Installera Microsoft Entra Anslut med hjälp av en befintlig ADSync-databas
Microsoft Entra Anslut kräver en SQL Server-databas för att lagra data. Du kan antingen använda standardversionen av SQL Server 2019 Express LocalDB som är installerad med Microsoft Entra Anslut eller använda din egen fullständiga version av SQL. Tidigare, när du installerade Microsoft Entra Anslut, skapades alltid en ny databas med namnet ADSync. Med Microsoft Entra Anslut version 1.1.613.0 (eller senare) har du möjlighet att installera Microsoft Entra Anslut genom att peka den på en befintlig ADSync-databas.
Fördelar med att använda en befintlig ADSync-databas
Genom att peka på en befintlig ADSync-databas:
- Förutom information om autentiseringsuppgifter återställs synkroniseringskonfigurationen som lagras i ADSync-databasen (inklusive anpassade synkroniseringsregler, anslutningsappar, filtrering och valfri funktionskonfiguration) automatiskt och används under installationen. Autentiseringsuppgifter som används av Microsoft Entra Anslut för att synkronisera ändringar med lokal AD och Microsoft Entra-ID krypteras och kan endast nås av den tidigare Microsoft Entra-Anslut-servern.
- Alla identitetsdata (associerade med anslutningsutrymmen och metaversum) och synkroniseringscookies som lagras i ADSync-databasen återställs också. Den nyligen installerade Microsoft Entra-Anslut-servern kan fortsätta att synkroniseras från den plats där den tidigare Microsoft Entra-Anslut-servern slutade, i stället för att behöva utföra en fullständig synkronisering.
Scenarier där det är fördelaktigt att använda en befintlig ADSync-databas
Dessa fördelar är användbara i följande scenarier:
- Du har en befintlig Microsoft Entra-Anslut distribution. Din befintliga Microsoft Entra-Anslut-server fungerar inte längre, men SQL-servern som innehåller ADSync-databasen fungerar fortfarande. Du kan installera en ny Microsoft Entra-Anslut-server och peka den på den befintliga ADSync-databasen.
- Du har en befintlig Microsoft Entra-Anslut distribution. Sql-servern som innehåller ADSync-databasen fungerar inte längre. Du har dock nyligen säkerhetskopiering av databasen. Du kan återställa ADSync-databasen till en ny SQL-server först. Därefter kan du installera en ny Microsoft Entra-Anslut-server och peka den på den återställde ADSync-databasen.
- Du har en befintlig Microsoft Entra-Anslut distribution som använder LocalDB. På grund av gränsen på 10 GB som har införts av LocalDB vill du migrera till fullständig SQL. Du kan säkerhetskopiera ADSync-databasen från LocalDB och återställa den till en SQL-server. Därefter kan du installera om en ny Microsoft Entra-Anslut-server och peka den på den återställde ADSync-databasen.
- Du försöker konfigurera en mellanlagringsserver och vill se till att dess konfiguration matchar den aktuella aktiva serverns konfiguration. Du kan säkerhetskopiera ADSync-databasen och återställa den till en annan SQL-server. Därefter kan du installera om en ny Microsoft Entra-Anslut-server och peka den på den återställde ADSync-databasen.
Nödvändig information
Viktiga anteckningar att notera innan du fortsätter:
- Se till att granska kraven för att installera Microsoft Entra Anslut på Maskinvara och krav samt konto och behörigheter som krävs för att installera Microsoft Entra Anslut. De behörigheter som krävs för att installera Microsoft Entra Anslut med hjälp av läget "använd befintlig databas" är samma som "anpassad" installation.
- Distribution av Microsoft Entra-Anslut mot en befintlig ADSync-databas stöds endast med fullständig SQL. Det stöds inte med SQL Express LocalDB. Om du har en befintlig ADSync-databas i LocalDB som du vill använda måste du först säkerhetskopiera ADSync-databasen (LocalDB) och återställa den till fullständig SQL. Därefter kan du distribuera Microsoft Entra Anslut mot den återställde databasen med den här metoden.
