Sincronizzazione Microsoft Entra Connect: Pianificatore

Questo argomento descrive il pianificatore integrato in Microsoft Entra Connect Sync (motore di sincronizzazione).

Questa funzionalità è stata introdotta con la build 1.1.105.0 (rilasciata a febbraio 2016).

Panoramica

La sincronizzazione di Microsoft Entra Connect Sync consente di sincronizzare le modifiche apportate nella directory locale utilizzando un pianificatore. Esistono due processi di pianificazione, uno per la sincronizzazione delle password e l'altro per la sincronizzazione e le attività di manutenzione di oggetti/attributi. In questo argomento viene illustrato il secondo.

Nelle versioni precedenti, l'utilità di pianificazione per oggetti e attributi era esterna al motore di sincronizzazione. Usa l'utilità di pianificazione delle attività di Windows o un servizio Windows separato per attivare il processo di sincronizzazione. L'utilità di pianificazione è integrata nelle versioni 1.1 del motore di sincronizzazione e consente alcune personalizzazioni. La nuova frequenza di sincronizzazione predefinita è di 30 minuti.

Il scheduler è responsabile di due attività:

• ciclo di sincronizzazione. Processo di importazione, sincronizzazione ed esportazione delle modifiche.
• attività di manutenzione. Rinnova chiavi e certificati per la reimpostazione della password e il servizio di registrazione dispositivi (DRS). Eliminare le voci precedenti nel log operazioni.

L'utilità di pianificazione è sempre in esecuzione, ma può essere configurata per l'esecuzione di una o nessuna di queste attività. Ad esempio, se è necessario avere un processo del ciclo di sincronizzazione personalizzato, è possibile disabilitare questa attività nell'utilità di pianificazione, ma comunque eseguire l'attività di manutenzione.

Configurazione del pianificatore

Per visualizzare le impostazioni di configurazione correnti, passare a PowerShell ed eseguire Get-ADSyncScheduler. Ti mostra qualcosa come questa immagine:

Se viene visualizzato Il comando di sincronizzazione o il cmdlet non è disponibile quando si esegue questo cmdlet, il modulo di PowerShell non viene caricato. Questo problema può verificarsi se si esegue Microsoft Entra Connect in un controller di dominio o in un server con livelli di restrizione di PowerShell superiori rispetto alle impostazioni predefinite. Se viene visualizzato questo errore, eseguire Import-Module ADSync per rendere disponibile il cmdlet.

• AllowedSyncCycleInterval. Intervallo di tempo più breve tra i cicli di sincronizzazione consentiti da Microsoft Entra ID. Non è possibile eseguire la sincronizzazione più frequentemente rispetto a questa impostazione ed essere ancora supportata.
• CurrentlyEffectiveSyncCycleInterval. La pianificazione attualmente in vigore. Ha lo stesso valore di CustomizedSyncInterval (se impostato) se non è più frequente di AllowedSyncInterval. Se si usa una build precedente alla versione 1.1.281 e si modifica CustomizedSyncCycleInterval, questa modifica diventa effettiva dopo il ciclo di sincronizzazione successivo. Dalla build 1.1.281 la modifica diventa effettiva immediatamente.
• CustomizedSyncCycleInterval. Se vuoi che l'utilità di pianificazione venga eseguita a una frequenza diversa da quella predefinita di 30 minuti, configura questa impostazione. Nell'immagine precedente, il pianificatore è impostato per essere eseguito ogni ora. Se si imposta questa impostazione su un valore inferiore a AllowedSyncInterval, viene usato quest'ultimo.
• NextSyncCyclePolicyType. Delta o Initial. Definisce se l'esecuzione successiva deve elaborare solo modifiche differenziali o se l'esecuzione successiva deve eseguire un'importazione e una sincronizzazione completa. Quest'ultimo rielaborerebbe anche eventuali regole nuove o modificate.
• OraDiInizioDelProssimoCicloDiSincronizzazioneInUTC. Al successivo avvio del ciclo di sincronizzazione da parte dell'utilità di pianificazione.
• PurgeRunHistoryInterval. Il registro delle operazioni temporali deve essere conservato. Questi log possono essere esaminati in Synchronization Service Manager. L'impostazione predefinita consiste nel mantenere questi log per 7 giorni.
• SyncCycleEnabled. Indica se il pianificatore esegue i processi di importazione, sincronizzazione ed esportazione nell'ambito del suo funzionamento.
• MaintenanceEnabled. Indica se il processo di manutenzione è abilitato. Aggiorna i certificati o le chiavi ed elimina il log operazioni.
• StagingModeEnabled. Indica se la modalità di gestione temporanea è abilitata. Se questa impostazione è abilitata, elimina le esportazioni dall'esecuzione, ma esegue comunque l'importazione e la sincronizzazione.
• SchedulerSuspended. Impostato da Connect durante un aggiornamento per bloccare temporaneamente l'esecuzione del pianificatore.

