Udostępnij za pośrednictwem

Microsoft Entra Connect Sync: Scheduler

  • Artykuł

W tym temacie opisano wbudowany harmonogram w programie Microsoft Entra Connect Sync (aparat synchronizacji).

Ta funkcja została wprowadzona z kompilacją 1.1.105.0 (wydana w lutym 2016 r.).

Przegląd

Program Microsoft Entra Connect Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Istnieją dwa procesy harmonogramu: jeden dla synchronizacji haseł, a drugi dla zadań synchronizacji obiektów/atrybutów i konserwacji. W tym temacie omówiono ten ostatni.

We wcześniejszych wersjach harmonogram obiektów i atrybutów był zlokalizowany poza mechanizmem synchronizacji. Do wyzwolenia procesu synchronizacji użyto harmonogramu zadań systemu Windows lub oddzielnej usługi systemu Windows. Harmonogram jest wbudowany w aparat synchronizacji od wersji 1.1 i pozwala na pewne dostosowania. Nowa domyślna częstotliwość synchronizacji wynosi 30 minut.

Harmonogram jest odpowiedzialny za dwa zadania:

  • cykl synchronizacji. Proces importowania, synchronizowania i eksportowania zmian.
  • zadania konserwacji. Odnawianie kluczy i certyfikatów dla resetowania hasła i usługi rejestracji urządzeń (DRS). Przeczyść stare wpisy w dzienniku operacji.

Sam harmonogram jest zawsze uruchomiony, ale można go skonfigurować tak, aby uruchamiał tylko jedno lub żadne z tych zadań. Jeśli na przykład musisz mieć własny proces cyklu synchronizacji, możesz wyłączyć to zadanie w harmonogramie, ale nadal uruchamiać zadanie konserwacji.

Ważny

Domyślnie co 30 minut jest uruchamiany cykl synchronizacji. Jeśli cykl synchronizacji został zmodyfikowany, należy upewnić się, że cykl synchronizacji jest uruchamiany co najmniej raz na 7 dni.

  • Synchronizacja delta musi nastąpić w ciągu 7 dni od ostatniej synchronizacji delta.
  • Synchronizacja różnicowa (po pełnej synchronizacji) musi nastąpić w ciągu 7 dni od momentu ukończenia ostatniej pełnej synchronizacji.

Niepowodzenie tej czynności może spowodować problemy z synchronizacją, które będą wymagały uruchomienia pełnej synchronizacji w celu rozwiązania problemu. Dotyczy to również serwerów w trybie przejściowym.

Konfiguracja harmonogramu

Aby wyświetlić bieżące ustawienia konfiguracji, przejdź do programu PowerShell i uruchom Get-ADSyncScheduler. Przedstawia on coś takiego jak na poniższej ilustracji:

GetSyncScheduler

Jeśli zobaczysz Polecenie synchronizacji lub polecenie cmdlet nie jest dostępne po uruchomieniu tego polecenia cmdlet, moduł programu PowerShell nie zostanie załadowany. Ten problem może wystąpić, jeśli uruchomisz program Microsoft Entra Connect na kontrolerze domeny lub na serwerze z wyższymi poziomami ograniczeń programu PowerShell niż ustawienia domyślne. Jeśli pojawi się ten błąd, uruchom Import-Module ADSync, aby polecenie cmdlet było dostępne.

