Czynniki wpływające na wydajność programu Microsoft Entra Connect
Program Microsoft Entra Connect synchronizuje usługę Active Directory z identyfikatorem entra firmy Microsoft. Ten serwer jest krytycznym składnikiem przenoszenia tożsamości użytkowników do chmury. Podstawowe czynniki wpływające na wydajność programu Microsoft Entra Connect to:
Współczynnik projektowania | Definicja |
---|---|
Topologia | Dystrybucja punktów końcowych i składników programu Microsoft Entra Connect musi zarządzać w sieci. |
Skaluj | Liczba obiektów, takich jak użytkownicy, grupy i jednostki organizacyjne, które mają być zarządzane przez firmę Microsoft Entra Connect. |
Sprzęt | Sprzęt (fizyczny lub wirtualny) dla programu Microsoft Entra Connect i zależnej wydajności każdego składnika sprzętowego, w tym konfiguracji procesora CPU, pamięci, sieci i dysku twardego. |
Konfigurowanie | Jak firma Microsoft Entra Connect przetwarza katalogi i informacje. |
Ładowanie | Częstotliwość zmian obiektu. Obciążenia mogą się różnić w ciągu godziny, dnia lub tygodnia. W zależności od składnika może być konieczne zaprojektowanie obciążenia szczytowego lub średniego obciążenia. |
Celem tego dokumentu jest opisanie czynników wpływających na wydajność aparatu aprowizacji Microsoft Entra Connect. Duże lub złożone organizacje (organizacje aprowizowane ponad 100 000 obiektów) mogą użyć zaleceń w celu zoptymalizowania implementacji programu Microsoft Entra Connect, jeśli wystąpią jakiekolwiek problemy z wydajnością opisane tutaj. Inne składniki programu Microsoft Entra Connect, takie jak Microsoft Entra Connect Health i agenci, nie są tutaj omówione.
Ważne
Firma Microsoft nie obsługuje modyfikowania ani obsługi programu Microsoft Entra Connect poza akcjami, które zostały formalnie udokumentowane. Każda z tych akcji może spowodować niespójny lub nieobsługiwany stan programu Microsoft Entra Connect Sync. W związku z tym firma Microsoft nie może zapewnić pomocy technicznej dla takich wdrożeń.
Czynniki składników programu Microsoft Entra Connect
Na poniższym diagramie przedstawiono ogólną architekturę aparatu aprowizacji łączącego się z pojedynczym lasem, chociaż obsługiwane jest wiele lasów. Ta architektura pokazuje, jak różne składniki współdziałają ze sobą.
Aparat aprowizacji łączy się z każdym lasem usługi Active Directory i z identyfikatorem Entra firmy Microsoft. Proces odczytywania informacji z każdego katalogu jest nazywany importem. Eksportowanie odwołuje się do aktualizowania katalogów z aparatu aprowizacji. Funkcja Sync ocenia reguły przepływu obiektów wewnątrz aparatu aprowizacji. Aby dowiedzieć się więcej, zapoznaj się z artykułem Microsoft Entra Connect Sync: Understanding the architecture (Synchronizacja programu Microsoft Entra Connect: opis architektury).
Program Microsoft Entra Connect używa następujących obszarów przejściowych, reguł i procesów, aby zezwolić na synchronizację z usługi Active Directory do identyfikatora Entra firmy Microsoft:
- Miejsce łącznika (CS) — obiekty z każdego połączonego katalogu (CD), rzeczywistych katalogów, są najpierw przygotowane w tym miejscu przed ich przetworzeniem przez aparat aprowizacji. Identyfikator Entra firmy Microsoft ma swój własny cs, a każdy las, z którym nawiązujesz połączenie, ma własny cs.
- Metaverse (MV) — obiekty, które należy zsynchronizować, są tworzone tutaj na podstawie reguł synchronizacji. Obiekty muszą istnieć w mv, zanim będą mogły wypełniać obiekty i atrybuty do innych połączonych katalogów. Istnieje tylko jeden mv.
- Reguły synchronizacji — decydują, które obiekty zostaną utworzone (przewidywane) lub połączone (połączone) z obiektami w mv. Reguły synchronizacji decydują również, które wartości atrybutów zostaną skopiowane lub przekształcone do i z katalogów.