È possibile modificare alcune di queste impostazioni con Set-ADSyncScheduler. È possibile modificare i parametri seguenti:

• Intervallo personalizzato del ciclo di sincronizzazione
• NextSyncCyclePolicyType
• PurgeRunHistoryInterval
• SyncCycleEnabled
• Manutenzione abilitata

Nelle build precedenti di Microsoft Entra Connect, isStagingModeEnabled è stato esposto in Set-ADSyncScheduler. È non supportato per impostare questa proprietà. La proprietà SchedulerSuspended deve essere modificata solo da Connect. È non supportato per impostarlo direttamente con PowerShell.

La configurazione del pianificatore viene archiviata in Microsoft Entra ID. Se si dispone di un server di staging, qualsiasi modifica sul server principale influisce anche sul server di staging (ad eccezione di IsStagingModeEnabled).

CustomizedSyncCycleInterval

Sintassi: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - giorni, HH - ore, mm - minuti, ss - secondi

Esempio: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Modifica il pianificatore per l'esecuzione ogni 3 ore.

Esempio: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Le modifiche apportate cambiano l'utilità di pianificazione per programmare un'esecuzione giornaliera.

Disattivare il pianificatore

Se è necessario apportare modifiche alla configurazione, si vuole disabilitare l'utilità di pianificazione. Ad esempio, quando si configurare di filtro o apportare modifiche alle regole di sincronizzazione.

Per disabilitare l'utilità di pianificazione, eseguire Set-ADSyncScheduler -SyncCycleEnabled $false.

dell'utilità di pianificazione

Quando si apportano modifiche, non dimenticare di abilitare nuovamente l'utilità di pianificazione con Set-ADSyncScheduler -SyncCycleEnabled $true.

Avvia il pianificatore

Il pianificatore viene eseguito per impostazione predefinita ogni 30 minuti. In alcuni casi, potrebbe essere necessario eseguire un ciclo di sincronizzazione tra i cicli pianificati o eseguire un tipo diverso.

Ciclo di sincronizzazione delta

Un ciclo di sincronizzazione differenziale include i passaggi seguenti:

• Importazione Delta su tutti i connettori
• Sincronizzazione differenziale su tutti i connettori
• Esportazione su tutti i Connettori

Ciclo di sincronizzazione completo

Un ciclo di sincronizzazione completo include i passaggi seguenti:

• Importazione completa in tutti i connettori
• Sincronizzazione completa su tutti i connettori
• Esportazione su tutti i connettori

Potrebbe trattarsi di una modifica urgente che deve essere sincronizzata immediatamente, motivo per cui è necessario eseguire manualmente un ciclo.

Se è necessario eseguire manualmente un ciclo di sincronizzazione, da PowerShell eseguire Start-ADSyncSyncCycle -PolicyType Delta.

Per avviare un ciclo di sincronizzazione completo, eseguire Start-ADSyncSyncCycle -PolicyType Initial da un prompt di PowerShell.

L'esecuzione di un ciclo di sincronizzazione completo può richiedere molto tempo, leggere la sezione successiva per leggere come ottimizzare questo processo.

Passaggi di sincronizzazione necessari per modifiche di configurazione diverse

Diverse modifiche di configurazione richiedono passaggi di sincronizzazione diversi per assicurarsi che le modifiche vengano applicate correttamente a tutti gli oggetti.

• Aggiunta di altri oggetti o attributi da importare da una directory di origine (aggiungendo/modificando le regole di sincronizzazione)
  • Per tale directory di origine è necessaria un'importazione completa nel connettore
• Modifiche apportate alle regole di sincronizzazione
  • È necessaria una sincronizzazione completa nel connettore per le regole di sincronizzazione modificate
• Modifica filtro in modo da includere un numero diverso di oggetti
  • È necessaria un'importazione completa nel connettore per ogni connettore di Active Directory. L'eccezione è se si utilizza il filtro basato su attributi che sono già stati importati nel motore di sincronizzazione.