- Versionen av Microsoft Entra Anslut som används för installation måste uppfylla följande kriterier:
- 1.1.613.0 eller senare, OCH
- Samma eller högre än versionen av Microsoft Entra Anslut som senast användes med ADSync-databasen. Om Microsoft Entra-Anslut version som används för installation är högre än den version som senast användes med ADSync-databasen kan en fullständig synkronisering krävas. Fullständig synkronisering krävs om det finns schema- eller synkroniseringsregeländringar mellan de två versionerna.
- Den ADSync-databas som används bör innehålla ett synkroniseringstillstånd som är relativt nytt. Den senaste synkroniseringsaktiviteten med den befintliga ADSync-databasen bör vara inom de senaste tre veckorna, annars krävs en fullständig import från Microsoft Entra-ID för att uppdatera katalogvattenstämpeln.
- När du installerar Microsoft Entra Anslut med hjälp av metoden "använd befintlig databas" bevaras inte inloggningsmetoden som konfigurerats på den tidigare Microsoft Entra-Anslut-servern. Dessutom kan du inte konfigurera inloggningsmetod under installationen. Du kan bara konfigurera inloggningsmetoden när installationen är klar.
- Du kan inte ha flera Microsoft Entra-Anslut servrar som delar samma ADSync-databas. Med metoden "använd befintlig databas" kan du återanvända en befintlig ADSync-databas med en ny Microsoft Entra-Anslut-server. Den stöder inte delning.
Steg för att installera Microsoft Entra Anslut med läget "använd befintlig databas"
- Ladda ned Installationsprogrammet för Microsoft Entra Anslut (AzureAD Anslut.MSI) till Windows-servern. Dubbelklicka på installationsprogrammet för Microsoft Entra Anslut för att börja installera Microsoft Entra Anslut.
- När MSI-installationen är klar börjar Microsoft Entra Anslut-guiden med konfigurationen av Express-läge. Stäng fönstret genom att klicka på ikonen Avsluta.
- Starta en ny kommandotolk eller PowerShell-session. Navigera till mappen "C:\Program Files\Microsoft Entra Anslut". Kör kommandot .\AzureAD Anslut.exe /useexistingdatabase för att starta Microsoft Entra Anslut-guiden i installationsläget "Använd befintlig databas".
Kommentar
Använd växeln /UseExistingDatabase endast när databasen redan innehåller data från en tidigare Microsoft Entra-Anslut installation. När du till exempel flyttar från en lokal databas till en fullständig SQL Server-databas eller när Microsoft Entra Anslut-servern återskapades och du återställde en SQL-säkerhetskopia av ADSync-databasen från en tidigare installation av Microsoft Entra Anslut. Om databasen är tom, d.v.s. att den inte innehåller några data från en tidigare Microsoft Entra-Anslut installation, hoppar du över det här steget.
Du välkomnas med skärmen Välkommen till Microsoft Entra Anslut. När du godkänt licensvillkoren och sekretesspolicyn klickar du på Fortsätt.
På skärmen Installera nödvändiga komponenter är alternativet Använd en befintlig SQL-server aktiverat. Ange namnet på den SQL-server som är värd för ADSync-databasen. Om SQL-motorinstansen som används som värd för ADSync-databasen inte är standardinstansen på SQL-servern, måste du ange instansnamnet för SQL-motorn. Om SQL-surfning inte är aktiverat, måste du dessutom också ange portnumret för SQL-motorinstansen. Till exempel:
På skärmen Anslut till Microsoft Entra-ID måste du ange autentiseringsuppgifterna för en hybrididentitetsadministratör för din Microsoft Entra-katalog. Det rekommenderas att använda ett konto i standarddomänen onmicrosoft.com. Det här kontot används bara för att skapa ett tjänstkonto i Microsoft Entra-ID och används inte när guiden har slutförts.
På skärmen Anslut dina kataloger har den befintliga AD-skog som konfigurerats för katalogsynkronisering angetts med en röd kryssikon bredvid sig. Om du vill synkronisera ändringar från en lokal AD-skog krävs ett AD DS-konto. Microsoft Entra Anslut-guiden kan inte hämta autentiseringsuppgifterna för AD DS-kontot som lagras i ADSync-databasen eftersom autentiseringsuppgifterna är krypterade och bara kan dekrypteras av den tidigare Microsoft Entra-Anslut-servern. Klicka på Ändra autentiseringsuppgifter för att ange AD DS-kontot för AD-skogen.
