worden gewijzigd:

  • AangepastSynchronisatiecyclusInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • Synchronisatiecyclus ingeschakeld
  • OnderhoudIngeschakeld

In eerdere builds van Microsoft Entra Connect werd isStagingModeEnabled weergegeven in Set-ADSyncScheduler. Het is niet-ondersteund om deze eigenschap in te stellen. De eigenschap SchedulerSuspended mag alleen worden gewijzigd door Connect. Het is niet ondersteund om dit rechtstreeks met PowerShell in te stellen.

De scheduler-configuratie wordt opgeslagen in Microsoft Entra-id. Als u een faseringsserver hebt, heeft elke wijziging op de primaire server ook invloed op de faseringsserver (met uitzondering van IsStagingModeEnabled).

CustomizedSyncCycleInterval

Syntaxis: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dagen, uu - uren, mm - minuten, ss - seconden

Voorbeeld: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Hiermee wordt de scheduler ingesteld om elke 3 uur te draaien.

Voorbeeld: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Wijzig de scheduler zodat deze dagelijks draait.

De planner uitschakelen

Als u configuratiewijzigingen wilt aanbrengen, moet u de planner uitschakelen. Wanneer u bijvoorbeeld filteren of wijzigingen aanbrengt in synchronisatieregels.

Als u de scheduler wilt uitschakelen, voert u Set-ADSyncScheduler -SyncCycleEnabled $falseuit.

de planner uitschakelen

Wanneer u wijzigingen aanbrengt, vergeet dan niet om de planner opnieuw in te schakelen met Set-ADSyncScheduler -SyncCycleEnabled $true.

De planner starten

De scheduler wordt standaard elke 30 minuten uitgevoerd. In sommige gevallen wilt u mogelijk een synchronisatiecyclus uitvoeren tussen de geplande cycli of moet u een ander type uitvoeren.

Delta-synchronisatiecyclus

Een deltasynchronisatiecyclus omvat de volgende stappen:

  • Delta-import op alle connectors
  • Delta-synchronisatie op alle connectors
  • Exporteren voor alle connectoren

Volledige synchronisatiecyclus

Een volledige synchronisatiecyclus bevat de volgende stappen:

  • Volledig importeren voor alle connectors
  • Volledige synchronisatie op alle connectors
  • Exporteren op alle connectoren

Het kan zijn dat u een dringende wijziging hebt die onmiddellijk moet worden gesynchroniseerd. Daarom moet u handmatig een cyclus uitvoeren.

Als u handmatig een synchronisatiecyclus moet uitvoeren, voert u vanuit PowerShell Start-ADSyncSyncCycle -PolicyType Deltauit.

Als u een volledige synchronisatiecyclus wilt starten, voert u Start-ADSyncSyncCycle -PolicyType Initial uit vanaf een PowerShell-prompt.

Het uitvoeren van een volledige synchronisatiecyclus kan erg tijdrovend zijn. Lees de volgende sectie om te lezen hoe u dit proces kunt optimaliseren.

Synchronisatiestappen vereist voor verschillende configuratiewijzigingen

Voor verschillende configuratiewijzigingen zijn verschillende synchronisatiestappen vereist om ervoor te zorgen dat de wijzigingen correct worden toegepast op alle objecten.

  • Er zijn meer objecten of kenmerken toegevoegd die moeten worden geïmporteerd uit een bronmap (door de synchronisatieregels toe te voegen/te wijzigen)
    • Een volledige import is vereist voor de verbinding met die bronmap.
  • Wijzigingen aangebracht in de synchronisatieregels
    • Een volledige synchronisatie van de connector is nodig voor de gewijzigde synchronisatieregels.
  • De filtering van voor is gewijzigd, zodat er een ander aantal objecten zou moeten worden opgenomen.
    • Voor elke AD-connector is een volledige import vereist. De uitzondering is wanneer u filteren gebruikt op basis van kenmerken die al in de synchronisatie-engine worden geïmporteerd.

