Поделиться через

Синхронизация Microsoft Entra Connect: планировщик

  • Статья

В этом разделе описывается встроенный планировщик в Microsoft Entra Connect Sync (подсистема синхронизации).

Эта функция появилась с сборкой 1.1.105.0 (выпущена за февраль 2016 г.).

Обзор

Microsoft Entra Connect Sync синхронизирует изменения, происходящие в локальном каталоге, с помощью планировщика. Существует два процесса планировщика, один для синхронизации паролей и другой для задач синхронизации объектов и атрибутов и обслуживания. В этом разделе рассматриваются последние.

В предыдущих выпусках планировщик объектов и атрибутов был внешним для подсистемы синхронизации. Он использовал планировщик задач Windows или отдельную службу Windows для активации процесса синхронизации. Планировщик встроен в подсистему синхронизации начиная с выпуска 1.1 и допускает некоторую настройку. Новая частота синхронизации по умолчанию составляет 30 минут.

Планировщик отвечает за две задачи:

  • цикл синхронизации. Процесс импорта, синхронизации и экспорта изменений.
  • Задачи обслуживания. Обновление ключей и сертификатов для сброса пароля и службы регистрации устройств (DRS). Очистка старых записей в журнале операций.

Планировщик всегда работает, но его можно настроить только для выполнения одной или ни одной из этих задач. Например, если у вас есть собственный процесс цикла синхронизации, вы можете отключить эту задачу в планировщике, но по-прежнему запускать задачу по техническому обслуживанию.

Важный

По умолчанию выполняется цикл синхронизации каждые 30 минут. Если вы изменили цикл синхронизации, необходимо убедиться, что цикл синхронизации выполняется по крайней мере один раз в 7 дней.

  • Разностная синхронизация должна выполняться не позднее 7 дней с момента последней разностной синхронизации.
  • Разностная синхронизация (после полной синхронизации) должна выполняться в течение 7 дней с момента завершения последней полной синхронизации.

Сбой этого может привести к проблемам синхронизации, которые потребуют выполнения полной синхронизации для устранения. Это также относится к серверам в промежуточном режиме.

Настройка планировщика

Чтобы просмотреть текущие параметры конфигурации, перейдите в PowerShell и запустите Get-ADSyncScheduler. В нем показано примерно следующее изображение:

GetSyncScheduler

Если вы видите, команда синхронизации или командлет недоступны при запуске этого командлета, модуль PowerShell не загружается. Эта проблема может произойти, если вы запускаете Microsoft Entra Connect на контроллере домена или на сервере с более высоким уровнем ограничений PowerShell, чем параметры по умолчанию. Если вы видите эту ошибку, запустите Import-Module ADSync, чтобы сделать командлет доступным.

  • AllowedSyncCycleInterval. Короткий интервал времени между циклами синхронизации, разрешенный идентификатором Microsoft Entra. Нельзя синхронизировать чаще, чем позволяет этот параметр, и при этом получать поддержку.
  • CurrentlyEffectiveSyncCycleInterval. Расписание в настоящее время действует. Оно имеет то же значение, что и CustomizedSyncInterval (если задано), при условии, что оно не используется чаще, чем AllowedSyncInterval. Если вы используете сборку до версии 1.1.281 и измените CustomizedSyncCycleInterval, это изменение вступает в силу после следующего цикла синхронизации. Начиная со сборки 1.1.281 изменения вступают в силу немедленно.
  • ИндивидуальнаяSyncCycleInterval. Если вы хотите, чтобы планировщик выполнялся на любой другой частоте, отличной от 30 минут по умолчанию, настройте этот параметр. На предыдущем рисунке планировщик настроен на выполнение каждый час. Если для этого параметра задано значение ниже AllowedSyncInterval, то используется последний параметр.
  • NextSyncCyclePolicyType. Дельта или начальная. Определяет, должен ли следующий запуск обрабатывать только разностные изменения или если следующий запуск должен выполнить полный импорт и синхронизацию. Последний также будет повторно обрабатывать любые новые или измененные правила.
  • NextSyncCycleStartTimeInUTC. При следующем запуске планировщика начнется новый цикл синхронизации.
  • PurgeRunHistoryInterval. Журналы временных операций должны храниться. Эти журналы можно проверить в диспетчере служб синхронизации. По умолчанию эти журналы хранятся в течение 7 дней.
  • SyncCycleEnabled. Указывает, выполняет ли планировщик процессы импорта, синхронизации и экспорта в рамках своей операции.
  • MaintenanceEnabled. Показывает, включен ли процесс обслуживания. Он обновляет сертификаты и ключи и очищает журнал операций.
  • StagingModeEnabled. Отображает, активирован ли режим тестирования. Если этот параметр включен, он предотвращает запуск экспорта, но импорт и синхронизация всё равно выполняются.
  • SchedulerSuspended. Установите параметр Connect во время обновления, чтобы временно заблокировать запуск планировщика.