- Profile uruchamiania — pakietuje kroki procesu kopiowania obiektów i ich wartości atrybutów zgodnie z regułami synchronizacji między obszarami przejściowymi i połączonymi katalogami.
Istnieją różne profile uruchamiania, aby zoptymalizować wydajność aparatu aprowizacji. Większość organizacji będzie używać domyślnych harmonogramów i profilów uruchamiania dla normalnych operacji, ale niektóre organizacje mogą wymagać zmiany harmonogramu lub wyzwolenia innych profilów uruchamiania, aby zaspokoić nietypowe sytuacje. Dostępne są następujące profile uruchamiania:
Początkowy profil synchronizacji
Początkowy profil synchronizacji to proces odczytywania połączonych katalogów, takich jak las usługi Active Directory, po raz pierwszy. Następnie przeprowadza analizę wszystkich wpisów w bazie danych aparatu synchronizacji. Cykl początkowy spowoduje utworzenie nowych obiektów w identyfikatorze Entra firmy Microsoft i ukończenie dodatkowego czasu, jeśli lasy usługi Active Directory są duże. Synchronizacja początkowa obejmuje następujące kroki:
- Pełny import dla wszystkich łączników
- Pełna synchronizacja wszystkich łączników
- Eksportowanie we wszystkich łącznikach
Profil synchronizacji różnicowej
Aby zoptymalizować proces synchronizacji, ten profil uruchamiania przetwarza tylko zmiany (tworzy, usuwa i aktualizuje) obiektów w połączonych katalogach, od czasu ostatniego procesu synchronizacji. Domyślnie profil synchronizacji różnicowej jest uruchamiany co 30 minut. Organizacje powinny starać się zachować czas, który zajmuje poniżej 30 minut, aby upewnić się, że identyfikator Entra firmy Microsoft jest aktualny. Aby monitorować kondycję programu Microsoft Entra Connect, użyj agenta monitorowania kondycji, aby zobaczyć wszelkie problemy z tym procesem. Profil synchronizacji różnicowej obejmuje następujące kroki:
- Importowanie różnicowe na wszystkich łącznikach
- Synchronizacja różnicowa na wszystkich łącznikach
- Eksportowanie we wszystkich łącznikach
Typowy scenariusz synchronizacji różnicowej organizacji przedsiębiorstwa to:
- Usunięto ok. 1% obiektów
- Tworzone są około 1% obiektów
- Zmodyfikowano ok. 5% obiektów
Częstotliwość zmian może się różnić w zależności od tego, jak często organizacja aktualizuje użytkowników w usłudze Active Directory. Na przykład wyższe wskaźniki zmian mogą wystąpić z sezonowością zatrudniania i zmniejszania siły roboczej.
Profil pełnej synchronizacji
Jeśli wprowadzono jakiekolwiek z następujących zmian konfiguracji, wymagany jest cykl pełnej synchronizacji:
- Zwiększono zakres obiektów lub atrybutów, które mają być importowane z połączonych katalogów. Na przykład podczas dodawania domeny lub jednostki organizacyjnej do zakresu importu.
- Wprowadzono zmiany w regułach synchronizacji. Na przykład podczas tworzenia nowej reguły w celu wypełnienia tytułu użytkownika w identyfikatorze Entra firmy Microsoft z extension_attribute3 w usłudze Active Directory. Ta aktualizacja wymaga ponownego zbadania wszystkich istniejących użytkowników przez aparat aprowizacji w celu zaktualizowania tytułów w celu zastosowania zmiany w przyszłości.
Następujące operacje są uwzględniane w cyklu pełnej synchronizacji:
- Pełny import dla wszystkich łączników
- Synchronizacja pełna/delta we wszystkich łącznikach
- Eksportowanie we wszystkich łącznikach
Uwaga
Podczas zbiorczego aktualizowania wielu obiektów w usłudze Active Directory lub Microsoft Entra ID jest wymagane staranne planowanie. Aktualizacje zbiorcze spowodują, że proces synchronizacji różnicowej będzie trwać dłużej podczas importowania, ponieważ wiele obiektów uległo zmianie. Importowanie długie może wystąpić nawet wtedy, gdy aktualizacja zbiorcza nie ma wpływu na proces synchronizacji. Na przykład przypisanie licencji do wielu użytkowników w usłudze Microsoft Entra ID spowoduje długi cykl importowania z identyfikatora Entra firmy Microsoft, ale nie spowoduje żadnych zmian atrybutów w usłudze Active Directory.
