Поделиться через

Факторы, влияющие на производительность Microsoft Entra Connect

  • Статья

Microsoft Entra Connect синхронизирует Active Directory с идентификатором Microsoft Entra. Этот сервер является ключевым элементом для переноса учётных записей пользователей в облако. Основными факторами, влияющими на производительность Microsoft Entra Connect, являются:

Фактор проектирования Определение
Топология Распределением конечных точек и компонентов в сети должно управляться Microsoft Entra Connect.
Масштаб Количество объектов, таких как пользователи, группы и организационные единицы, управляемые Microsoft Entra Connect.
Оборудование Оборудование (физическое или виртуальное) для Microsoft Entra Connect и производительность, зависящая от каждого компонента оборудования, включая ЦП, память, сеть и конфигурацию жесткого диска.
Настройка Как Microsoft Entra Connect обрабатывает каталоги и сведения.
Загрузка Частота изменений объектов. Нагрузки могут меняться в течение часа, дня или недели. В зависимости от компонента может потребоваться разработка с учетом пиковой или средней нагрузки.

Цель этого документа — описать факторы, влияющие на производительность подсистемы подготовки Microsoft Entra Connect. Крупные или сложные организации (организации, подготавливающие более 100 000 объектов), могут использовать рекомендации для оптимизации реализации Microsoft Entra Connect, если они испытывают какие-либо проблемы с производительностью, описанные здесь. Другие компоненты Microsoft Entra Connect, такие как Microsoft Entra Connect Health и агенты, не рассматриваются здесь.

Внимание

Корпорация Майкрософт не поддерживает изменение или эксплуатацию Microsoft Entra Connect за пределами действий, которые официально документированы. Любое из этих действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Connect. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.

Факторы компонентов Microsoft Entra Connect

На следующей схеме показана высокоуровневая архитектура модуля управления, подключенного к одному лесу, хотя поддерживается подключение к нескольким лесам. В этой архитектуре показано, как различные компоненты взаимодействуют друг с другом.

На схеме показано, как взаимодействуют подключенные каталоги и механизм подготовки Microsoft Entra Connect, включая пространство соединителей и компоненты метавселенной в базе данных SQL.

Модуль подготовки подключается к каждому лесу Active Directory и к идентификатору Microsoft Entra. Процесс считывания информации с каждого каталога называется "импорт". Экспорт относится к обновлению каталогов из модуля подготовки. Синхронизация оценивает правила, согласно которым объекты перемещаются внутри движка обеспечения. Дополнительные сведения см. в статье Microsoft Entra Connect Sync: общие сведения об архитектуре.

Microsoft Entra Connect использует следующие промежуточные области, правила и процессы, чтобы разрешить синхронизацию с Active Directory с идентификатором Microsoft Entra:

  • Пространство соединителя (CS) — объекты из каждого подключенного каталога (CD), фактических каталогов, сначала помещаются здесь на промежуточное хранение, прежде чем их обработает модуль управления ресурсами. Идентификатор Microsoft Entra ID имеет свою собственную CS, и каждый лес, с которым вы устанавливаете соединение, также имеет свою собственную CS.
  • Метавселенная — объекты, которые необходимо синхронизировать, создаются здесь на основе правил синхронизации. Объекты должны существовать в метавселенной, прежде чем они могут заполнить объекты и атрибуты в других подключенных каталогах. Есть только один MV.
  • правила синхронизации. Они решают, какие объекты создаются (проецируются) или подключены (присоединены) к объектам в MV. Правила синхронизации также определяют, какие значения атрибутов копируются или преобразуются из каталогов и в них.
  • Профили выполнения — объединяет в пакеты этапы процесса копирования объектов и значений их атрибутов в соответствии с правилами синхронизации между буферными зонами и подключенными каталогами.

Для оптимизации производительности движка распределения ресурсов существуют разные профили выполнения. Большинство организаций используют расписания по умолчанию и профили запуска для обычных операций, но некоторым организациям может потребоваться изменить расписание или активировать другие профили запуска, чтобы обеспечить выполнение редких ситуаций. Доступны следующие профили выполнения.