  • AllowedSyncCycleInterval. Najkrótszy przedział czasu między cyklami synchronizacji dozwolonymi przez identyfikator Firmy Microsoft Entra. Nie można synchronizować częściej niż określa to ustawienie, aby nadal być obsługiwanym.
  • CurrentlyEffectiveSyncCycleInterval. Harmonogram jest obecnie obowiązujący. Ma tę samą wartość co CustomizedSyncInterval (jeśli ustawiono), o ile nie jest częstszy niż AllowedSyncInterval. Jeśli używasz kompilacji przed 1.1.281 i zmienisz wartość CustomizedSyncCycleInterval, ta zmiana zostanie w życie po następnym cyklu synchronizacji. Od wersji 1.1.281 zmiana wchodzi w życie natychmiast.
  • CustomizedSyncCycleInterval. Jeśli chcesz, aby harmonogram był uruchamiany z dowolną inną częstotliwością niż domyślna 30 minut, skonfiguruj to ustawienie. Na poprzedniej ilustracji harmonogram jest ustawiany do uruchamiania co godzinę. Jeśli to ustawienie zostanie ustawione na wartość niższą niż AllowedSyncInterval, zostanie użyta ta ostatnia wartość.
  • NextSyncCyclePolicyType. Delta lub Initial. Określa, czy następne uruchomienie powinno przetwarzać tylko zmiany różnicowe, czy wykonać pełny import i synchronizację. W tym drugim przypadku zostaną również ponownie przetworzone wszystkie nowe lub zmienione zasady.
  • NextSyncCycleStartTimeInUTC. Następnym razem, gdy harmonogram rozpocznie następny cykl synchronizacji.
  • PurgeRunHistoryInterval. Należy przechowywać dzienniki czasowe operacji. Te dzienniki można przejrzeć w menedżerze usługi synchronizacji. Wartością domyślną jest przechowywanie tych dzienników przez 7 dni.
  • SyncCycleEnabled. Wskazuje, czy planista uruchamia procesy importu, synchronizacji i eksportu w ramach swojej działalności.
  • MaintenanceEnabled. Pokazuje, czy proces konserwacji jest włączony. Aktualizuje certyfikaty/klucze i czyści dziennik operacji.
  • StagingModeEnabled. Pokazuje, czy tryb przejściowy jest włączony. Jeśli to ustawienie jest włączone, to powstrzymuje eksporty przed uruchomieniem, ale nadal uruchamiają się import i synchronizacja.
  • SchedulerSuspended. Program Connect ustawia to podczas uaktualniania, aby tymczasowo zablokować uruchamianie harmonogramu.

Niektóre z tych ustawień można zmienić przy użyciu Set-ADSyncScheduler. Można modyfikować następujące parametry:

  • DostosowanyInterwałCykluSynchronizacji
  • NextSyncCyclePolicyType
  • PrzeczyszczanieRunHistoryInterval
  • SynchronizacjaCykluWłączona
  • KonserwacjaWłączona

We wcześniejszych kompilacjach programu Microsoft Entra Connect isStagingModeEnabled został uwidoczniony w programie Set-ADSyncScheduler. Nieobsługiwane jest , aby ustawić tę właściwość. Właściwość SchedulerSuspended powinna być modyfikowana tylko przez program Connect. Jest to nieobsługiwane, aby ustawić to bezpośrednio za pomocą programu PowerShell.

Konfiguracja harmonogramu jest przechowywana w identyfikatorze Entra firmy Microsoft. Jeśli masz serwer przejściowy, każda zmiana na serwerze podstawowym również wpływa na serwer przejściowy (z wyjątkiem IsStagingModeEnabled).

DostosowanyInterwałCyklicznychSynchronizacji

Składnia: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dni, HH - godziny, mm - minuty, ss - sekundy

Przykład: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Zmienia harmonogram tak, aby był uruchamiany co 3 godziny.

Przykład: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Zmiany zmieniają harmonogram tak, aby był uruchamiany codziennie.

Wyłącz harmonogram

Jeśli musisz wprowadzić zmiany konfiguracji, chcesz wyłączyć harmonogram. Na przykład podczas konfigurowania filtrowania lub wprowadzania zmian w regułach synchronizacji.

Aby wyłączyć harmonogram, uruchom polecenie Set-ADSyncScheduler -SyncCycleEnabled $false.

Wyłącz harmonogram

Po wprowadzeniu zmian nie zapomnij ponownie włączyć harmonogramu za pomocą Set-ADSyncScheduler -SyncCycleEnabled $true.