Door een synchronisatiecyclus aan te passen, voert u de juiste combinatie van Delta- en volledige synchronisatiestappen uit

Om te voorkomen dat u een volledige synchronisatiecyclus uitvoert, kunt u specifieke connectors markeren om een volledige stap uit te voeren met behulp van de volgende cmdlets.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Voorbeeld: Als u wijzigingen hebt aangebracht in de synchronisatieregels voor connector AD Forest A waarvoor geen nieuwe geïmporteerde kenmerken nodig zijn, voert u de volgende cmdlets uit om een deltasynchronisatiecyclus uit te voeren die ook een volledige synchronisatiestap voor die connector heeft uitgevoerd.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Voorbeeld: Als u wijzigingen hebt aangebracht in de synchronisatieregels voor connector AD Forest A, zodat er nu een nieuw kenmerk moet worden geïmporteerd, voert u de volgende cmdlets uit om een deltasynchronisatiecyclus uit te voeren die ook een volledige importstap, volledige synchronisatie voor die connector heeft uitgevoerd.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

De planner stoppen

Als de planner momenteel een synchronisatiecyclus uitvoert, moet u deze mogelijk stoppen. Als u bijvoorbeeld de installatiewizard start en deze fout krijgt:

Schermopname van het foutbericht Kan configuratie niet wijzigen.

Wanneer een synchronisatiecyclus wordt uitgevoerd, kunt u geen configuratiewijzigingen aanbrengen. U kunt wachten totdat de planner het proces heeft voltooid, maar u kunt het ook stoppen, zodat u uw wijzigingen onmiddellijk kunt aanbrengen. Het stoppen van de huidige cyclus is niet schadelijk en wachtende wijzigingen worden verwerkt met de volgende uitvoering.

  1. Geef de scheduler de opdracht om de huidige cyclus te stoppen met de PowerShell-cmdlet Stop-ADSyncSyncCycle.

  2. Als u een build vóór 1.1.281 gebruikt, onderbreekt het stoppen van de planner de huidige Connector niet in zijn huidige taak. Om de connector te dwingen te stoppen, onderneem de volgende acties:

    Schermopname toont Synchronization Service Manager met Connectors geselecteerd en een actieve connector gemarkeerd met de actie Stoppen geselecteerd.

    • Start Synchronization Service vanuit het menu Start. Ga naar connectors, markeer de connector met de status Actiefen selecteer Stop uit de acties.

De planner is nog steeds actief en begint opnieuw bij de volgende gelegenheid.

Aangepaste planner

De cmdlets die in deze sectie worden beschreven, zijn alleen beschikbaar in build 1.1.130.0 en hoger.

Als de ingebouwde planner niet aan uw vereisten voldoet, kunt u de connectors plannen met behulp van PowerShell.

Invoke-ADSyncRunProfile

U kunt op deze manier een profiel voor een connector starten:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Voor de namen die moeten worden gebruikt voor connectornamen en uitvoeringsprofielnamen kunt u terecht in de gebruikersinterface van de Synchronization Service Manager .

Runprofiel aanroepen

De Invoke-ADSyncRunProfile cmdlet is synchroon, dat wil zeggen, het retourneert geen besturing totdat de connector de bewerking heeft voltooid, hetzij succesvol, hetzij met een fout.

Wanneer u uw connectors plant, wordt u aangeraden deze in de volgende volgorde te plannen:

  1. (Volledig/Delta) Importeren uit on-premises mappen, zoals Active Directory
  2. (Volledig/Delta) Importeren uit Microsoft Entra-id
  3. (Volledig/Delta) Synchronisatie vanuit on-premises mappen, zoals Active Directory
  4. (Volledig/Delta) Synchronisatie van Microsoft Entra-id
  5. Exporteren naar Microsoft Entra-id
  6. Exporteren naar on-premises mappen, zoals Active Directory

De ingebouwde scheduler voert de connectors in deze volgorde uit.

Get-ADSyncConnectorRunStatus

U kunt de synchronisatie-engine ook controleren om te zien of deze bezet of inactief is. Deze cmdlet retourneert een leeg resultaat als de synchronisatie-engine niet actief is en geen Connector draait. Als een Connector draait, wordt de naam van de Connector geretourneerd.

Get-ADSyncConnectorRunStatus

connectoruitvoeringsstatus
In de bovenstaande afbeelding is de eerste regel afkomstig van een status waarin de synchronisatie-engine niet actief is. De tweede regel vanaf het moment waarop de Microsoft Entra Connector wordt uitgevoerd.

Planer en installatiewizard

Als u de installatiewizard start, wordt het planningsprogramma tijdelijk onderbroken. Dit gedrag komt doordat ervan wordt uitgegaan dat u configuratiewijzigingen aanbrengt en deze instellingen niet kunnen worden toegepast als de synchronisatie-engine actief wordt uitgevoerd. Laat daarom de installatiewizard niet open omdat de synchronisatie-engine stopt met het uitvoeren van synchronisatieacties.

Volgende stappen

Meer informatie over de Microsoft Entra Connect Sync configuratie.

Kom meer te weten over het integreren van uw on-premises identiteiten met Microsoft Entra ID.