Partilhar via

Instalar o Microsoft Entra Connect usando um banco de dados ADSync existente

  • Artigo

O Microsoft Entra Connect requer um banco de dados SQL Server para armazenar dados. Você pode usar o padrão SQL Server 2019 Express LocalDB instalado com o Microsoft Entra Connect ou usar sua própria versão completa do SQL. Anteriormente, quando você instalava o Microsoft Entra Connect, um novo banco de dados chamado ADSync sempre era criado. Com o Microsoft Entra Connect versão 1.1.613.0 (ou posterior), você pode instalar o Microsoft Entra Connect vinculando-o a um banco de dados ADSync existente.

Benefícios do uso de um banco de dados ADSync existente

Apontando para um banco de dados ADSync existente:

  • Exceto para informações de credenciais, a configuração de sincronização armazenada no banco de dados ADSync é recuperada e usada automaticamente durante a instalação. Isso inclui regras de sincronização personalizadas, conectores, filtragem e configuração de recursos opcionais.
  • Todos os dados de identidade (associados a espaços de conector e metaverso) e cookies de sincronização armazenados no banco de dados ADSync também são recuperados. O servidor Microsoft Entra Connect recém-instalado pode continuar a sincronizar de onde o servidor Microsoft Entra Connect anterior parou, em vez de ter a necessidade de executar uma sincronização completa.

Cenários em que o uso de um banco de dados ADSync existente é benéfico

Esses benefícios são úteis nos seguintes cenários:

  • Você tem uma implantação existente do Microsoft Entra Connect. Seu servidor Microsoft Entra Connect existente não está mais funcionando, mas o servidor SQL que contém o banco de dados ADSync ainda está funcionando. Você pode instalar um novo servidor Microsoft Entra Connect e apontá-lo para o banco de dados ADSync existente.
  • Você tem uma implantação existente do Microsoft Entra Connect. Seu servidor SQL que contém o banco de dados ADSync não está mais funcionando. No entanto, você tem um backup recente do banco de dados. Você pode restaurar o banco de dados ADSync para um novo servidor SQL primeiro. Depois disso, você pode instalar um novo servidor Microsoft Entra Connect e apontá-lo para o banco de dados ADSync restaurado.
  • Você tem uma implantação existente do Microsoft Entra Connect que está usando LocalDB. Devido ao limite de 10 GB imposto pelo LocalDB, você gostaria de migrar para o SQL completo. Você pode fazer backup do banco de dados ADSync do LocalDB e restaurá-lo para um servidor SQL. Depois disso, você pode reinstalar um novo servidor Microsoft Entra Connect e apontá-lo para o banco de dados ADSync restaurado.
  • Você está tentando configurar um servidor de preparo e deseja certificar-se de que sua configuração corresponde à do servidor ativo atual. Você pode fazer backup do banco de dados ADSync e restaurá-lo para outro servidor SQL. Depois disso, você pode reinstalar um novo servidor Microsoft Entra Connect e apontá-lo para o banco de dados ADSync restaurado.

Informações sobre pré-requisitos

Observações importantes a ter em conta antes de prosseguir:

