通过

使用 SharePoint Server 实现 Microsoft Identity Manager 的部署注意事项

  • 项目

适用范围:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

若要增加在 SharePoint Server 中成功部署 MIM 的机会,请遵循以下建议:

规划从测试环境到生产环境的迁移

规划、规划,不断规划更多操作。 这一步丝毫不夸张。 同步失败的大部分原因都可归结为缺乏规划。

测试实验室中 MIM 同步服务的正确安装以及对从测试实验室到生产的迁移的仔细规划是尽量减少部署问题的关键。 建议使用小型测试环境,以避免在测试新规则时处理数千个对象。

备份初始测试环境

安装 MIM 并创建管理代理后,备份 MIM 同步数据库。 然后,可以随时通过加载备份数据库重新创建新的测试环境。

测试 MIM 的备份和还原过程

定期备份过程对于保护数据免受意外损失而言是必不可少的。 还建议在发生紧急情况之前测试备份和还原过程。 若要备份和还原 MIM,请使用 Windows Server 2012 R2 操作系统随附的备份工具和 SQL Server 2014。

在同一域中安装 MIM 同步服务和 SQL Server

在 MIM 同步安装期间,远程数据库访问权限取决于用于运行安装程序的当前登录帐户的访问权限。 确保运行托管 MIM 的 Windows Server 2012 R2 操作系统的服务器和托管 SQL Server 的服务器位于同一域中,并且用于运行安装程序的帐户有权访问托管 SQL Server 的服务器。

如果 SQL Server 安装在远程服务器上,则设置访问权限

如果在远程计算机上安装 SQL Server(即,在不运行 MIM 的另一台计算机上),以确保 SQL Server 服务帐户的策略允许用户通过网络访问该计算机。 如果不允许访问,MIM 设置将失败。

重要

如果在远程计算机上安装 SQL Server 并允许对远程计算机进行网络访问,将收到 MIM 安装程序的安全警告。 这种情况下,可以忽略此警告。

指定运行 SQL Server 的远程服务器的 TCP/IP 端口

如果在 MIM 安装期间指定的 SQL Server 实例位于远程计算机上,则 MIM 安装程序将使用默认的 TCP/IP 端口。 如果想要指定其他端口,则必须使用 SQL Server 客户端网络实用工具 (Windows\System32\cliconfg.exe),以及 SQL Server 随附的 Server 网络实用工具。 有关详细信息,请参阅 SQL Server 联机丛书。

每当更改管理代理规则时,使用导出管理代理来备份管理代理

使用导出管理代理后,可以使用“导入管理代理”命令来导入特定版本的单个管理代理。 还可以使用" 导出服务器配置 "和" 导入服务器配置 "命令来导出和导入管理代理,但做这样会导入除 metaverse 架构之外的所有管理代理。 有关如何配置和导入的详细信息,请参阅 配置管理代理导入和导出服务器配置

填充 metaverse 中的 displayName 属性以便更轻松地识别搜索结果

使用 Metaverse 搜索列出对象时,MIM 返回由 displayName 属性标识的结果。 如果未填充 displayName 属性,则搜索结果由全局唯一标识符 (GUID) 标识。 有关如何使用 Metaverse 搜索的详细信息,请参阅 使用 Metaverse 搜索

设计作用于对象状态的流规则

使用对象的状态来确定同步对象的下一步,而不是使用导致对象状态的事件来确定。

重要

[!重要说明] 在同步对象时,不要依赖于声明性规则或要以指定顺序在规则扩展中进行评估的规则。 以无次序的方式评估规则。

在将连接的数据源第一次迁移到 metaverse 时禁用预配

首次部署 MIM 时,建议在启用预配之前迁移并联接所有连接的数据源。 验证所有内容已成功迁移和加入后,可以启用预配并运行管理代理的完全同步,以将预配规则应用于所有连接的对象。 有关如何配置预配规则的详细信息,请参阅 预配规则

在运行配置文件步骤中设置删除阈值以限制意外删除的次数

使用删除阈值设置来限制导入或导出过程中可能会发生的意外删除次数。 在达到阈值限制时,删除阈值将停止管理代理,或阻止它启动。 有关详细信息,请参阅 配置管理代理

使用搜索连接器空间查看对象

借助搜索连接器空间,可以搜索管理代理的连接器空间中的对象。 可以按名称、错误状态或对象 (的状态查找对象,无论是已连接、断开连接还是等待导入或导出) 。

使用预览版来测试同步并修复错误

使用预览版,可以运行测试同步并查看结果,而无需将更改提交到 metaverse。 还可以使用预览版来测试新的规则扩展,并修复由于联接失败或架构冲突导致的同步错误。

使用增量同步步骤安排定期的运行配置文件来自动处理断开器

无法加入的对象不会由增量导入和增量同步运行配置文件步骤重新计算,并且可能保留为断开连接器。 定期运行增量同步步骤将重新计算和处理这些断开连接器。 有关如何运行配置文件步骤的详细信息,请参阅 配置管理代理

定期保存并清除操作中的管理代理运行历史记录

操作记录每个管理代理运行的历史记录。 每个管理代理运行历史记录会保存在 SQL Server 数据库中,并会导致数据库大小随着时间的推移而增长,从而影响性能。 可以使用操作保存运行历史记录。 有关如何使用操作的详细信息,请参阅 使用操作

