Compartilhar via

Instalar o Microsoft Entra Connect usando um banco de dados ADSync existente

  • Artigo

O Microsoft Entra Connect requer um banco de dados do SQL Server para armazenar dados. Você pode usar o SQL Server 2019 Express LocalDB padrão instalado com o Microsoft Entra Connect ou usar sua própria versão completa do SQL. Anteriormente, quando você instalou o Microsoft Entra Connect, um novo banco de dados chamado ADSync sempre foi criado. Com o Microsoft Entra Connect versão 1.1.613.0 (ou posterior), você pode instalar o Microsoft Entra Connect vinculando-o a um banco de dados ADSync existente.

Benefícios de usar um banco de dados ADSync existente

Apontando para um banco de dados ADSync existente:

  • Com exceção das informações de credenciais, a configuração de sincronização armazenada no banco de dados ADSync é recuperada e usada automaticamente durante a instalação. Isso inclui regras de sincronização personalizadas, conectores, filtragem e configuração de recursos opcionais.
  • Todos os dados de identidade (associados com espaços de conector e metaverso) e cookies de sincronização armazenados no banco de dados ADSync também são recuperados. O servidor do Microsoft Entra Connect recém-instalado pode continuar a sincronizar de onde o servidor anterior do Microsoft Entra Connect parou, em vez de ter a necessidade de executar uma sincronização completa.

Cenários em que o uso de um banco de dados ADSync existente é benéfico

Esses benefícios são úteis nos seguintes cenários:

  • Você tem uma implantação existente do Microsoft Entra Connect. O servidor existente do Microsoft Entra Connect não está mais funcionando, mas o SQL Server que contém o banco de dados ADSync ainda está funcionando. Você pode instalar um novo servidor do Microsoft Entra Connect e apontá-lo para o banco de dados ADSync existente.
  • Você tem uma implantação existente do Microsoft Entra Connect. O SQL Server que contém o banco de dados ADSync não está mais funcionando. No entanto, você tem um backup recente do banco de dados. Você pode restaurar o banco de dados ADSync para um novo SQL Server primeiro. Depois disso, você pode instalar um novo servidor do Microsoft Entra Connect e apontá-lo para o banco de dados ADSync restaurado.
  • Você tem uma implantação existente do Microsoft Entra Connect que está usando o LocalDB. Devido ao limite de 10 GB imposto pelo LocalDB, você gostaria de migrar para o SQL completo. Você pode fazer backup do banco de dados ADSync do LocalDB e restaurá-lo para um SQL Server. Depois disso, você pode reinstalar um novo servidor do Microsoft Entra Connect e apontá-lo para o banco de dados ADSync restaurado.
  • Você está tentando configurar um servidor de preparo e deseja garantir que sua configuração corresponda à do servidor ativo atual. Você pode fazer backup do banco de dados ADSync e restaurá-lo para outro SQL Server. Depois disso, você pode reinstalar um novo servidor do Microsoft Entra Connect e apontá-lo para o banco de dados ADSync restaurado.

Informações de pré-requisito

Notas importantes para anotar antes de continuar:

  • Certifique-se de revisar os pré-requisitos para instalar o Microsoft Entra Connect em "Hardware e pré-requisitos" e "conta e permissões exigidas para instalar o Microsoft Entra Connect". As permissões necessárias para instalar o Microsoft Entra Connect usando o modo "usar banco de dados existente" são iguais à instalação "personalizada".
  • A implantação do Microsoft Entra Connect em um banco de dados ADSync existente só tem suporte com SQL completo. Não há suporte para ele com o SQL Express LocalDB. Se você tiver um banco de dados ADSync existente no LocalDB que deseja usar, primeiro faça backup do Banco de Dados ADSync (LocalDB). Em seguida, restaure-o para o SQL completo. Em seguida, você pode implantar o Microsoft Entra Connect no banco de dados restaurado usando esse método.
  • A versão do Microsoft Entra Connect usada para instalação deve atender aos seguintes critérios:
    • 1.1.613.0 ou superior, AND
    • Igual ou superior à versão do Microsoft Entra Connect usada pela última vez com o banco de dados ADSync. Se a versão do Microsoft Entra Connect usada para instalação for maior do que a versão usada pela última vez com o banco de dados ADSync, uma sincronização completa poderá ser necessária. A sincronização completa será necessária se houver alterações de regra de esquema ou sincronização entre as duas versões.
  • O banco de dados ADSync usado deve conter um estado de sincronização relativamente recente. A última atividade de sincronização com o banco de dados ADSync existente deve ter ocorrido nas últimas três semanas, caso contrário, uma importação completa do Microsoft Entra ID é necessária para atualizar o carimbo d'água do diretório.
  • Ao instalar o Microsoft Entra Connect usando o método "usar banco de dados existente", o método de entrada configurado no servidor anterior do Microsoft Entra Connect não é preservado. Além disso, você não pode configurar o método de entrada durante a instalação. Você só pode configurar o método de entrada após a conclusão da instalação.
  • Você não pode ter vários servidores do Microsoft Entra Connect compartilhando o mesmo banco de dados ADSync. O método "usar banco de dados existente" permite reutilizar um banco de dados ADSync existente com um novo servidor Microsoft Entra Connect. Ele não dá suporte ao compartilhamento.

Etapas para instalar o Microsoft Entra Connect com o modo "usar banco de dados existente"

  1. Baixe o instalador do Microsoft Entra Connect (AzureADConnect.MSI) no servidor Windows. Selecione duas vezes o instalador do Microsoft Entra Connect para começar a instalar o Microsoft Entra Connect.
  2. Após a conclusão da instalação do MSI, o assistente do Microsoft Entra Connect começa com a configuração do modo Express. Feche a tela selecionando o ícone Sair. Captura de tela que mostra a página
  3. Inicie um novo prompt de comando ou sessão do PowerShell. Navegue até a pasta "C:\Arquivos de Programas\Microsoft Entra Connect". Executar o comando .\AzureADConnect.exe /useexistingdatabase para iniciar o assistente do Microsoft Entra Connect no modo de instalação "Usar banco de dados existente".

Nota

Use a opção /UseExistingDatabase somente quando o banco de dados já contiver dados de uma instalação anterior do Microsoft Entra Connect. Por exemplo, quando você está movendo de um banco de dados local para um banco de dados completo do SQL Server ou quando o servidor do Microsoft Entra Connect foi recriado e você restaurou um backup SQL do banco de dados ADSync de uma instalação anterior do Microsoft Entra Connect. Se o banco de dados estiver vazio, ou seja, ele não conterá dados de uma instalação anterior do Microsoft Entra Connect, ignore esta etapa.

PowerShell

  1. Você é recebido com a tela Bem-vindo ao Microsoft Entra Connect. Depois de concordar com os termos de licença e o aviso de privacidade, selecione Continuar. Captura de tela que mostra a página

  2. Na tela Instalar componentes necessários, a opção Usar um servidor SQL existente está habilitada. Especifique o nome do SQL Server que está hospedando o banco de dados ADSync. Se a instância do mecanismo SQL usada para hospedar o banco de dados ADSync não for a instância padrão no SQL Server, você deverá especificar o nome da instância do mecanismo SQL. Além disso, se a pesquisa do SQL não está habilitada, você também deve especificar o número da porta da instância do mecanismo SQL. Por exemplo:
    Captura de tela que mostra a página

  3. Na tela Conectar-se ao Microsoft Entra ID, forneça as credenciais de um Administrador de Identidade Híbrida para o diretório no Microsoft Entra. A recomendação é usar uma conta no domínio de onmicrosoft.com padrão. Lembre-se de que essa conta é usada apenas para criar uma conta de serviço no Microsoft Entra ID e não é usada após a conclusão do assistente. Conectar