Некоторые из этих параметров можно изменить с помощью Set-ADSyncScheduler. Можно изменить следующие параметры:

  • НастраиваемыйИнтервалЦиклаСинхронизации
  • ТипПолитикиСледующегоЦиклаСинхронизации
  • PurgeRunHistoryInterval
  • СинхронизацияЦиклаВключена
  • Техническое обслуживание включено

В предыдущих сборках Microsoft Entra Connect параметр isStagingModeEnabled был доступен в Set-ADSyncScheduler. Для этого свойства установка не поддерживается. Свойство SchedulerSuspended следует изменить только с помощью Connect. Это не поддерживается для настройки напрямую с помощью PowerShell.

Конфигурация планировщика хранится в идентификаторе Microsoft Entra. Если у вас есть промежуточный сервер, все изменения на основном сервере также влияют на промежуточный сервер (за исключением IsStagingModeEnabled).

НастраиваемыйИнтервалСинхронизации

Синтаксис: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - days, HH - часы, мм - минуты, ss - секунды

Пример: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Изменяет планировщик, чтобы он запускался каждые 3 часа.

Пример: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Изменения изменяют планировщик на ежедневное выполнение.

Отключите планировщик

Если необходимо внести изменения в конфигурацию, необходимо отключить планировщик. Например, если настроить фильтрацию или внести изменения в правила синхронизации.

Чтобы отключить планировщик, выполните Set-ADSyncScheduler -SyncCycleEnabled $false.

Отключить планировщик

При внесении изменений не забудьте снова включить планировщик с Set-ADSyncScheduler -SyncCycleEnabled $true.

Запуск планировщика

Планировщик по умолчанию выполняется каждые 30 минут. В некоторых случаях может потребоваться запустить цикл синхронизации между запланированными циклами или запустить другой тип.

Цикл дельта-синхронизации

Цикл разностной синхронизации включает следующие действия.

  • Разностный импорт во всех соединителях
  • Дельта синхронизация на всех коннекторах
  • Экспорт через все соединители

Полный цикл синхронизации

Полный цикл синхронизации включает следующие действия.

  • Полный импорт для всех соединителей
  • Полная синхронизация для всех соединителей
  • Экспорт через все соединители

Возможно, у вас есть срочные изменения, которые должны быть синхронизированы немедленно, поэтому вам нужно вручную запустить цикл.

Если необходимо вручную запустить цикл синхронизации, то из PowerShell запустите Start-ADSyncSyncCycle -PolicyType Delta.

Чтобы инициировать полный цикл синхронизации, выполните Start-ADSyncSyncCycle -PolicyType Initial из запроса PowerShell.

Выполнение полного цикла синхронизации может занять очень много времени, прочитайте следующий раздел, чтобы прочитать, как оптимизировать этот процесс.

Шаги синхронизации, необходимые для различных изменений конфигурации

Различные изменения конфигурации требуют различных шагов синхронизации, чтобы убедиться, что изменения правильно применяются ко всем объектам.

  • Добавлены дополнительные объекты или атрибуты, импортируемые из исходного каталога (путем добавления или изменения правил синхронизации)
    • Необходим полный импорт для этого исходного каталога в коннекторе.
  • Внесены изменения в правила синхронизации
    • Для измененных правил синхронизации требуется полная синхронизация соединителя.
  • Изменена фильтрация , в результате чего будет включено другое количество объектов.
    • Для каждого соединителя AD требуется полный импорт. Исключение составляет случай, если вы используете фильтрацию на основе атрибутов, которые уже импортируются в подсистему синхронизации.

Настройка цикла синхронизации включает правильное сочетание шагов разностной и полной синхронизации.