Uruchamianie harmonogramu

Harmonogram jest domyślnie uruchamiany co 30 minut. W niektórych przypadkach możesz chcieć uruchomić cykl synchronizacji między zaplanowanymi cyklami lub uruchomić inny typ.

Cykl synchronizacji różnicowej

Cykl synchronizacji różnicowej obejmuje następujące kroki:

  • Importowanie różnicowe dla wszystkich łączników
  • Synchronizacja delta na wszystkich łącznikach
  • Eksport na wszystkich łącznikach

Cykl pełnej synchronizacji

Cykl pełnej synchronizacji obejmuje następujące kroki:

  • Pełny import we wszystkich łącznikach
  • Pełna synchronizacja we wszystkich łącznikach
  • Eksport na wszystkich łącznikach

Może się okazać, że masz pilną zmianę, która musi zostać natychmiast zsynchronizowana, dlatego należy ręcznie uruchomić cykl.

Jeśli musisz ręcznie uruchomić cykl synchronizacji, uruchom program PowerShell Start-ADSyncSyncCycle -PolicyType Delta.

Aby zainicjować cykl pełnej synchronizacji, uruchom Start-ADSyncSyncCycle -PolicyType Initial z poziomu wiersza polecenia programu PowerShell.

Uruchomienie cyklu pełnej synchronizacji może być bardzo czasochłonne. Przeczytaj następną sekcję, aby przeczytać, jak zoptymalizować ten proces.

Kroki synchronizacji wymagane do różnych zmian konfiguracji

Różne zmiany konfiguracji wymagają różnych kroków synchronizacji, aby upewnić się, że zmiany są poprawnie stosowane do wszystkich obiektów.

  • Dodano więcej obiektów lub atrybutów do zaimportowania z katalogu źródłowego (dodając/modyfikując reguły synchronizacji)
    • Pełny import jest wymagany w łączniku dla tego katalogu źródłowego
  • Wprowadzono zmiany w regułach synchronizacji
    • Pełna synchronizacja jest wymagana w łączniku dla zmienionych reguł synchronizacji
  • Zmieniono filtrowania, aby uwzględnić inną liczbę obiektów
    • Pełny import jest wymagany na konektorze dla każdego konektora AD. Wyjątek dotyczy używania filtrowania na podstawie atrybutów, które są już importowane do aparatu synchronizacji

Dostosowywanie cyklu synchronizacji umożliwia wykonanie odpowiedniej kombinacji kroków delta i pełnej synchronizacji

Aby uniknąć uruchamiania cyklu pełnej synchronizacji, możesz oznaczyć określone łączniki, aby uruchomić pełny krok przy użyciu następujących poleceń cmdlet.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Przykład: Jeśli wprowadzono zmiany w regułach synchronizacji dla łącznika "Las A AD", które nie wymagają żadnych nowych zaimportowanych atrybutów, uruchom następujące polecenia cmdlet, aby uruchomić cykl synchronizacji różnicowej, dla tego łącznika również wykonywany jest krok pełnej synchronizacji.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Przykład: Jeśli wprowadzono zmiany w regułach synchronizacji łącznika "AD Forest A", tak aby wymagały teraz zaimportowania nowego atrybutu, należy uruchomić następujące polecenia cmdlet, aby uruchomić cykl synchronizacji różnicowej, który również wykona pełen import i pełną synchronizację dla tego łącznika.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Zatrzymaj harmonogram

Jeśli harmonogram obecnie wykonuje cykl synchronizacji, może być konieczne jego zatrzymanie. Jeśli na przykład uruchomisz kreatora instalacji i wystąpi następujący błąd:

Zrzut ekranu przedstawiający komunikat o błędzie Nie można zmienić konfiguracji.

Po uruchomieniu cyklu synchronizacji nie można wprowadzać zmian w konfiguracji. Możesz poczekać, aż harmonogram zakończy proces, ale możesz go również zatrzymać, aby można było natychmiast wprowadzić zmiany. Zatrzymanie bieżącego cyklu nie jest szkodliwe i oczekujące zmiany są przetwarzane podczas następnego uruchomienia.