  4. Na tela Conectar seus diretórios, a floresta do AD existente configurada para sincronização de diretório está listada com um ícone de cruz vermelha ao lado dela. Para sincronizar as alterações de uma floresta AD local, é necessária uma conta do AD DS. O assistente do Microsoft Entra Connect não consegue recuperar as credenciais da conta do AD DS armazenada no banco de dados ADSync. Isso ocorre porque as credenciais são criptografadas e só podem ser descriptografadas pelo servidor anterior do Microsoft Entra Connect. Selecione Alterar Credenciais para especificar a conta do AD DS para a floresta do AD. Diretórios Diretórios

  5. Na caixa de diálogo pop-up, você pode (i) fornecer uma credencial de Administrador Corporativo e permitir que o Microsoft Entra Connect crie a conta do AD DS para você ou (ii) criar a conta do AD DS por conta própria e fornecer sua credencial ao Microsoft Entra Connect. Depois de selecionar uma opção e fornecer as credenciais necessárias, selecione OK para fechar a caixa de diálogo pop-up. Captura de tela mostrando a caixa de diálogo pop-up

  6. Depois que as credenciais são fornecidas, o ícone de cruz vermelha é substituído por um ícone de tique verde. Selecione Avançar. Captura de tela que mostra a página

  7. Na tela Pronto para configurar, selecione Instalar. bem-vindo

  8. Depois que a instalação for concluída, o servidor do Microsoft Entra Connect será habilitado automaticamente para o Modo de Preparo. É recomendável que você examine a configuração do servidor e as exportações pendentes para alterações inesperadas antes de desabilitar o Modo de Preparo.

Tarefas pós-instalação

Ao restaurar um backup de banco de dados criado por uma versão do Microsoft Entra Connect anterior 1.2.65.0, o servidor de preparo seleciona automaticamente um método de entrada de Não configurar. Suas preferências de write-back de senha e sincronização de hash de senha serão restauradas, porém, você deve alterar depois o método de entrada para corresponder às outras políticas em vigor para o servidor de sincronização do Active Directory. A falha ao concluir essas etapas pode impedir que os usuários entrem caso esse servidor se torne ativo.

Use a tabela a seguir para verificar as etapas adicionais necessárias.

Característica Passos
Sincronização de Senha com Hash as configurações de sincronização de hash de senha e de write-back de senha são totalmente restauradas para as versões do Microsoft Entra Connect iniciadas com 1.2.65.0. Se estiver restaurando usando uma versão mais antiga do Microsoft Entra Connect, examine as configurações de opção de sincronização desses recursos para garantir que eles correspondam ao servidor de sincronização ativo. Nenhuma outra etapa de configuração deve ser necessária.
Federação com o AD FS As autenticações do Azure continuam a usar a política do AD FS configurada para o servidor de sincronização ativo. Se você usar o Microsoft Entra Connect para gerenciar seu farm do AD FS, opcionalmente, poderá alterar o método de entrada para a federação do AD FS. Isso prepara o servidor em espera para se tornar a instância de sincronização ativa. Se as opções de dispositivo estiverem habilitadas no servidor de sincronização ativo, configure essas opções neste servidor executando a tarefa "Configurar opções de dispositivo".
Autenticação de passagem e logon único da área de trabalho Atualize o método de entrada para corresponder à configuração em seu servidor de sincronização ativo. Se você não seguir este procedimento antes de promover o servidor para primário, a autenticação de passagem e o logon único contínuo serão desabilitados. Além disso, seu locatário poderá ser bloqueado se você não tiver a sincronização de hash de senha como uma opção de entrada de backup. Quando você habilita a autenticação de passagem no modo de preparo, um novo agente de autenticação será instalado, registrado e executado como um agente de alta disponibilidade que aceitará solicitações de entrada.
Federação com PingFederate As autenticações do Azure continuam a usar a política PingFederate configurada para o servidor de sincronização ativo. Opcionalmente, você pode alterar o método de entrada para PingFederate em preparação para que o servidor em espera se torne a instância de sincronização ativa. Essa etapa pode ser adiada até que você precise federar domínios adicionais com PingFederate.

Próximas etapas