使用现有 ADSync 数据库安装 Microsoft Entra Connect
Microsoft Entra Connect 需要 SQL Server 数据库来存储数据。 可以使用随 Microsoft Entra Connect 一起安装的默认 SQL Server 2019 Express LocalDB,也可以使用自己的完整版 SQL。 以前,在安装 Microsoft Entra Connect 时,始终会创建名为 ADSync 的新数据库。 使用 Microsoft Entra Connect 版本 1.1.613.0(或更高版本),可以通过将其链接到现有的 ADSync 数据库来安装 Microsoft Entra Connect。
使用现有 ADSync 数据库的好处
通过指向现有 ADSync 数据库:
- 除凭据信息外,ADSync 数据库中存储的同步配置在安装过程中会自动恢复和使用。 这包括自定义同步规则、连接器、筛选和可选功能配置。
- 同时恢复存储在 ADSync 数据库中的所有标识数据(已与连接器空间和 Metaverse 关联)以及同步 Cookie。 新安装的 Microsoft Entra Connect 服务器可以从上一台 Microsoft Entra Connect 服务器中断的位置继续同步,而无需执行完整同步。
在某些情况下,使用现有的 ADSync 数据库是有益的
在以下方案中,这些优势非常有用:
- 你已有 Microsoft Entra Connect 部署。 现有的 Microsoft Entra Connect 服务器不再工作,但包含 ADSync 数据库的 SQL Server 仍在运行。 可以安装新的 Microsoft Entra Connect 服务器,并将其指向现有的 ADSync 数据库。
- 你已有 Microsoft Entra Connect 部署。 包含 ADSync 数据库的 SQL Server 不再正常运行。 但是,你最近备份了数据库。 可以先将 ADSync 数据库还原到新的 SQL Server。 之后,可以安装新的 Microsoft Entra Connect 服务器,并将其指向还原的 ADSync 数据库。
- 你拥有正在使用 LocalDB 的现有 Microsoft Entra Connect 部署。 由于 LocalDB 施加的 10 GB 限制,你希望迁移到完整的 SQL。 可以从 LocalDB 备份 ADSync 数据库并将其还原到 SQL Server。 之后,可以重新安装新的 Microsoft Entra Connect 服务器,并将其指向还原的 ADSync 数据库。
- 你正在尝试设置过渡服务器,并希望确保其配置与当前活动服务器的配置匹配。 可以备份 ADSync 数据库并将其还原到另一个 SQL Server。 之后,可以重新安装新的 Microsoft Entra Connect 服务器,并将其指向还原的 ADSync 数据库。
先决条件信息
在继续操作之前要记下的重要笔记:
- 请务必查看在硬件和先决条件上安装 Microsoft Entra Connect 的先决条件,以及安装 Microsoft Entra Connect 所需的帐户和权限。 使用“使用现有数据库”模式安装 Microsoft Entra Connect 所需的权限与“自定义”安装相同。
- 使用完整 SQL 才能支持在现有 ADSync 数据库上部署 Microsoft Entra Connect。 SQL Express LocalDB 不支持它。 如果 LocalDB 中有要使用的现有 ADSync 数据库,则必须首先备份 ADSync 数据库(LocalDB)。 然后,将其还原到完整的 SQL。 接下来,可以使用此方法针对还原的数据库部署 Microsoft Entra Connect。
- 用于安装的 Microsoft Entra Connect 的版本必须满足以下条件:
- 1.1.613.0 或更高版本,并且
- 与上次同 ADSync 数据库一起使用的 Microsoft Entra Connect 版本相同或比之更高。 如果用于安装的 Microsoft Entra Connect 版本高于上次用于 ADSync 数据库的版本,则可能需要完全同步。 如果两个版本之间存在架构或同步规则更改,则需要完全同步。
- 使用的 ADSync 数据库应包含相对最近的同步状态。 与现有 ADSync 数据库的最后一个同步活动应在过去三周内,否则需要从 Microsoft Entra ID 完全导入才能更新目录水印。
- 使用“使用现有数据库”方法安装 Microsoft Entra Connect 时,不会保留在上一Microsoft Entra Connect 服务器上配置的登录方法。 此外,无法在安装过程中配置登录方法。 安装完成后,只能配置登录方法。
- 不能有多个 Microsoft Entra Connect 服务器共享相同的 ADSync 数据库。 使用“使用现有数据库”方法,可以使用新的 Microsoft Entra Connect 服务器重用现有的 ADSync 数据库。 它不支持共享。
使用“使用现有数据库”模式安装 Microsoft Entra Connect 的步骤
- 将 Microsoft Entra Connect 安装程序(AzureADConnect.MSI)下载到 Windows 服务器。 双击选择 Microsoft Entra Connect 安装程序,开始安装 Microsoft Entra Connect。