Профиль начальной синхронизации

Профиль начальной синхронизации — это процесс, при котором впервые считываются подключенные каталоги, такие как лес Active Directory. Затем выполняется анализ всех записей в базе данных модуля синхронизации. Начальный цикл создает новые объекты в Microsoft Entra ID и может занимать лишнее время для завершения, если леса Active Directory большие. Начальная синхронизация включает следующие этапы:

  1. Полный импорт во всех соединителях.
  2. Полная синхронизация во всех соединителях.
  3. Экспорт на всех разъёмах.

Профиль синхронизации по дельте

Чтобы оптимизировать процесс синхронизации, этот профиль выполнения только обрабатывает изменения (операции создания, удаления и обновления) объектов в подключенных каталогах с момента последнего процесса синхронизации. По умолчанию профиль синхронизации изменений запускается каждые 30 минут. Организации должны стремиться сократить время до 30 минут, чтобы убедиться, что идентификатор Microsoft Entra обновлен. Чтобы отслеживать работоспособность Microsoft Entra Connect, используйте агент мониторинга работоспособности для просмотра проблем с процессом. Профиль дельта-синхронизации включает следующие этапы:

  1. Импорт дельта-данных на всех коннекторах.
  2. Синхронизация дельта на всех соединителях.
  3. Экспорт на всех соединителях.

Типичный сценарий синхронизации данных (delta sync) для корпоративной организации следующий:

  • примерно 1 % объектов удалено;
  • примерно 1 % объектов создано;
  • примерно 5 % объектов изменено.

Скорость изменения зависит от периодичности обновления пользователей в Active Directory в вашей организации. Например, большая скорость изменений может возникнуть в связи с сезонными колебаниями найма и сокращения сотрудников.

Профиль полной синхронизации

Полный цикл синхронизации требуется, если вы внесли какие-либо из следующих изменений конфигурации:

  • Увеличена область объектов или атрибутов для импорта из подключенных каталогов. Например, при добавлении домена или организационного подразделения в область импорта.
  • Внесены изменения в правила синхронизации. Например, при создании нового правила для заполнения заголовка пользователя в идентификаторе Microsoft Entra из extension_attribute3 в Active Directory. Для этого обновления требуется, чтобы модуль подготовки повторно проверил всех имеющихся пользователей и обновил их должности, чтобы применить изменение в дальнейшем.

Цикл полной синхронизации включает следующие операции:

  1. Полный импорт для всех разъемов.
  2. Полная и дельта-синхронизация на всех соединителях.
  3. Экспорт на всех разъёмах.

Примечание.

Тщательное планирование необходимо при выполнении массовых обновлений для многих объектов в идентификаторе Active Directory или Microsoft Entra. Массовые обновления приводят к тому, что процесс разностной синхронизации занимает больше времени при импорте, так как многие объекты изменились. Импорт может длится долго, даже если массовые обновления не повлияли на процесс синхронизации. Например, назначение лицензий многим пользователям в идентификаторе Microsoft Entra приводит к длительному циклу импорта из идентификатора Microsoft Entra, но не приведет к изменениям атрибутов в Active Directory.

Синхронизация

Среда выполнения процесса синхронизации имеет следующие характеристики производительности:

  • Синхронизация является однопоточной, а это означает, что модуль подготовки не выполняет параллельную обработку профилей выполнения подключенных каталогов, объектов или атрибутов.
  • Время импорта растет линейно с количеством синхронизируемых объектов. Например, если 10 000 объектов занимает 10 минут для импорта, то 20 000 объектов занимает около 20 минут на одном сервере.
  • Экспорт также линейный.
  • Синхронизация увеличивается экспоненциально на основе количества объектов со ссылками на другие объекты. Членства в группах и вложенные группы больше всего влияют на производительность, так как участники групп ссылаются на объекты пользователя или другие группы. Эти ссылки необходимо найти и связать с фактическими объектами в MV, чтобы завершить цикл синхронизации.
  • Изменение члена группы приводит к повторной оценке всех участников группы. Например, если у вас есть группа с 50-K участниками и вы обновляете только 1 член, это активирует синхронизацию всех 50-K членов.

Фильтрация

Размер топологии Active Directory, которую вы хотите импортировать, является главным фактором, влияющим на эффективность работы и общее время, необходимое для завершения работы внутренних компонентов механизма предоставления.