I popup-dialogrutan kan du antingen (i) ange en företagsadministratörsautentiseringsuppgifter och låta Microsoft Entra Anslut skapa AD DS-kontot åt dig, eller (ii) skapa AD DS-kontot själv och ange dess autentiseringsuppgifter till Microsoft Entra Anslut. När du har valt ett alternativ och angett nödvändiga autentiseringsuppgifter klickar du på OK för att stänga popup-fönstret.
När autentiseringsuppgifterna har angetts ersätts den röda kryssikonen med en grön bockikon. Klicka på Nästa.
Klicka på Installera på skärmen Klart att konfigurera.
När installationen är klar aktiveras Microsoft Entra Anslut-servern automatiskt för mellanlagringsläge. Vi rekommenderar att du läser igenom serverkonfigurationen och väntande exporter för oväntade ändringar innan du inaktiverar mellanlagringsläget.
Uppgifter efter installation
När du återställer en databassäkerhetskopia som skapats av en version av Microsoft Entra Anslut före 1.2.65.0 väljer mellanlagringsservern automatiskt en inloggningsmetod för Konfigurera inte. Även om inställningarna för synkronisering av lösenordshash och tillbakaskrivning av lösenord återställs måste du därefter ändra inloggningsmetoden så att den matchar de andra principer som gäller för den aktiva synkroniseringsservern. Om du inte slutför de här stegen kan användarna inte logga in om servern blir aktiv.
Använd tabellen nedan för att verifiera eventuella ytterligare steg som krävs.
Funktion | Steg |
---|---|
Synkronisering av lösenordshash | Inställningarna för synkronisering av lösenordshash och tillbakaskrivning av lösenord återställs helt för versioner av Microsoft Entra Anslut från och med 1.2.65.0. Om du återställer med en äldre version av Microsoft Entra Anslut läser du inställningarna för synkroniseringsalternativet för dessa funktioner för att se till att de matchar din aktiva synkroniseringsserver. Inga andra konfigurationssteg ska vara nödvändiga. |
Federation med AD FS | Azure-autentiseringar fortsätter att använda AD FS-principen som konfigurerats för din aktiva synkroniseringsserver. Om du använder Microsoft Entra Anslut för att hantera din AD FS-servergrupp kan du eventuellt ändra inloggningsmetoden till AD FS-federation som förberedelse för att väntelägesservern ska bli den aktiva synkroniseringsinstansen. Om enhetsalternativ är aktiverade på den aktiva synkroniseringsservern konfigurerar du dessa alternativ på den här servern genom att köra uppgiften "Konfigurera enhetsalternativ". |
Direktautentisering och enkel inloggning på skrivbordet | Uppdatera inloggningsmetoden så att den matchar konfigurationen på den aktiva synkroniseringsservern. Om detta inte följs innan du befordrar servern till primär inaktiveras direktautentisering tillsammans med sömlös enkel inloggning och din klientorganisation kan vara utelåst om du inte har lösenordshashsynkronisering som inloggningsalternativ för säkerhetskopiering. Observera också att när du aktiverar direktautentisering i mellanlagringsläge installeras en ny autentiseringsagent, registreras och körs som en agent med hög tillgänglighet som accepterar inloggningsbegäranden. |
Federation med PingFederate | Azure-autentiseringar fortsätter att använda pingfederate-principen som konfigurerats för din aktiva synkroniseringsserver. Du kan också ändra inloggningsmetoden till PingFederate som förberedelse för att väntelägesservern ska bli den aktiva synkroniseringsinstansen. Det här steget kan skjutas upp tills du behöver federera ytterligare domäner med PingFederate. |
Nästa steg
- Nu när du har installerat Microsoft Entra Anslut kan du verifiera installationen och tilldela licenser.
- Läs mer om de här funktionerna som har aktiverats med installationen: Förhindra oavsiktliga borttagningar och Microsoft Entra Anslut Health.
- Läs mer om schemaläggaren och hur du utlöser synkronisering.
- Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.