La personalizzazione di un ciclo di sincronizzazione esegue la combinazione corretta di passaggi delta e sincronizzazione completa

Per evitare di eseguire un ciclo di sincronizzazione completo, è possibile contrassegnare connettori specifici per eseguire un passaggio completo usando i cmdlet seguenti.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Esempio: se sono state apportate modifiche alle regole di sincronizzazione per il connettore "AD Forest A" che non richiedono nuovi attributi importati, utilizzare i seguenti cmdlet per eseguire un ciclo di sincronizzazione differenziale che include un passaggio di sincronizzazione completa per tale connettore.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Esempio: Se sono state apportate modifiche alle regole di sincronizzazione per il connettore "AD Forest A" e ora richiedono l'importazione di un nuovo attributo, è possibile eseguire i seguenti cmdlet per effettuare un ciclo di sincronizzazione differenziale che esegue anche un passaggio di importazione completa e sincronizzazione completa per quel connettore.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Arrestare il pianificatore

Se il pianificatore sta attualmente eseguendo un ciclo di sincronizzazione, potrebbe essere necessario fermarlo. Ad esempio, se si avvia l'installazione guidata e viene visualizzato questo errore:

Quando un ciclo di sincronizzazione è in esecuzione, non è possibile apportare modifiche alla configurazione. È possibile attendere che il pianificatore completi il processo, ma è anche possibile fermarlo in modo da poter apportare immediatamente le modifiche. L'arresto del ciclo corrente non è dannoso e le modifiche in sospeso vengono elaborate con l'esecuzione successiva.

1. Inizia dicendo al pianificatore di arrestare il ciclo corrente con il cmdlet di PowerShell Stop-ADSyncSyncCycle.

2. Se si usa una build precedente alla versione 1.1.281, l'arresto dell'utilità di pianificazione non interrompe il connettore corrente nel suo compito attuale. Per forzare l'arresto del connettore, eseguire le azioni seguenti:

   

   • Avvia il servizio di sincronizzazione dal Menu Start. Passare a Connettori, evidenziare il Connettore con lo stato In esecuzionee selezionare Arresta dalle Azioni.

Il pianificatore è ancora attivo e ripartirà alla prossima occasione.

Pianificatore personalizzato

I cmdlet documentati in questa sezione sono disponibili solo nella build 1.1.130.0 e versioni successive.

Se il pianificatore integrato non soddisfa i tuoi requisiti, puoi pianificare i connettori usando PowerShell.

Invoke-ADSyncRunProfile

È possibile avviare un profilo per un connettore in questo modo:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

I nomi da usare per i nomi dei connettori e i nomi dei profili di esecuzione sono disponibili nell'interfaccia utente di Synchronization Service Manager.

Il cmdlet Invoke-ADSyncRunProfile è sincrono, ovvero non restituisce il controllo finché il connettore non completa l'operazione, correttamente o con un errore.

Quando si pianificano i connettori, è consigliabile pianificarli nell'ordine seguente:

1. (Full/Delta) Importare da directory locali, ad esempio Active Directory
2. (Full/Delta) Importare da Microsoft Entra ID
3. (Full/Delta) Sincronizzazione da directory in locale, come Active Directory
4. (Full/Delta) Sincronizzazione da Microsoft Entra ID
5. Esporta in Microsoft Entra ID
6. Esportare in directory locali, ad esempio Active Directory

Questo ordine è il modo in cui lo scheduler integrato esegue i connettori.

Get-ADSyncConnectorRunStatus

È anche possibile monitorare il motore di sincronizzazione per verificare se è occupato o inattivo. Questo cmdlet restituisce un risultato vuoto se il motore di sincronizzazione è inattivo e non sta eseguendo un connettore. Se un connettore è in esecuzione, restituisce il nome del connettore.

Get-ADSyncConnectorRunStatus

Nell'immagine precedente la prima riga proviene da uno stato in cui il motore di sincronizzazione è inattivo. La seconda riga quando il Microsoft Entra Connector è in esecuzione.

Pianificatore e procedura guidata di installazione

Se si avvia l'installazione guidata, l'utilità di pianificazione viene sospesa temporaneamente. Questo comportamento è dovuto al fatto che si presuppone che vengano apportate modifiche alla configurazione e queste impostazioni non possono essere applicate se il motore di sincronizzazione è in esecuzione attivamente. Per questo motivo, non lasciare aperta l'installazione guidata perché impedisce al motore di sincronizzazione di eseguire azioni di sincronizzazione.

Passaggi successivi

Ulteriori informazioni sulla configurazione Microsoft Entra Connect Sync.

Altre informazioni su L'integrazione delle identità locali con Microsoft Entra ID.