Чтобы сократить количество объектов до количества синхронизированных объектов, следует использовать фильтрацию. Он предотвращает обработку и экспорт ненужных объектов в идентификатор Microsoft Entra. Доступны следующие методы фильтрации (в порядке предпочтения):

  • Фильтрация на основе домена — используйте этот параметр, чтобы выбрать определенные домены для синхронизации с идентификатором Microsoft Entra. После установки Microsoft Entra Connect Sync необходимо добавить и удалить домены из конфигурации подсистемы синхронизации при внесении изменений в локальную инфраструктуру.
  • Фильтрация организационного подразделения (OU) — использует организационные подразделения (OU) для нацеливания на определенные объекты в доменах Active Directory для подготовки к учётной записи Microsoft Entra ID. Фильтрация OU — это второй рекомендуемый механизм фильтрации, так как он использует простые запросы области LDAP для импорта меньшего подмножества объектов из Active Directory.
  • Фильтрация атрибутов для каждого объекта — использует значения атрибутов для объектов, чтобы определить, подготовлен ли конкретный объект в Active Directory в идентификаторе Microsoft Entra. Фильтрация атрибутов отлично подходит для точной настройки фильтров, когда фильтрация доменов и организационных единиц не соответствует требованиям конкретной фильтрации. Фильтрация атрибутов не сокращает период импорта, но можно уменьшить период синхронизации и экспорта.
  • Фильтрация на основе групп — это процесс, использующий членство в группах для решения, должны ли объекты создаваться в Microsoft Entra ID. Фильтрация на основе группы подходит только для тестирования и не рекомендуется для рабочей среды из-за дополнительной нагрузки в результате проверки членства в группе во время цикла синхронизации.

Множество постоянных разъединенных объектов в службе каталогов CS Active Directory может привести к более длительной синхронизации, так как модулю управления необходимо переоценить каждый разъединенный объект для возможного подсоединения в цикле синхронизации. Чтобы решить эту проблему, рассмотрите одну из следующих рекомендаций:

  • Разместите объекты разъединителя за пределами области действия импорта с помощью фильтрации по доменам или фильтрации подразделения.
  • Проектируйте/интегрируйте объекты в MV и установите для атрибута cloudFiltered значение True, чтобы предотвратить подготовку этих объектов в Microsoft Entra CS.

Примечание.

При фильтрации слишком большого количества объектов пользователи могут запутаться или могут возникнуть проблемы с разрешениями приложения. Например, в гибридной реализации Exchange Online пользователи с локальными почтовыми ящиками видят больше пользователей в глобальном списке адресов, чем пользователи с почтовыми ящиками в Exchange Online. В других случаях пользователю может потребоваться предоставить доступ в облачном приложении другому пользователю, который не является частью области отфильтрованного набора объектов.

Потоки атрибутов

Потоки атрибутов — это процесс копирования или преобразования значений атрибутов объектов из одного подключенного каталога в другой подключенный каталог. Они определены как часть правил синхронизации. Например, когда номер телефона пользователя изменяется в Active Directory, номер телефона в идентификаторе Microsoft Entra обновляется. Организации могут изменить потоки атрибутов в соответствии с различными требованиями. Мы рекомендуем скопировать имеющиеся потоки атрибутов, прежде чем изменять их.

Простые перенаправления, например передача значения атрибута другому атрибуту, не оказывают существенное влияние на производительность. Примером перенаправления является переадресация мобильного номера в Active Directory на офисный номер телефона в Microsoft Entra ID.

Преобразование значений атрибутов может негативно повлиять на производительность в процессе синхронизации. Преобразование значений атрибутов включает в себя изменение, форматирование, объединение или вычитание значений атрибутов.

Организации могут предотвратить поток определенных атрибутов в идентификатор Microsoft Entra, но это не влияет на производительность подсистемы подготовки.

Примечание.

Не удаляйте нежелательные потоки атрибутов в правилах синхронизации. Рекомендуется отключить их, так как удаленные правила повторно создаются во время обновлений Microsoft Entra Connect.

Факторы зависимостей Microsoft Entra Connect

Производительность Microsoft Entra Connect зависит от производительности подключенных каталогов, в которые он импортирует и экспортирует. Например, размер Active Directory, который необходимо импортировать, или задержка в доступе к службе Microsoft Entra. База данных SQL, которую использует подсистема подготовки, также влияет на общую производительность цикла синхронизации.

