Importar e exportar definições de configuração do Microsoft Entra Connect
As implantações do Microsoft Entra Connect variam desde uma instalação de modo Expresso de uma só floresta até implantações complexas que são sincronizadas em várias florestas usando regras de sincronização personalizadas. Devido ao grande número de opções e mecanismos de configuração, é essencial entender quais configurações estão em vigor, e ser capaz de implantar rapidamente um servidor com uma configuração idêntica. Esse recurso pode catalogar as configurações de um determinado servidor de sincronização e importá-las para uma nova implantação. Instantâneos de configurações de sincronização diferentes podem ser comparados para visualizar facilmente as diferenças entre dois servidores ou o mesmo servidor ao longo do tempo.
Cada vez que a configuração é alterada no assistente de Microsoft Entra Connect, um novo arquivo de configurações JSON com carimbo de data/hora é exportado automaticamente para%ProgramData%\AADConnect. O nome do arquivo de configurações está no formato Applied-SynchronizationPolicy-*.JSON, no qual a última parte do nome do arquivo é um carimbo de data/hora.
Importante
Somente as alterações feitas pelo Microsoft Entra Connect são exportadas automaticamente. Todas as alterações feitas usando o PowerShell, o Synchronization Service Manager ou o editor de regras de sincronização devem ser exportadas sob demanda conforme necessário para manter uma cópia atualizada. A exportação sob demanda também pode ser usada para fazer uma cópia das configurações em um local seguro para fins de recuperação de desastre.
Observação
Esse recurso não poderá ser usado se a instalação do Microsoft Entra Connect tiver sido modificada para incluir o conector G-SQL ou o conector G-LDAP.
Observação
Esse recurso não pode ser combinado com o uso de um banco de dados do ADSync existente. O uso da configuração de importação/exportação e do banco de dados existente são mutuamente exclusivos.
Exportar configurações do Microsoft Entra Connect
Para exibir um resumo de suas definições de configuração, abra a ferramenta Microsoft Entra Connect e selecione a tarefa adicional denominada Exibir ou exportar a configuração atual. Um resumo rápido de suas configurações é mostrado junto com a capacidade de exportar a configuração completa do servidor.
Por padrão, as configurações são exportadas para %ProgramData%\AADConnect. Você também pode optar por salvar as configurações em um local protegido para garantir a disponibilidade se ocorrer um desastre. As configurações são exportadas usando o formato de arquivo JSON e não devem ser criadas ou editadas manualmente para garantir a consistência lógica. A importação de um arquivo criado manualmente ou editado não tem suporte e pode levar a resultados inesperados.
Importar configurações do Microsoft Entra Connect
Para importar configurações exportadas anteriormente:
Instalar Microsoft Entra Connect em um novo servidor.
Selecione a opção Personalizar após a página de boas-vindas .
Selecione Importar as configurações de sincronização Procure o arquivo de configurações JSON exportado anteriormente.
Selecione Instalar.
Observação
Substitua as configurações nesta página, como o uso de SQL Server em vez de LocalDB ou o uso de uma conta de serviço existente em vez de uma VSA padrão. Essas configurações não são importadas do arquivo de definições de configuração. Eles estão lá para fins de comparação e informações.
Observação
Não há suporte para a modificação do arquivo JSON exportado com o fim de alterar a configuração
Experiência de instalação de importação
A experiência de instalação de importação é mantida intencionalmente simples com entradas mínimas do usuário para fornecer facilmente uma reprodução de um servidor existente.
Aqui estão as únicas alterações que podem ser feitas durante a experiência de instalação. Todas as outras alterações podem ser feitas após a instalação pelo assistente do Microsoft Entra Connect:
- Credenciais do Microsoft Entra: o nome da conta para o administrador global do Azure usado para configurar o servidor original é sugerido por padrão. Ele deve ser alterado se você quiser sincronizar informações em um novo diretório.
- Credenciais do usuário: as opções de logon configuradas para o servidor original são selecionadas por padrão e solicitam automaticamente as credenciais ou outras informações necessárias durante a configuração. Em casos raros, pode haver a necessidade de configurar um servidor com opções diferentes para evitar a alteração do comportamento do servidor ativo. Caso contrário, selecione Avançar para usar as mesmas configurações.
- Credenciais de diretório local: para cada diretório local incluído nas configurações de sincronização, você deve fornecer credenciais para criar uma conta de sincronização ou fornecer uma conta de sincronização personalizada pré-criada. Esse procedimento é idêntico à experiência de instalação limpa, com a exceção de que você não pode adicionar ou remover diretórios.
- Opções de configuração: como com uma instalação limpa, você pode optar por definir as configurações iniciais para se iniciar a sincronização automática ou habilitar o modo de preparo. A principal diferença é que o modo de preparo é intencionalmente habilitado por padrão para permitir a comparação dos resultados de configuração e sincronização antes de exportar ativamente os resultados para o Azure.
Observação
Somente um servidor de sincronização pode estar na função primária e exportar ativamente as alterações de configuração para o Azure. Todos os outros servidores devem ser colocados no modo de preparo.