Synchronizacja
Środowisko uruchomieniowe procesu synchronizacji ma następujące cechy wydajności:
- Synchronizacja jest pojedyncza wątkowa, co oznacza, że aparat aprowizacji nie wykonuje przetwarzania równoległego profilów uruchamiania połączonych katalogów, obiektów ani atrybutów.
- Czas importowania rośnie liniowo wraz z liczbą synchronizowanych obiektów. Jeśli na przykład importowanie 10 000 obiektów potrwa 10 minut, 20 000 obiektów zajmie około 20 minut na tym samym serwerze.
- Eksport jest również liniowy.
- Synchronizacja będzie rosła wykładniczo na podstawie liczby obiektów z odwołaniami do innych obiektów. Członkostwo w grupach i grupy zagnieżdżone mają główny wpływ na wydajność, ponieważ ich członkowie odwołują się do obiektów użytkowników lub innych grup. Te odwołania należy znaleźć i odwołać się do rzeczywistych obiektów w mv, aby ukończyć cykl synchronizacji.
- Zmiana członka grupy doprowadzi do ponownej oceny wszystkich członków grupy. Jeśli na przykład masz grupę z członkami 50K i zaktualizujesz tylko 1 element członkowski, spowoduje to wyzwolenie synchronizacji wszystkich członków 50K.
Filtrowanie
Rozmiar topologii usługi Active Directory, którą chcesz zaimportować, jest czynnikiem numer jeden wpływającym na wydajność i całkowity czas podejmowania wewnętrznych składników aparatu aprowizacji.
Filtrowanie powinno służyć do zmniejszenia liczby obiektów do zsynchronizowanych obiektów. Uniemożliwi to przetwarzanie i eksportowanie niepotrzebnych obiektów do identyfikatora Entra firmy Microsoft. W kolejności preferencji dostępne są następujące techniki filtrowania:
- Filtrowanie oparte na domenie — użyj tej opcji, aby wybrać określone domeny do synchronizacji z identyfikatorem Entra firmy Microsoft. Podczas wprowadzania zmian w infrastrukturze lokalnej po zainstalowaniu programu Microsoft Entra Connect Sync należy dodać i usunąć domeny z konfiguracji aparatu synchronizacji synchronizacji.
- Filtrowanie jednostek organizacyjnych (OU) — używa jednostek organizacyjnych do określania celu określonych obiektów w domenach usługi Active Directory w celu aprowizacji identyfikatora entra firmy Microsoft. Filtrowanie jednostek organizacyjnych jest drugim zalecanym mechanizmem filtrowania, ponieważ używa prostych zapytań zakresu LDAP do importowania mniejszego podzestawu obiektów z usługi Active Directory.
- Filtrowanie atrybutów dla obiektu — używa wartości atrybutów w obiektach, aby zdecydować, czy określony obiekt w usłudze Active Directory jest aprowizowany w identyfikatorze Entra firmy Microsoft. Filtrowanie atrybutów doskonale nadaje się do dostrajania filtrów, gdy filtrowanie domen i jednostek organizacyjnych nie spełnia określonych wymagań dotyczących filtrowania. Filtrowanie atrybutów nie skraca czasu importowania, ale może skrócić czas synchronizacji i eksportu.
- Filtrowanie oparte na grupach — używa członkostwa w grupach, aby zdecydować, czy obiekty powinny być aprowidowane w identyfikatorze Entra firmy Microsoft. Filtrowanie oparte na grupach jest odpowiednie tylko w przypadku sytuacji testowych i nie jest zalecane w środowisku produkcyjnym ze względu na dodatkowe obciążenie wymagane do sprawdzenia członkostwa w grupie podczas cyklu synchronizacji.
Wiele trwałych obiektów rozłączania w cs usługi Active Directory może powodować dłuższe czasy synchronizacji, ponieważ aparat aprowizacji musi ponownie oszacować każdy obiekt rozłączenia dla możliwego połączenia w cyklu synchronizacji. Aby rozwiązać ten problem, rozważ jedną z następujących rekomendacji:
- Umieść obiekty rozłącznika poza zakresem importowania przy użyciu filtrowania domeny lub jednostki organizacyjnej.
