Поделиться через

Рекомендации по развертыванию Microsoft Identity Manager с помощью SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint в Microsoft 365

Чтобы повысить вероятность успешного развертывания MIM в SharePoint Server, следуйте приведенным ниже рекомендациям.

Спланируйте миграцию из тестовой среды в рабочую

Планирование, планирование и еще раз планирование. Этот шаг нельзя переоценить. Большинство проблем связано именно с недостаточным планированием.

Правильная настройка службы синхронизации MIM в тестовой лаборатории и тщательное планирование миграции в рабочую среду позволят уменьшить количество проблем с развертыванием. Рекомендуется использовать небольшую тестовую среду, чтобы избежать обработки тысяч объектов при тестировании новых правил.

Создайте резервную копию исходной тестовой среды

После установки MIM и создания агентов управления создайте резервную копию базы данных синхронизации MIM. Так вы сможете воссоздать тестовую среду в любое время, загрузив резервную базу данных.

Проверьте процедуры резервного копирования и восстановления MIM

Регулярное резервное копирование необходимо для защиты данных от случайных потерь. Также рекомендуется протестировать процедуры резервного копирования и восстановления до возникновения аварийной ситуации. Для резервного копирования и восстановления MIM используйте инструменты операционной системы Windows Server 2012 R2 и SQL Server 2014.

Установите службу синхронизации MIM и SQL Server в одном домене

Во время настройки синхронизации MIM удаленный доступ к базе данных зависит от прав доступа текущей учетной записи входа, используемой для запуска программы установки. Убедитесь, что сервер под управлением операционной системы Windows Server 2012 R2, на котором размещается MIM, и сервер, на котором размещен SQL Server, находятся в одном домене и что учетная запись, используемая для запуска программы установки, имеет права доступа к серверу, на котором размещается SQL Server.

Настройте права доступа, если SQL Server установлен на удаленном сервере

Если вы устанавливаете SQL Server на удаленном компьютере, то есть не на том компьютере, на котором работает MIM, убедитесь, что политика учетной записи службы SQL Server разрешает доступ к этому компьютеру из сети. Если доступ не разрешен, настройка MIM завершится ошибкой.

Важно!

Если установить SQL Server на удаленном компьютере и разрешить сетевой доступ к удаленному компьютеру, вы получите предупреждение системы безопасности от установки MIM. В этом случае его можно проигнорировать.

Укажите порт TCP/IP для удаленного сервера под управлением SQL Server

Если экземпляр SQL Server, указанный при установке MIM, находится на удаленном компьютере, программа установки MIM использует порт TCP/IP по умолчанию. Если вы хотите указать другой порт, используйте инструменты SQL Server Client Network Utility (Windows\System32\cliconfg.exe) и Server Network Utility. Дополнительные сведения см. в электронной документации на SQL Server.

Используйте команду "Экспортировать агент управления" для резервного копирования агентов управления при каждом изменении правил

После экспорта агента управления можно использовать команду Импортировать агент управления для импорта определенной версии агента управления. Агенты управления также можно экспортировать и импортировать с помощью команд Экспортировать конфигурацию сервера и Импортировать конфигурацию сервера, но при этом импортируются все агенты управления, а также схема метавселенной. Дополнительные сведения о настройке и импорте см. в разделе Настройка агентов управления и импорт и экспорт конфигурации сервера.

Укажите атрибут displayName в метавселенной, чтобы результаты поиска было легче идентифицировать

При перечислении объектов в случае поиска по метавселенной MIM возвращает результаты, которым присвоен атрибут displayName. Если атрибут displayName не заполнен, результаты поиска идентифицируются по глобально уникальному идентификатору (GUID). Дополнительные сведения об использовании поиска метавселенной см. в разделе Использование поиска метавселенной.

Сделайте так, чтобы правила потока действовали на основании состояния объекта

Для определения следующего этапа синхронизации объекта используйте состояние объекта, а не событие, которое его вызвало.

Важно!

Не полагайтесь на декларативные правила или правила в расширении правил, которые будут оцениваться в указанном порядке при синхронизации объекта. Правила оцениваются неупорядоченно.