- MSI 安装完成后,Microsoft Entra Connect 向导将从快速模式设置开始。 通过选择“退出”图标关闭屏幕。
- 启动新的命令提示符或 PowerShell 会话。 导航到文件夹“C:\Program Files\Microsoft Entra Connect”。 运行命令。\AzureADConnect.exe /useexistingdatabase 以“使用现有数据库”设置模式启动Microsoft Entra Connect 向导。
注意
只有当数据库已包含来自早期 Microsoft Entra Connect 安装的数据时,才应使用 /UseExistingDatabase 开关。 例如,在将数据从本地数据库迁移到完整的 SQL Server 数据库,或在重新构建 Microsoft Entra Connect 服务器并从早期安装中恢复了 ADSync 数据库的 SQL 备份时。 如果数据库为空,即它不包含上一Microsoft Entra Connect 安装中的任何数据,请跳过此步骤。
出现“欢迎使用 Microsoft Entra Connect”屏幕。 同意许可条款和隐私声明后,请选择 继续。
在“安装所需组件”界面上,启用了“使用现有 SQL Server”选项。 指定托管 ADSync 数据库的 SQL Server 的名称。 如果用于托管 ADSync 数据库的 SQL 引擎实例不是 SQL Server 上的默认实例,则必须指定 SQL 引擎实例名称。 此外,如果未启用 SQL 浏览,则还必须指定 SQL 引擎实例端口号。 例如:
在“连接到 Microsoft Entra ID”屏幕上,必须提供 Microsoft Entra 目录的混合标识管理员凭据。 建议在默认 onmicrosoft.com 域中使用帐户。 此帐户仅用于在 Microsoft Entra ID 中创建服务帐户,其使用仅限于向导中的操作,完成后将不再使用。
在“连接目录”屏幕上,为目录同步配置的现有 AD 林旁边显示有红色十字图标。 若要同步本地 AD 林中的更改,需要 AD DS 帐户。 Microsoft Entra Connect 向导无法检索 ADSync 数据库中存储的 AD DS 帐户的凭据。 这是因为凭据已加密,并且只能由上一Microsoft Entra Connect 服务器解密。 选择“更改凭据”为 AD 林指定 AD DS 帐户。
在弹出对话框中,可以(i)提供企业管理员凭据,让Microsoft Entra Connect 为你创建 AD DS 帐户,或者(ii)自行创建 AD DS 帐户,并提供其凭据以Microsoft Entra Connect。 选择一个选项并提供所需的凭据后,选择“确定” 关闭弹出对话框。
提供凭据后,红色十字图标被替换为绿色勾图标。 选择“下一步”。
在“准备好配置”屏幕上,选择“安装”。
安装完成后,Microsoft Entra Connect 服务器会自动为过渡模式启用。 建议在禁用暂存模式之前,审核服务器配置和待处理的导出,以检查是否存在意外的更改。
安装后任务
还原使用低于 1.2.65.0 版本的 Microsoft Entra Connect 创建的数据库备份时,暂存服务器会自动选择登录方法“不配置”。 还原密码哈希同步和密码写回首选项后,必须更改登录方式,以符合活跃同步服务器中的其他有效策略。 未能完成这些步骤可能会阻止用户登录,如果此服务器处于活动状态。
使用下表验证所需的任何其他步骤。
| 功能 | 步骤 |
|---|---|
| 密码哈希同步 | 对于从 1.2.65.0 开始的 Microsoft Entra Connect 版本,密码哈希同步和密码写回设置已完全还原。 如果使用旧版 Microsoft Entra Connect 进行还原,请查看这些功能的同步选项设置,以确保它们与活动同步服务器匹配。 无需执行其他配置步骤。 |
| 与 AD FS 联合 | Azure 身份验证继续使用为活动同步服务器配置的 AD FS 策略。 如果使用 Microsoft Entra Connect 管理 AD FS 场,可以选择将登录方法更改为 AD FS 联合。 这将准备好备用服务器,使它成为主同步实例。 如果在活动同步服务器上启用了设备选项,请运行“配置设备选项”任务,在此服务器上配置这些选项。 |
| 直通身份验证和桌面单一登录 | 更新登录方法以匹配活动同步服务器上的配置。 如果在将服务器提升为主服务器之前不执行此过程,直通身份验证和无缝单一登录将被禁用。 此外,如果没有密码哈希同步作为备份登录选项,则租户可能会被锁定。 在过渡模式下启用直通身份验证时,将安装、注册新的身份验证代理,并将作为高可用性代理运行,该代理将接受登录请求。 |
| 与 PingFederate 联合 | Azure 身份验证继续使用为活动同步服务器配置的 PingFederate 策略。 您可以选择将登录方法更改为 PingFederate,为备用服务器成为活动同步实例做好准备。 此步骤可能会延迟,直到需要将其他域与 PingFederate 联合。 |
后续步骤
- 安装 Microsoft Entra Connect 后,可以验证安装并分配许可证。
- 若要了解有关这些功能(在安装过程中已启用)的详细信息,请参阅防止意外删除和 Microsoft Entra Connect Health。
- 若要了解有关这些常见主题的详细信息,请参阅计划程序以及如何触发同步。
- 详细了解如何将本地标识与 Microsoft Entra ID 集成。