  • Certifique-se de revisar os pré-requisitos para instalar o Microsoft Entra Connect em Hardware e pré-requisitos, e conta e permissões necessárias para instalar o Microsoft Entra Connect. As permissões necessárias para instalar o Microsoft Entra Connect usando o modo "usar banco de dados existente" é a mesma que a instalação "personalizada".
  • A implantação do Microsoft Entra Connect em um banco de dados ADSync existente só é suportada com SQL completo. Ele não é suportado com o SQL Express LocalDB. Se você tiver um banco de dados ADSync existente no LocalDB que deseja usar, você deve primeiro fazer backup do banco de dados ADSync (LocalDB). Em seguida, restaure-o para SQL completo. Em seguida, você pode implantar o Microsoft Entra Connect no banco de dados restaurado usando esse método.
  • A versão do Microsoft Entra Connect usada para instalação deve atender aos seguintes critérios:
    • 1.1.613.0 ou superior, e
    • Igual ou superior à versão do Microsoft Entra Connect usada pela última vez com o banco de dados ADSync. Se a versão do Microsoft Entra Connect usada para instalação for maior do que a última versão usada com o banco de dados ADSync, uma sincronização completa pode ser necessária. A sincronização completa é necessária se houver alterações de esquema ou regra de sincronização entre as duas versões.
  • O banco de dados ADSync usado deve conter um estado de sincronização relativamente recente. A última atividade de sincronização com o banco de dados ADSync existente deve ter ocorrido nas últimas três semanas; caso contrário, é necessária uma importação completa do Microsoft Entra ID para atualizar a marca d'água do diretório.
  • Ao instalar o Microsoft Entra Connect usando o método "usar banco de dados existente", o método de entrada configurado no servidor anterior do Microsoft Entra Connect não é preservado. Além disso, não é possível configurar o método de entrada durante a instalação. Você só pode configurar o método de entrada após a conclusão da instalação.
  • Não é possível ter vários servidores Microsoft Entra Connect compartilhando o mesmo banco de dados ADSync. O método "use existing database" permite reutilizar um banco de dados ADSync existente com um novo servidor Microsoft Entra Connect. Não suporta partilha.

Etapas para instalar o Microsoft Entra Connect com o modo "usar banco de dados existente"

  1. Baixe o instalador do Microsoft Entra Connect (AzureADConnect.MSI) para o servidor Windows. Selecione duas vezes o instalador do Microsoft Entra Connect para iniciar a instalação do Microsoft Entra Connect.
  2. Quando a instalação do MSI for concluída, o assistente do Microsoft Entra Connect será iniciado com a configuração do modo expresso. Feche a tela selecionando o ícone Sair. Captura de ecrã que mostra a página
  3. Inicie um novo prompt de comando ou sessão do PowerShell. Navegue até a pasta "C:\Program Files\Microsoft Entra Connect". Executar comando .\AzureADConnect.exe /useexistingdatabase para iniciar o assistente do Microsoft Entra Connect no modo de configuração "Usar banco de dados existente".

Observação

Use a opção /UseExistingDatabase somente quando o banco de dados já contiver dados de uma instalação anterior do Microsoft Entra Connect. Por exemplo, quando você está movendo de um banco de dados local para um banco de dados SQL Server completo ou quando o servidor Microsoft Entra Connect foi reconstruído e você restaurou um backup SQL do banco de dados ADSync de uma instalação anterior do Microsoft Entra Connect. Se o banco de dados estiver vazio, ou seja, não contiver dados de uma instalação anterior do Microsoft Entra Connect, ignore esta etapa.

PowerShell

  1. Você será recebido com a tela Bem-vindo ao Microsoft Entra Connect. Depois de concordar com os termos de licença e o aviso de privacidade, selecione Continuar . Captura de tela que mostra a página

  2. Na tela Instalar componentes necessários, a opção Usar um SQL Server existente está habilitada. Especifique o nome do servidor SQL que está hospedando o banco de dados ADSync. Se a instância do mecanismo SQL usada para hospedar o banco de dados ADSync não for a instância padrão no servidor SQL, você deverá especificar o nome da instância do mecanismo SQL. Além disso, se a navegação SQL não estiver habilitada, você também deverá especificar o número da porta da instância do mecanismo SQL. Por exemplo:
    Captura de tela que mostra a página

  3. Na tela Conectar ao Microsoft Entra ID, você deve fornecer as credenciais de um Administrador de Identidade Híbrida do diretório do Microsoft Entra. A recomendação é usar uma conta no domínio onmicrosoft.com padrão. Esta conta só é usada para criar uma conta de serviço no Microsoft Entra ID e não é usada após a conclusão do assistente de configuração. Conectar

