Microsoft Entra Connect 部署有多种变化,从单个林快捷模式安装到通过使用自定义同步规则跨多个林进行同步的复杂部署。 由于配置选项和机制数量巨大,因此了解哪些设置有效,且能够快速部署具有相同配置的服务器非常重要。 此功能引入了对特定同步服务器的配置进行编录并将设置导入新部署的功能。 可以比较不同的同步设置快照,以在一段时间内轻松可视化两台服务器或同一台服务器之间的差异。
每次从 Microsoft Entra Connect 向导更改配置时,都会自动将新的时间戳 JSON 设置文件导出到 %ProgramData%\AADConnect。 设置文件名的格式为 Applied-SynchronizationPolicy-*.JSON,文件名的最后一部分是时间戳。
重要说明
只会自动导出由 Microsoft Entra Connect 进行的更改。 使用 PowerShell、Synchronization Service Manager 或同步规则编辑器所做的任何更改都必须根据需要按需导出,以维护最新副本。 还可以根据需要使用导出将设置的副本放置在安全位置,以便进行灾难恢复。
如果修改了 Microsoft Entra Connect 安装以包含 G-SQL 连接器或 G-LDAP 连接器,则无法使用此功能。 使用现有Microsoft Entra Connect Sync 数据库时,也不能合并此功能。 使用导入/导出配置和使用现有数据库是互斥的。
导出 Microsoft Entra 连接设置
若要查看配置设置的摘要,请打开Microsoft Entra Connect 工具,然后选择名为 “查看”或“导出当前配置”的任务。 将显示你的设置的快速摘要以及用于导出服务器完整配置的功能。
默认情况下,设置将导出到 %ProgramData%\AADConnect。 还可以选择将设置保存到受保护的位置,以确保发生灾难时的可用性。 设置是使用 JSON 文件格式导出的,不应手动创建或编辑,以确保逻辑一致性。 不支持导入手动创建或编辑的文件,这可能会导致意外的结果。
导入 Microsoft Entra 连接设置
导入先前导出的设置,方法如下:
在新服务器上安装 Microsoft Entra Connect。
在 “欢迎 ”页之后,选择“ 自定义 ”选项。
选择“导入同步设置”。 浏览先前导出的 JSON 设置文件。
选择“安装”。
替代此页上的设置,如使用 SQL Server 而不是 LocalDB 或使用现有服务帐户而不是默认虚拟服务帐户。 这些设置不会从配置设置文件导入。 它们用于信息和比较目的。
不支持修改导出的 JSON 文件以更改配置。
导入安装体验
导入安装体验有意保持简单,只需用户进行极少的输入即可轻松地提供现有服务器的可再现性。
以下部分显示了在安装体验期间可以进行的更改。 若要做出所有其他更改,必须在通过 Microsoft Entra Connect 向导安装后进行:
- Microsoft Entra 凭据:默认情况下,建议使用用于配置原始服务器的管理员帐户名称。 如果要将信息同步到新目录,则必须更改此信息。
- 用户登录:默认情况下会选择其为原始服务器配置的登录选项,并自动提示输入配置期间所需的凭据或其他信息。 在极少数情况下,可能需要使用不同的选项设置服务器,以避免更改活动服务器的行为。 否则,请选择“下一步”以使用相同的设置。
- 本地目录凭据:对于同步设置中包含的每个本地目录,必须提供凭据来创建同步帐户或提供预先创建的自定义同步帐户。 此过程与全新安装体验相同,只是你不能添加或删除目录。
- 配置选项:与全新安装一样,你可以选择配置初始设置,来确定是启动自动同步还是启用暂存模式。 主要区别是,暂存模式在主动将结果导出到 Microsoft Entra ID 之前,默认启用暂存模式以允许比较配置和同步结果。
只有一个同步服务器可以处于主角色,并主动将配置更改导出到 Microsoft Entra ID。 所有其他服务器都必须处于暂存模式。
从现有服务器迁移设置
如果现有服务器不支持设置管理,可以选择就地升级服务器或迁移要在新的过渡服务器上使用的设置。
迁移需要运行 PowerShell 脚本,该脚本可提取现有设置以在新的安装中使用。 使用此方法对现有服务器的设置进行分类,然后将其应用于新安装的暂存服务器。 将原始服务器的设置与新创建的服务器进行比较可快速直观显示服务器之间的更改。 与往常一样,请遵循组织的认证过程,确保不需要其他配置。
迁移过程
迁移设置的方法如下:
在新暂存服务器上启动
AzureADConnect.msi,并在 Microsoft Entra Connect 的“欢迎”页上停止。将
MigrateSettings.ps1从 Microsoft Entra Connect\Tools 目录复制到现有服务器上的某个位置。 例如 C:\setup,其中安装程序是在现有服务器上创建的目录。
如果看到
Message: A positional parameter cannot be found that accepts argument 'True'.错误,请执行以下操作:
然后编辑
MigrateSettings.ps1文件并删除$true并运行脚本:
运行脚本,如以下屏幕截图所示,并保存整个下层服务器配置目录。 将该目录复制到新的暂存服务器。 必须将整个
Exported-ServerConfiguration-*文件夹复制到新服务器。
通过双击桌面上的图标启动 Microsoft Entra Connect。 接受 Microsoft 软件许可条款,然后在下一页上选择“自定义”。
选中“ 导入同步设置” 复选框。 选择 “浏览” 以浏览复制
Exported-ServerConfiguration-*的文件夹。 选择MigratedPolicy.json以导入迁移的设置。
安装后验证
将原始导入的设置文件与新部署的服务器的导出的设置文件进行比较,是了解预期部署与所得部署之间任何差异的必要步骤。 使用你喜欢的并排文本比较应用程序会生成可快速突出显示任何所需或意外的更改的即时可视化效果。
尽管许多以前手动配置步骤现已消除,但仍应遵循组织的认证过程,以确保不需要其他配置。 如果你使用高级设置(这些设置当前在此版本的设置管理中尚未包含),则可能会发生这种配置。
已知以下限制:
- 同步规则:自定义规则的优先顺序必须在 0 到 99 的保留范围内,以避免与 Microsoft 的标准规则发生冲突。 将自定义规则置于保留范围之外可能会导致自定义规则发生偏移,因为标准规则被添加到了配置。 如果配置包含修改的标准规则,则会出现类似的问题。 不建议修改标准规则,且规则放置可能不正确。
- 设备写回:这些设置已编入目录。 目前在配置过程中未应用这些设置。 如果为原始服务器启用了设备写回,则必须在新部署的服务器上手动配置该功能。
- 同步的对象类型:尽管可以使用 Synchronization Service Manager 限制同步对象类型(例如用户、联系人和组)的列表,但目前不支持通过同步设置使用此功能。 完成安装后,必须手动重新应用高级配置。
- 所选属性:尽管可以使用 Synchronization Service Manager 限制同步属性(如扩展属性)列表,但目前不支持通过同步设置此功能。 完成安装后,必须手动重新应用高级配置。
- 自定义运行配置文件:尽管可以使用 Synchronization Service Manager 修改默认的一组运行配置文件,但当前不支持通过同步设置来实现此功能。 完成安装后,必须手动重新应用高级配置。
- 配置预配层次结构:不支持通过同步设置来实现 Synchronization Service Manager 的这一高级功能。 完成初始部署后,必须手动重新配置它。
- Active Directory 联合身份验证服务和 PingFederate 身份验证:将自动预选与这些身份验证功能关联的登录方法。 必须以交互方式提供所有其他所需的配置参数。