注意

[!注意] 一次删除大量运行将需要很长时间。 建议一次删除不超过 100 个运行。

在管理代理中使用多个分区来控制单个对象类型的同步

若要在基于文件的管理代理中控制单个对象类型的同步,请为每个对象类型创建一个分区。 例如,要同步对象类型 mailboxgroup ,请在管理代理中创建两个分区,将 mailbox 分配给一个分区,并将 group 分配给另一个分区。 然后,为每个分区创建一个管理代理运行配置文件。 使用此配置,将具有一个管理代理,可灵活地同步两个所选对象类型中的一个或全部。 有关如何使用分区的详细信息,请参阅 Metaverse 和连接器空间

容量规划

有许多变量可能会影响 MIM 部署的整体容量和性能。

如果系统中的所有数据库都以较小的大小创建,并且设置为自动增长(尤其是以小增量)来增加,则性能可能会受到负面影响。 SQL Server 至少需要 16 GB 的 RAM,但你将从更多内存中受益。 SQL 服务器上应至少有 16 个 CPU 核心,但更多核心将有助于提高整体性能。

最后,建议不要在同一服务器上一起运行 MIM 和 SharePoint 数据库。

高可用性

MIM 解决方案专为实现高可用性而设计,以避免出现任何单点故障。 为实现高可用性,应考虑使用以下组件:

注意

本节中的信息仅供参考。

  • MIM 同步服务 - 尽管不支持 MIM 同步服务的群集,但在发生故障时,可以部署一个暖备用服务器来承担主服务器的工作负荷。 但是,硬件故障不应成为问题,因为 MIM 同步服务将在托管在多个物理节点上的虚拟机上运行。 此外,如果出现软件故障,托管同步服务器的虚拟机可以从以前的备份中快速恢复或从头开始重新生成。 此服务的停机时间对使用该解决方案的最终用户交互操作没有任何影响。 它只会延迟所有访问权限预配和取消请求的实现。 服务恢复联机后,这些操作将恢复,而且无数据丢失。 MIM 同步服务的暖备用服务器将与主实例连接到同一 SQL Server 数据库,并且必须通过脚本激活,以防主实例出现故障且无法及时重启。 请注意,用于同步 MIM 同步服务数据库和 MIM 服务数据库之间数据的 MIM 管理代理必须指向本地 MIM 服务实例。

  • SQL Server - MIM 解决方案需要 SQL Server 群集才能为数据库层提供高可用性。 MIM 群集包含两个服务器,前面的段落中对其规范进行了详细介绍。 尽管每个 SQL 节点中安装了这两个 SQL 实例,但在给定的时间内只会激活两个实例中的一个。

    该设计考虑了群集虚拟机的最佳使用,而不会过度订阅每个节点,并在故障转移时可能导致两个节点关闭。

    由于数据库托管在远程 SQL Server 上,MIM 服务器和 SQL Server 之间的网络连接必须是 1 Gbit。 100 Mbit 网络无法提供足够的带宽,会使同步性能降低 20% 到 30%。

始终将 Active Directory 导入用作“用户配置文件管理”中的同步设置

如果计划使用 MIM 同步服务,请不要选择它。 而是选择 Use SharePoint Active Directory Import 选项。 如果选择了 “启用外部标识管理器” 选项,则受众编译和管理器属性存在已知问题。

注意

此问题已在 2017 年 2 月的公开更新 (PU) 中得以解决,请参阅 2017 年 2 月 21 日,SharePoint Server 2016 更新 (KB3141517)

不要在同步类型之间切换

如果使用 SharePoint 管理中心网站中的 “配置同步设置” 从一种同步类型切换到另一种同步类型,则启动 SharePoint 连接器实例的导入时,将遇到未返回任何对象的问题,并且不会生成 ULS 日志。

若要从类型切换中恢复,请参阅 SharePoint 2016:由于在 UPA AD Import/External Identity Manager (MIM) 中切换同步类型而导致出现问题中的“恢复步骤”部分

将图片从 SharePoint 导出到 Active Directory

Microsoft Identity Manager 支持将用户配置文件图片从 SharePoint 导出到 Active Directory。

没有支持其他配置文件属性的 BCS 集成

没有 Business Connectivity Services 集成来支持 MIM 中的配置文件属性。 可以手动配置连接器以实现此目的。

用户配置文件属性

可以在 SharePoint Server 中创建新的用户配置文件属性;但是,映射不是在 SharePoint 中创建的,而是在 MIM 中创建的。

NetBios 名称

如果选择了外部标识管理器,则应该在用户配置文件应用程序服务应用程序上创建 NetBIOSDomainNamesEnabled 属性后立即启用它,以支持域的 NetBIOS 名称不同于域的完全限定的域名 (FQDN) 的方案。

通过安全通道执行同步操作

由于同步通常包含个人身份信息,因此建议通过 HTTPS 或 LDAPS 等安全通道执行同步运行。

另请参阅

其他资源

SharePoint Server 中的 Microsoft Identity Manager 同步服务的概述