  4. Na tela Conectar os seus diretórios, a floresta do Active Directory (AD) existente, configurada para sincronização de diretórios, está listada com um ícone de cruz vermelha ao seu lado. Para sincronizar alterações de uma floresta do AD local, é necessária uma conta do AD DS. O assistente do Microsoft Entra Connect não consegue recuperar as credenciais da conta do AD DS armazenada no banco de dados ADSync. Isso ocorre porque as credenciais são criptografadas e só podem ser descriptografadas pelo servidor anterior do Microsoft Entra Connect. Selecione Alterar Credenciais para especificar a conta do AD DS para a floresta do AD. Diretórios

  5. Na caixa de diálogo pop-up, você pode (i) fornecer uma credencial de administrador corporativo e permitir que o Microsoft Entra Connect crie a conta do AD DS para você ou (ii) criar a conta do AD DS você mesmo e fornecer sua credencial ao Microsoft Entra Connect. Depois de selecionar uma opção e fornecer as credenciais necessárias, selecione OK para fechar a caixa de diálogo pop-up. Captura de tela que mostra o diálogo pop-up

  6. Uma vez que as credenciais são fornecidas, o ícone de cruz vermelha é substituído por um ícone de tick verde. Selecione Avançar. Captura de tela que mostra a página

  7. Na tela Pronto para configurar, selecione Instalar. Bem-vindo

  8. Após a conclusão da instalação, o servidor Microsoft Entra Connect é automaticamente ativado para o Modo de Preparo. É recomendável que você revise a configuração do servidor e as exportações pendentes em busca de alterações inesperadas antes de desabilitar o Modo de Preparo.

Tarefas pós-instalação

Ao restaurar um backup de base de dados criado por uma versão do Microsoft Entra Connect anterior à 1.2.65.0, o servidor de preparação seleciona automaticamente um método de início de sessão de Não Configurar. Enquanto as suas preferências de sincronização de hash de senha e escrita de senha de volta são restauradas, deve posteriormente alterar o método de autenticação para corresponder às outras políticas vigentes no seu servidor de sincronização ativo. A falha na conclusão dessas etapas pode impedir que os usuários entrem caso esse servidor fique ativo.

Use a tabela a seguir para verificar as etapas adicionais necessárias.

Funcionalidade Passos
Sincronização de hash de palavra-passe as configurações de Sincronização de Hash de Senha e Write-back de Senha são totalmente restauradas para versões do Microsoft Entra Connect a partir de 1.2.65.0. Se estiver restaurando usando uma versão mais antiga do Microsoft Entra Connect, revise as configurações de opção de sincronização desses recursos para garantir que eles correspondam ao seu servidor de sincronização ativo. Nenhuma outra etapa de configuração deve ser necessária.
Federação com AD FS As autenticações do Azure continuam a usar a política do AD FS configurada para seu servidor de sincronização ativo. Se você usar o Microsoft Entra Connect para gerenciar seu farm do AD FS, poderá opcionalmente alterar o método de entrada para federação do AD FS. Isso prepara seu servidor em espera para se tornar a instância de sincronização ativa. Se as opções de dispositivo estiverem habilitadas no servidor de sincronização ativo, configure essas opções nesse servidor executando a tarefa "Configurar opções de dispositivo".
Autenticação de passagem e Desktop Single Sign-On Atualize o método de entrada para corresponder à configuração no servidor de sincronização ativo. Se não seguires este procedimento antes de promover o servidor a primário, a autenticação de passagem e o Seamless Single Sign-On serão desativados. Além disso, o seu inquilino pode ser bloqueado se não tiver sincronização de hash de senha como uma opção de acesso de backup. Quando você habilita a autenticação de passagem no modo de preparação, um novo agente de autenticação será instalado, registrado e executado como um agente de alta disponibilidade que aceitará solicitações de login.
Federação com PingFederate As autenticações do Azure continuam a usar a política PingFederate configurada para seu servidor de sincronização ativo. Opcionalmente, você pode alterar o método de entrada para PingFederate em preparação para que seu servidor em espera se torne a instância de sincronização ativa. Esta etapa pode ser adiada até que você precise federar domínios adicionais com o PingFederate.

Próximos passos