Отключите подготовку при первом переносе подключенных источников данных в метавселенную

При первом развертывании MIM рекомендуется выполнить миграцию и присоединение всех подключенных источников данных перед включением подготовки. Убедившись, что все успешно перенесено и присоединено, можно включить подготовку и запустить полную синхронизацию агентов управления, чтобы применить правила подготовки ко всем подключенным объектам. Дополнительные сведения о настройке правил подготовки см. в разделе Правила подготовки.

Установите для удаления пороговое значение в профиле выполнения, чтобы ограничить количество случайно удаленных объектов

Установите для удаления пороговое значение, чтобы ограничить количество случайно удаленных объектов при импорте или экспорте. При достижении этого значения агент управления остановится или не запустится. Дополнительные сведения см. в разделе Настройка агентов управления.

Используйте пространство соединителя поиска для анализа объектов

С помощью функции поиска пространства соединителя можно искать объекты в пространстве соединителя для агента управления. Объекты можно найти по имени или состоянию ошибки или по состоянию объекта (т. е. независимо от того, подключен ли он, отключен или ожидает импорта или экспорта).

Используйте предварительный просмотр для проверки синхронизации и устранения неполадок

Вы можете запускать пробную синхронизацию и просматривать результаты, не внося изменения в метавселенную. Вы также можете проверять новые расширения правил и устранять ошибки синхронизации из-за сбоев объединения или нарушений схемы.

Настройте профиль периодического выполнения с помощью синхронизации изменений для автоматической обработки разъединителей

Объекты, которые не удалось объединить, не вычисляются повторно на шаге профиль выполнения разностного импорта и разностной синхронизации и могут оставаться в качестве разъединителей. Регулярное выполнение шага разностной синхронизации приведет к повторной вычислению и обработке этих разъединителей. Дополнительные сведения о выполнении шагов профиля см. в разделе Настройка агентов управления.

Регулярно сохраняйте и очищайте историю запуска агентов управления с помощью функции операций

Операции записывают журнал каждого запуска агента управления. Каждый журнал выполнения агента управления сохраняется в базе данных SQL Server и может привести к росту базы данных с течением времени, что влияет на производительность. Журнал выполнения можно сохранить с помощью операций. Дополнительные сведения об использовании операций см. в разделе Использование операций.

Примечание.

[!Примечание] Удаление сведений о большом количестве запусков за раз может занять много времени. Рекомендуется удалять не более 100 запусков одновременно.

Используйте несколько разделов для управления синхронизацией отдельных типов объектов

Чтобы управлять синхронизацией отдельных типов объектов в файловом агенте управления, создайте раздел для каждого из них. Например, чтобы синхронизировать типы объектов mailbox и group, создайте два раздела в агенте управления и назначьте mailbox для одного из них и group — для другого. Затем создайте профиль выполнения агента управления для каждого раздела. Теперь один агент управления сможет синхронизировать один или оба выбранных типа объектов. Дополнительные сведения об использовании секций см. в разделе Метавселенная и пространство соединителя.

Планирование мощности

Существует множество переменных, которые могут повлиять на общую емкость и производительность развертывания MIM.

Производительность может отрицательно сказаться, если все базы данных в системе создаются с меньшим размером и настроены на автоматическое увеличение, особенно с небольшим шагом. Требуется не менее 16 ГБ ОЗУ для серверов SQL Server, но вы сможете воспользоваться дополнительным объемом памяти. На серверах SQL должно быть не менее 16 ядер ЦП, но больше ядер поможет повысить общую производительность.

Наконец, рекомендуется не запускать базы данных MIM и SharePoint вместе на одном сервере.

Высокая доступность

Решение MIM разработано с учетом требований к высокой доступности и лишено единых точек отказа. Для обеспечения высокой доступности следует учитывать следующие компоненты:

Примечание.

Сведения в этом разделе носят исключительно рекомендательный характер.