- Project/join the objects to the MV and set the cloudFiltered attribute equal to True, aby zapobiec aprowizacji tych obiektów w microsoft Entra CS.
Uwaga
Użytkownicy mogą się mylić lub mogą wystąpić problemy z uprawnieniami aplikacji, gdy jest filtrowanych zbyt wiele obiektów. Na przykład w hybrydowej implementacji usługi Exchange Online użytkownicy z lokalnymi skrzynkami pocztowymi będą widzieć więcej użytkowników na globalnej liście adresów niż użytkownicy ze skrzynkami pocztowymi w usłudze Exchange Online. W innych przypadkach użytkownik może chcieć udzielić dostępu w aplikacji w chmurze innemu użytkownikowi, który nie jest częścią zakresu filtrowanego zestawu obiektów.
Przepływy atrybutów
Przepływy atrybutów to proces kopiowania lub przekształcania wartości atrybutów obiektów z jednego połączonego katalogu do innego połączonego katalogu. Są one definiowane jako część reguł synchronizacji. Na przykład po zmianie numeru telefonu użytkownika w usłudze Active Directory numer telefonu w usłudze Microsoft Entra ID zostanie zaktualizowany. Organizacje mogą modyfikować przepływy atrybutów w celu skonfigurowania różnych wymagań. Zaleca się skopiowanie istniejących przepływów atrybutów przed ich zmianą.
Proste przekierowania, takie jak przepływanie wartości atrybutu do innego atrybutu, nie ma istotnego wpływu na wydajność. Przykładem przekierowania jest przepływ numeru komórkowego w usłudze Active Directory do numeru telefonu biurowego w usłudze Microsoft Entra ID.
Przekształcanie wartości atrybutów może mieć wpływ na wydajność procesu synchronizacji. Przekształcanie wartości atrybutów obejmuje modyfikowanie, ponowne formatowanie, łączenie lub odejmowanie wartości atrybutów.
Organizacje mogą uniemożliwić przepływ niektórych atrybutów do identyfikatora Entra firmy Microsoft, ale nie wpłynie to na wydajność aparatu aprowizacji.
Uwaga
Nie usuwaj niechcianych przepływów atrybutów w regułach synchronizacji. Zaleca się ich wyłączenie, ponieważ usunięte reguły są tworzone ponownie podczas uaktualnień programu Microsoft Entra Connect.
Microsoft Entra Connect dependency factors (Czynniki zależności programu Microsoft Entra Connect)
Wydajność programu Microsoft Entra Connect zależy od wydajności połączonych katalogów, do których importuje i eksportuje. Na przykład rozmiar usługi Active Directory, który musi zaimportować, lub opóźnienie sieci do usługi Microsoft Entra. Baza danych SQL używana przez aparat aprowizacji ma również wpływ na ogólną wydajność cyklu synchronizacji.
Czynniki usługi Active Directory
Jak wspomniano wcześniej, liczba importowanych obiektów ma znaczący wpływ na wydajność. Wymagania wstępne dotyczące sprzętu i wymagań wstępnych programu Microsoft Entra Connect przedstawiają określone warstwy sprzętowe na podstawie rozmiaru wdrożenia. Program Microsoft Entra Connect obsługuje tylko określone topologie zgodnie z opisem w temacie Topologies for Microsoft Entra Connect (Topologie dla programu Microsoft Entra Connect). Brak optymalizacji wydajności i zaleceń dotyczących nieobsługiwanych topologii.
Upewnij się, że serwer Microsoft Entra Connect spełnia wymagania sprzętowe na podstawie rozmiaru usługi Active Directory, który chcesz zaimportować. Zła lub niska łączność sieciowa między serwerem Microsoft Entra Connect i kontrolerami domeny usługi Active Directory może spowolnić importowanie.
Czynniki identyfikatora entra firmy Microsoft
Usługa Microsoft Entra ID używa ograniczania w celu ochrony usługi w chmurze przed atakami typu "odmowa usługi" (DoS). Obecnie identyfikator Entra firmy Microsoft ma limit ograniczania 7000 zapisów na 5 minut (84 000 na godzinę). Na przykład następujące operacje można ograniczyć:
- Eksportowanie programu Microsoft Entra Connect do identyfikatora entra firmy Microsoft.