  1. Zacznij od poinformowania harmonogramu o zatrzymaniu bieżącego cyklu za pomocą polecenia cmdlet programu PowerShell Stop-ADSyncSyncCycle.

  2. Jeśli używasz wersji sprzed 1.1.281, zatrzymanie harmonogramu nie spowoduje zatrzymania bieżącego Connectora w trakcie wykonywanego zadania. Aby wymusić zatrzymanie łącznika, wykonaj następujące czynności:

    Zrzut ekranu przedstawia Menedżera Usług Synchronizacji z wybranymi łącznikami i uruchomionym łącznikiem, dla którego wybrano akcję Zatrzymaj.

    • Uruchom Usługę Synchronizacji z Menu Start. Przejdź do łączników, wyróżnij łącznik ze stanem Uruchomionei wybierz Zatrzymaj z akcji.

Harmonogram jest nadal aktywny i uruchamia się ponownie przy następnej okazji.

Harmonogram niestandardowy

Polecenia cmdlet opisane w tej sekcji są dostępne tylko w kompilacji 1.1.130.0 i nowszych.

Jeśli wbudowany harmonogram nie spełnia wymagań, możesz zaplanować łączniki przy użyciu programu PowerShell.

Invoke-ADSyncRunProfile

Możesz utworzyć profil dla łącznika w następujący sposób:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Nazwy używane dla nazw łączników oraz nazw profilów uruchamiania można znaleźć w interfejsie użytkownika programu Synchronization Service Manager .

Wywoływanie profilu uruchamiania

Cmdlet Invoke-ADSyncRunProfile jest synchroniczny, to znaczy, że nie zwraca kontroli, dopóki łącznik nie zakończy operacji, niezależnie czy pomyślnie, czy z błędem.

Podczas planowania łączników zaleca się zaplanowanie ich w następującej kolejności:

  1. (Pełna/delta) Importowanie z katalogów lokalnych, takich jak usługa Active Directory
  2. (Pełna/delta) Importowanie z identyfikatora Entra firmy Microsoft
  3. (Pełna/delta) Synchronizacja z katalogów lokalnych, takich jak usługa Active Directory
  4. (Pełna/delta) Synchronizacja z Microsoft Entra ID
  5. Eksport do Microsoft Entra ID
  6. Eksportowanie do katalogów lokalnych, takich jak usługa Active Directory

Wbudowany harmonogram uruchamia łączniki w tej kolejności.

Get-ADSyncConnectorRunStatus

Możesz również monitorować aparat synchronizacji, aby sprawdzić, czy jest zajęty, czy bezczynny. To polecenie cmdlet zwróci pusty wynik, gdy mechanizm synchronizacji jest bezczynny i nie uruchamia łącznika. Jeśli łącznik jest uruchomiony, zwraca nazwę łącznika.

Get-ADSyncConnectorRunStatus

Stan uruchomienia łącznika
Na powyższym obrazku pierwszy wiersz pochodzi z sytuacji, gdy aparat synchronizacji jest bezczynny. Drugi wiersz, kiedy łącznik Microsoft Entra Connector jest uruchomiony.

Kreator harmonogramu i instalacji

Jeśli uruchomisz kreatora instalacji, harmonogram zostanie tymczasowo zawieszony. Jest to spowodowane tym, że przyjęto założenie, że wprowadzasz zmiany konfiguracji i nie można zastosować tych ustawień, jeśli aparat synchronizacji jest aktywnie uruchomiony. Z tego powodu nie należy otwierać kreatora instalacji, ponieważ uniemożliwia on aparatowi synchronizacji wykonywanie jakichkolwiek akcji synchronizacji.

Następne kroki

Dowiedz się więcej o konfiguracji Microsoft Entra Connect Sync.

Dowiedz się więcej o Integrowaniu Twoich lokalnych tożsamości z Microsoft Entra ID.