Факторы Active Directory

Как упоминалось ранее, количество импортируемых объектов значительно влияет на производительность. Оборудование и необходимые компоненты для Microsoft Entra Connect описывают определенные уровни оборудования на основе размера развертывания. Microsoft Entra Connect поддерживает только определенные топологии, как описано в топологиях Microsoft Entra Connect. Для неподдерживаемых топологий не предусмотрены оптимизация производительности и рекомендации.

Убедитесь, что сервер Microsoft Entra Connect соответствует требованиям к оборудованию на основе размера Active Directory, который вы хотите импортировать. Плохое или медленное сетевое подключение между сервером Microsoft Entra Connect и контроллерами домена Active Directory может замедлить импорт.

Факторы идентификатора Microsoft Entra

Идентификатор Microsoft Entra использует ограничение для защиты облачной службы от атак типа "отказ в обслуживании" (DoS). В настоящее время Microsoft Entra ID имеет ограничение на количество операций в 7000 записей за 5 минут (84 000 в час). Например, можно регулировать следующие операции:

  • Экспорт Microsoft Entra Connect в Microsoft Entra ID.
  • Скрипты или приложения PowerShell, обновляющие идентификатор Microsoft Entra ID непосредственно в фоновом режиме, например, динамические группы членства.
  • Обновление записей удостоверений пользователей, например регистрация для MFA или SSPR (самостоятельный сброс пароля).
  • Операции в графическом пользовательском интерфейсе.

Планируйте задачи развертывания и обслуживания, чтобы гарантировать, что цикл синхронизации Microsoft Entra Connect не затрагивается ограничениями. Например, если у вас проходит большая волна найма, при которой создаются тысячи учетных записей пользователей, это может вызвать обновление динамических групп участников, распределение лицензий и регистрацию на самостоятельный сброс пароля. Лучше распределять эти операции записи в течение нескольких часов или дней.

Факторы базы данных SQL

Размер исходной топологии Active Directory влияет на производительность базы данных SQL. Следуйте требованиям к оборудованию для базы данных SQL Server и учтите следующие рекомендации:

  • Организации с более чем 100 000 пользователей могут уменьшить сетевые задержки, разместив базу данных SQL и модуль подготовки на одном сервере.
  • Протокол именованных каналов SQL не поддерживается, так как он приводит к значительным задержкам в цикле синхронизации и должен быть отключен в диспетчере конфигурации SQL Server в рамках собственных клиентов SQL и сети SQL Server. Обратите внимание, что изменение конфигурации именованных каналов вступило в силу только после перезапуска баз данных и служб ADSync.
  • Из-за высоких требований к входным и выходным данным диска (операции ввода-вывода) процесса синхронизации используйте твердотельные накопители (SSD) для базы данных SQL модуля подготовки, чтобы получить оптимальные результаты. Если это невозможно, рассмотрите конфигурации RAID 0 или RAID 1.
  • Не выполняйте полную синхронизацию раньше, чем это необходимо, так как она приводит к ненужной нагрузке и увеличению времени отклика.

Заключение

Чтобы оптимизировать производительность реализации Microsoft Entra Connect, рассмотрите следующие рекомендации:

  • Используйте рекомендуемую конфигурацию оборудования на основе размера реализации для сервера Microsoft Entra Connect.
  • При обновлении Microsoft Entra Connect в крупномасштабных развертываниях рекомендуется использовать метод миграции с переключением, чтобы обеспечить минимальное время простоя и лучшую надежность.
  • Для высокой производительности операций записи используйте SSD в базе данных SQL.
  • Резервное копирование базы данных ADSync с помощью Azure Backup не рекомендуется.
  • Отфильтруйте Active Directory, чтобы включить только объекты, которые необходимо провизировать в Microsoft Entra ID, с использованием фильтрации по домену, OU или атрибутам.
  • Если требуется изменить правила передачи атрибутов по умолчанию, сначала скопируйте правило, а затем измените копию и отключите исходное правило. Не забудьте повторно выполнить полную синхронизацию.
  • Запланируйте достаточное количество времени для начального полного запуска синхронизации.
  • Постарайтесь завершить цикл синхронизации изменений в течение 30 минут. Если профиль синхронизации изменений не завершается в течение 30 минут, измените частоту синхронизации по умолчанию, чтобы включить полный цикл синхронизации изменений.
  • Отслеживайте работоспособность синхронизации Microsoft Entra Connect в идентификаторе Microsoft Entra.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.