- Skrypty programu PowerShell lub aplikacje aktualizujące identyfikator Entra firmy Microsoft bezpośrednio nawet w tle, takie jak dynamiczne grupy członkostwa.
- Użytkownicy aktualizując własne rekordy tożsamości, takie jak rejestrowanie na potrzeby uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła (samoobsługowe resetowanie hasła).
- Operacje w graficznym interfejsie użytkownika.
Zaplanuj zadania wdrażania i konserwacji, aby upewnić się, że cykl synchronizacji programu Microsoft Entra Connect nie ma wpływu na ograniczenia przepustowości. Jeśli na przykład masz dużą falę zatrudniania, w której tworzysz tysiące tożsamości użytkowników, może to spowodować aktualizacje dynamicznych grup członkostwa, przypisań licencjonowania i rejestracji samoobsługowego resetowania hasła. Lepiej jest rozłożyć te zapisy w ciągu kilku godzin lub kilku dni.
Czynniki bazy danych SQL
Rozmiar źródłowej topologii usługi Active Directory będzie mieć wpływ na wydajność bazy danych SQL. Postępuj zgodnie z wymaganiami sprzętowymi bazy danych programu SQL Server i weź pod uwagę następujące zalecenia:
- Organizacje z ponad 100 000 użytkowników mogą zmniejszyć opóźnienia sieciowe, kolokując bazę danych SQL i aparat aprowizacji na tym samym serwerze.
- Protokół nazwanych potoków SQL nie jest obsługiwany, ponieważ wprowadza znaczne opóźnienia w cyklu synchronizacji i powinien zostać wyłączony w Menedżerze konfiguracji programu SQL Server w ramach klientów natywnych SQL i sieci programu SQL Server. Należy pamiętać, że zmiana konfiguracji nazwanych potoków ma zastosowanie tylko po ponownym uruchomieniu bazy danych i usług ADSync.
- Ze względu na wymagania dotyczące wysokiego wejścia i wyjścia dysku (we/wy) procesu synchronizacji należy użyć dysków półprzewodnikowych (SSD) dla bazy danych SQL aparatu aprowizacji w celu uzyskania optymalnych wyników, jeśli nie jest to możliwe, rozważ konfiguracje RAID 0 lub RAID 1.
- Nie rób pełnej synchronizacji z preemptively; powoduje niepotrzebny współczynnik zmian i wolniejsze czasy odpowiedzi.
Podsumowanie
Aby zoptymalizować wydajność implementacji programu Microsoft Entra Connect, należy wziąć pod uwagę następujące zalecenia:
- Użyj zalecanej konfiguracji sprzętu na podstawie rozmiaru implementacji serwera Microsoft Entra Connect.
- Podczas uaktualniania programu Microsoft Entra Connect we wdrożeniach na dużą skalę rozważ użycie metody migracji swing, aby upewnić się, że masz najmniejszy przestój i najlepszą niezawodność.
- Użyj dysków SSD dla bazy danych SQL, aby uzyskać najlepszą wydajność zapisu.
- Tworzenie kopii zapasowej bazy danych ADSync przy użyciu usługi Azure Backup nie jest zalecane.
- Filtruj zakres usługi Active Directory, aby uwzględnić tylko obiekty, które należy aprowizować w identyfikatorze Entra firmy Microsoft, przy użyciu filtrowania domen, jednostek organizacyjnych lub atrybutów.
- Jeśli musisz zmienić domyślne reguły przepływu atrybutów, najpierw skopiuj regułę, a następnie zmień kopię i wyłącz oryginalną regułę. Pamiętaj, aby ponownie uruchomić pełną synchronizację.
- Zaplanuj odpowiedni czas dla początkowego profilu uruchomienia pełnej synchronizacji.
- Staraj się ukończyć cykl synchronizacji różnicowej w ciągu 30 minut. Jeśli profil synchronizacji różnicowej nie zostanie ukończony w ciągu 30 minut, zmodyfikuj domyślną częstotliwość synchronizacji, aby uwzględnić pełny cykl synchronizacji różnicowej.
- Monitoruj kondycję usługi Microsoft Entra Connect Sync w identyfikatorze Entra ID firmy Microsoft.
Następne kroki
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.