  • Служба синхронизации MIM . Несмотря на то, что кластеризация службы синхронизации MIM не поддерживается, можно развернуть сервер горячего резервирования, чтобы предположить рабочую нагрузку основной службы в случае сбоя. Однако сбой оборудования не должен быть проблемой, так как служба синхронизации MIM будет работать на виртуальной машине, размещенной на нескольких физических узлах. Кроме того, в случае сбоя программного обеспечения виртуальная машина, на котором размещен сервер синхронизации, может быть быстро восстановлена из предыдущей резервной копии или перестроена с нуля. Время простоя этой службы не влияет на взаимодействие конечных пользователей с решением. Это только отложит выполнение всех запросов на подготовку доступа и отзыв. Когда служба будет возвращена в режим "в сети", эти операции возобновятся без потери данных. Теплый режим ожидания службы синхронизации MIM будет подключен к той же базе данных SQL Server, что и экземпляр-источник, и его потребуется активировать с помощью скрипта, если основной экземпляр выйдет из строя и не может быть своевременно перезапущен. Обратите внимание, что агент управления MIM, используемый для синхронизации данных между базой данных службы синхронизации MIM и базой данных службы MIM, должен указывать на локальный экземпляр службы MIM.

  • SQL Server . Для обеспечения высокой доступности уровня базы данных решение MIM требует кластер SQL Server. Кластер MIM будет состоять из двух серверов со спецификациями, описанными в предыдущих абзацах. Несмотря на то, что на каждом узле SQL установлены оба экземпляра SQL, только один из двух экземпляров будет активен в данный момент времени.

    При проектировании учитывается оптимальное использование кластеризованных виртуальных машин без переподписывания каждого узла и потенциального сбоя обоих узлов в случае отработки отказа.

    Так как базы данных размещены на удаленном сервере SQL Server, скорость сетевого подключения между серверами MIM и серверами SQL Server должна составлять 1 Гбит. Сеть на 100 Мбит не обеспечит достаточную пропускную способность и снизит производительность синхронизации на 20–30 %.

Всегда используйте "Импорт Active Directory" в качестве параметра синхронизации в Центре администрирования профилей пользователей

Если вы планируете использовать службу синхронизации MIM, не выбирайте ее. Вместо этого выберите параметр Использовать импорт SharePoint Active Directory . Существует известная проблема с компиляцией аудитории и атрибутом Manager, если выбран параметр Включить диспетчер внешних удостоверений .

Примечание.

Эта проблема устранена в обновлении SharePoint Server 2016 от 21 февраля 2017 г. (KB3141517).

Не переключайтесь между типами синхронизации

При переключении с одного типа синхронизации на другой с помощью настройки параметров синхронизации на веб-сайте центра администрирования SharePoint при запуске импорта в экземпляре соединителя SharePoint возникнут проблемы, связанные с отсутствием возвращаемых объектов и отсутствием результатов в журналах ULS.

Инструкции по восстановлению в случае изменения такого способа см. в статье SharePoint 2016: проблемы, связанные со сменой типа синхронизации, то есть с переходом от импорта AD (UPA) к использованию внешнего диспетчера удостоверений (MIM) и наоборот.

Экспорт изображений из SharePoint в Active Directory

Microsoft Identity Manager поддерживает экспорт изображений профилей пользователей из SharePoint в Active Directory.

Интеграция с BCS для поддержки дополнительных свойств профилей отсутствует

В MIM отсутствует интеграция служб Business Connectivity Services для поддержки свойств профиля. Для этой цели можно настроить соединители вручную.

Свойства профилей пользователей

На серверах SharePoint можно создать новые свойства профиля пользователя; однако сопоставления создаются не в SharePoint, а в MIM.

Имя NetBios

Если выбран внешний диспетчер удостоверений и имя NetBIOS вашего домена отличается от полного доменного имени (FQDN), в приложении-службе профилей пользователей сразу после его создания необходимо включить свойство NetBIOSDomainNamesEnabled.

Выполняйте синхронизацию по защищенному каналу

Так как синхронизация часто включает личные сведения, рекомендуется выполнять синхронизацию по защищенному каналу, такому как HTTPS или LDAPS.

См. также

Другие ресурсы

Обзор службы синхронизации Microsoft Identity Manager в SharePoint Server