Чтобы избежать выполнения полного цикла синхронизации, можно пометить определенные соединители для выполнения полного шага с помощью следующих командлетов.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Пример: Если вы внесли изменения в правила синхронизации для соединителя «AD Forest A», которые не требуют новых импортированных атрибутов, выполните следующие командлеты, чтобы запустить цикл разностной синхронизации, включающий также шаг полной синхронизации для этого соединителя.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Например, если вы внесли изменения в правила синхронизации для соединителя "AD Forest A", чтобы теперь требовался импорт нового атрибута, выполните следующие командлеты для запуска цикла разностной синхронизации, который также включает полное выполнение этапа импорта и полной синхронизации для данного соединителя.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Остановка планировщика

Если планировщик в настоящее время выполняет цикл синхронизации, может потребоваться остановить его. Например, если запустить мастер установки и вы получите следующую ошибку:

снимок экрана: не удается изменить сообщение об ошибке конфигурации.

При выполнении цикла синхронизации невозможно внести изменения в конфигурацию. Вы можете подождать, пока планировщик завершит процесс, но вы также можете остановить его, чтобы внести изменения немедленно. Остановка текущего цикла не является вредной, и ожидающие изменения обрабатываются при следующем запуске.

  1. Начните с того, чтобы планировщик остановил текущий цикл с помощью командлета PowerShell Stop-ADSyncSyncCycle.

  2. Если вы используете версию сборки ранее 1.1.281, то остановка планировщика не останавливает текущий соединитель от выполнения текущей задачи. Чтобы принудительно остановить соединитель, выполните следующие действия:

    снимок экрана показывает диспетчер службы синхронизации с выбранными соединителями и запущенный соединитель, выделенный с выбранной опцией

    • Запустите службу синхронизации из меню "Пуск". Перейдите к соединителям, выделите соединитель с состоянием работаети выберите остановить в меню "Действия".

Планировщик по-прежнему активен и запускается снова при следующей возможности.

Настраиваемый планировщик

Командлеты, описанные в этом разделе, доступны только в сборке 1.1.130.0 или позже.

Если встроенный планировщик не соответствует вашим требованиям, можно запланировать соединители с помощью PowerShell.

Invoke-ADSyncRunProfile

Можно создать профиль для соединителя следующим образом:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Имена для названием соединителей и названий профилей запуска можно найти в пользовательском интерфейсе Synchronization Service Manager.

Вызов профиля запуска

Командлет Invoke-ADSyncRunProfile синхронен, то есть он не возвращает управление, пока коннектор не завершит выполнение операции успешно или с ошибкой.

При планировании соединителей рекомендуется запланировать их в следующем порядке:

  1. (Full/Delta) Импорт из локальных каталогов, таких как Active Directory
  2. (Full/Delta) Импорт из идентификатора Microsoft Entra
  3. (Full/Delta) Синхронизация из локальных каталогов, таких как Active Directory
  4. (Full/Delta) Синхронизация с идентификатором Microsoft Entra
  5. Экспорт в Microsoft Entra ID
  6. Экспорт в локальные каталоги, такие как Active Directory

Этот порядок описывает, как встроенный планировщик запускает коннекторы.

Get-ADSyncConnectorRunStatus

Вы также можете отслеживать подсистему синхронизации, чтобы узнать, занята ли она или неактивна. Этот командлет возвращает пустой результат, если механизм синхронизации неактивен и не выполняет коннектор. Если соединитель запущен, он возвращает имя соединителя.

Get-ADSyncConnectorRunStatus

Статус работы соединителя
На рисунке выше первая строка находится в состоянии, в котором подсистема синхронизации находится в состоянии простоя. Вторая строка с момента, когда работает соединитель Microsoft Entra.

Мастер установки и планировщик

Если вы запускаете мастер установки, то планировщик временно приостанавливается. Это происходит потому, что предполагается, что вы вносите изменения в конфигурацию, и эти параметры нельзя применить, если подсистема синхронизации активно работает. По этой причине не закрывайте мастер установки, так как он останавливает обработчик синхронизации от выполнения каких-либо действий синхронизации.

Дальнейшие действия

Дополнительные сведения о конфигурации синхронизации Microsoft Entra Connect .

Узнайте больше о интеграции ваших локальных идентификаций с Microsoft Entra ID.