Como migrar configurações de um servidor existente
Se um servidor existente não oferecer suporte ao gerenciamento de configurações, você poderá optar por atualizar o servidor in-loco ou migrar as configurações para uso em um novo servidor de preparo.
A migração requer a execução de um script do PowerShell que extrai as configurações existentes para uso em uma nova instalação. Use esse método para catalogar as configurações do servidor existente e aplicá-las a um servidor de preparo recém-instalado. A comparação das configurações do servidor original com um servidor recém-criado visualizará rapidamente as alterações entre os servidores. Como sempre, siga o processo de certificação da sua organização para garantir que nenhuma configuração adicional seja necessária.
Processo de migração
Para migrar as configurações:
Inicie AzureADConnect.msi no novo servidor de preparo e pare na página de boas-vindas do Microsoft Entra Connect.
Copie MigrateSettings.ps1 do diretório Microsoft Entra Connect\Tools para um local no servidor existente. Um exemplo é C:\setup, no qual a setup é um diretório que foi criado no servidor existente.
Observação
Se você vir uma mensagem: "Não é possível encontrar um parâmetro posicional que aceite o argumento True.", como abaixo:
Edite o arquivo MigrateSettings.ps1, remova $truee execute o script:
Execute o script conforme mostrado aqui e salve todo o diretório de configuração de servidor de nível inferior. Copie esse diretório para o novo servidor de preparo. Você deve copiar toda a pasta Exported-ServerConfiguration- * para o novo servidor.
Inicie o Microsoft Entra Connect clicando duas vezes no ícone na área de trabalho. Aceite os Termos de Licença para Software Microsoft e, na próxima página, selecione Personalizar.
Selecione a opção Importar configurações de sincronização. Selecione Procurar para procurar a pasta copiada Exported-ServerConfiguration-*. Selecione o MigratedPolicy.json para importar as configurações migradas.
Verificação pós-instalação
Comparar o arquivo de configurações originalmente importado com o arquivo de configurações exportado do novo servidor implantado é uma etapa essencial na compreensão de quaisquer diferenças entre a implantação pretendida e o resultado obtido. Usar seu aplicativo de comparação de texto favorito lado a lado produz uma visualização instantânea que realça rapidamente as alterações desejadas ou acidentais.
Embora muitas das etapas de configuração manual já sejam eliminadas, você ainda deve seguir o processo de certificação da sua organização para garantir que nenhuma configuração adicional seja necessária. Essa configuração poderá ocorrer se você usar configurações avançadas, que não são capturadas atualmente nesta versão do gerenciamento de configurações.
Aqui estão as limitações conhecidas:
- Regras de sincronização: a precedência para uma regra personalizada deve estar no intervalo reservado de 0 a 99 para evitar conflitos com as regras padrão da Microsoft. Colocar uma regra personalizada fora do intervalo reservado pode fazer com que ela seja deslocada conforme as regras padrão forem sendo adicionadas à configuração. Um problema semelhante ocorrerá se sua configuração contiver regras padrão modificadas. A modificação de uma regra padrão não é recomendada e o posicionamento da regra provavelmente estará incorreto.
- Write-back do dispositivo: essas configurações são catalogadas. Atualmente, eles não são aplicados durante a configuração. Se o write-back de dispositivo tiver sido habilitado para o servidor original, você deverá configurar manualmente o recurso no servidor implantado recentemente.
- Tipos de objeto sincronizados: embora seja possível restringir a lista de tipos de objetos sincronizados (como usuários, contatos e grupos) usando o Synchronization Service Manager, atualmente, não há suporte para esse recurso por meio das configurações de sincronização. Depois de concluir a instalação, você deve reaplicar manualmente a configuração avançada.
- Atributos Selecionados: embora seja possível restringir a lista de atributos sincronizados (como atributos de extensão) usando o Gerenciador de Serviços de Sincronização, no momento, esse recurso não tem suporte pelas configurações de sincronização. Depois de concluir a instalação, você deve reaplicar manualmente a configuração avançada.
- Perfis de execução personalizados: embora seja possível modificar o conjunto padrão de perfis de execução usando o Synchronization Service Manager, atualmente, não há suporte para esse recurso por meio das configurações de sincronização. Depois de concluir a instalação, você deve reaplicar manualmente a configuração avançada.
- Configurando a hierarquia de provisionamento: esse recurso avançado do Synchronization Service Manager não tem suporte por meio de configurações de sincronização. Ele deve ser reconfigurado manualmente após a conclusão da implantação inicial.
- Serviços de Federação do Active Directory (AD FS) e autenticação PingFederate: os métodos de logon associados a esses recursos de autenticação são selecionados automaticamente. Você deve fornecer todos os outros parâmetros de configuração necessários de forma interativa.
- Uma regra de sincronização personalizada desabilitada será importada como habilitada: uma regra de sincronização personalizada desabilitada é importada como habilitada. Certifique-se de desabilitá-la no novo servidor também.