使用現有的 ADSync 資料庫安裝 Microsoft Entra Connect
Microsoft Entra Connect 需要 SQL Server 資料庫來儲存數據。 您可以使用隨 Microsoft Entra Connect 一起安裝的預設 SQL Server 2019 Express LocalDB,或使用您自己的 SQL 完整版本。 先前,當您安裝 Microsoft Entra Connect 時,一律會建立名為 ADSync 的新資料庫。 透過 Microsoft Entra Connect 1.1.613.0 版(或更新版本),您可以將它連結到現有的 ADSync 資料庫,以安裝 Microsoft Entra Connect。
使用現有ADSync資料庫的優點
透過指向現有的 ADSync 資料庫:
- 除了認證資訊之外,儲存在ADSync資料庫中的同步處理組態會自動復原,並在安裝期間使用。 這包括自定義同步處理規則、連接器、篩選和選擇性功能組態。
- 所有身分識別數據(與連接器空間及 Metaverse 相關聯)和儲存在 ADSync 資料庫中的同步 Cookie 也會恢復。 新安裝的Microsoft Entra Connect 伺服器可以繼續從先前的Microsoft Entra Connect 伺服器離開的地方進行同步處理,而不需要執行完整同步處理。
使用現有ADSync資料庫很有利的情境
這些優點在下列案例中很有用:
- 您有現有的 Microsoft Entra Connect 部署。 您現有的Microsoft Entra Connect 伺服器已不再運作,但包含 ADSync 資料庫的 SQL Server 仍在運作中。 您可以安裝新的 Microsoft Entra Connect 伺服器,並將其指向現有的 ADSync 資料庫。
- 您有現有的Microsoft Entra Connect 部署。 包含 ADSync 資料庫的 SQL Server 已不再運作。 但是,您有最近的資料庫備份。 您可以先將 ADSync 資料庫還原到新的 SQL Server。 之後,您可以安裝新的 Microsoft Entra Connect 伺服器,並將它指向還原的 ADSync 資料庫。
- 您有使用 LocalDB 的現有Microsoft Entra Connect 部署。 由於 LocalDB 強加的 10 GB 限制,因此您想要遷移至完整版本的 SQL Server。 您可以從 LocalDB 備份 ADSync 資料庫,並將其還原至 SQL Server。 之後,您可以重新安裝新的 Microsoft Entra Connect 伺服器,並將它指向還原的 ADSync 資料庫。
- 您嘗試設定預備伺服器,並想要確定其組態符合目前使用中伺服器的組態。 您可以備份 ADSync 資料庫,並將其還原至另一部 SQL Server。 之後,您可以重新安裝新的 Microsoft Entra Connect 伺服器,並將它指向還原的 ADSync 資料庫。
必要條件資訊
繼續之前要記下的重要注意事項:
- 請務必檢閱安裝 Microsoft Entra Connect 的硬體和必要條件,以及安裝 Microsoft Entra Connect 所需的帳戶和許可權。 使用「使用現有資料庫」模式安裝Microsoft Entra Connect 所需的許可權與「自定義」安裝相同。
- 只有完整 SQL 才支援針對現有 ADSync 資料庫部署Microsoft Entra Connect。 SQL Express LocalDB 不支援它。 如果您在 LocalDB 中有想要使用的現有 ADSync 資料庫,您必須先備份 ADSync 資料庫 (LocalDB)。 然後,將它還原到完整的SQL。 接下來,您可以使用此方法,針對還原的資料庫部署Microsoft Entra Connect。
- 安裝 Microsoft Entra Connect 版本必須符合下列準則:
- 1.1.613.0 或更高版本,以及
- 與 ADSync 資料庫最後一次使用的Microsoft Entra Connect 版本相同或更高。 如果用於安裝的 Microsoft Entra Connect 版本高於 ADSync 資料庫上次使用的版本,則可能需要完整同步處理。 如果兩個版本之間有架構或同步處理規則變更,則需要完整同步處理。
- 使用的ADSync資料庫應該包含相對最近的同步處理狀態。 與現有 ADSync 資料庫的最後一個同步活動應在過去三周內進行,否則需要從 Microsoft Entra ID 進行全部匯入,以更新目錄浮水印。
- 使用「使用現有資料庫」方法安裝Microsoft Entra Connect 時,不會保留先前Microsoft Entra Connect 伺服器上設定的登入方法。 此外,您無法在安裝期間設定登入方法。 您只能在安裝完成之後設定登入方法。
- 您無法有多個Microsoft Entra Connect 伺服器共用相同的 ADSync 資料庫。 「使用現有的資料庫」方法可讓您使用新的 Microsoft Entra Connect 伺服器重複使用現有的 ADSync 資料庫。 它不支持共用。
使用「使用現有資料庫」模式安裝Microsoft Entra Connect 的步驟
- 將 Microsoft Entra Connect 安裝程式 (AzureADConnect.MSI) 下載到 Windows 伺服器。 按兩下 Microsoft Entra Connect 安裝程式,開始安裝 Microsoft Entra Connect。
- MSI 安裝完成之後,Microsoft Entra Connect 精靈會從快速模式設定開始。 選取 [結束] 圖示以關閉畫面。
- 啟動新的命令提示字元或 PowerShell 工作階段。 流覽至資料夾 「C:\Program Files\Microsoft Entra Connect」。。 執行指令 。\AzureADConnect.exe /useexistingdatabase,以「使用現有的資料庫」設定模式啟動 Microsoft Entra Connect 精靈。
注意
只有當資料庫已經包含來自先前Microsoft Entra Connect 安裝的數據時,才使用參數 /UseExistingDatabase。 例如,當您從本機資料庫移至完整的 SQL Server 資料庫,或重建 Microsoft Entra Connect 伺服器時,並從先前安裝的 Microsoft Entra Connect 還原 ADSync 資料庫的 SQL 備份。 如果資料庫是空的,也就是說,它不包含先前Microsoft Entra Connect 安裝的任何數據,請略過此步驟。
您看到的是歡迎使用 Microsoft Entra Connect 的畫面。 一旦您同意授權條款和隱私權通知,請選取 繼續。
![顯示 [歡迎使用 Microsoft Entra Connect] 頁面的螢幕快照](media/how-to-connect-install-existing-database/db3.png)
在「安裝必要元件」畫面上,[使用現有的 SQL Server] 選項已啟用。 指定裝載 ADSync 資料庫的 SQL 伺服器名稱。 如果用來裝載 ADSync 資料庫的 SQL 引擎實例不是 SQL Server 上的預設實例,您必須指定 SQL 引擎實例名稱。 此外,如果未啟用 SQL 流覽,您也必須指定 SQL 引擎實例埠號碼。 例如:
![顯示 [安裝必要元件] 頁面的螢幕快照。](media/how-to-connect-install-existing-database/db4.png)
在 [連線到 Microsoft Entra ID] 畫面上,您必須提供 Microsoft Entra 目錄的混合式身分識別管理員認證。 建議在預設 onmicrosoft.com 網域中使用帳戶。 此帳戶僅用於在 Microsoft Entra ID 中建立服務帳戶,而且不會在精靈完成之後使用。
在 [連線您的目錄 畫面上,針對目錄同步處理設定的現有 AD 樹系會以紅色十字圖示列在旁邊。 若要同步來自本地 AD 樹系的變更,則需要 AD DS 帳戶。 Microsoft Entra Connect 精靈無法擷取儲存在 ADSync 資料庫中的 AD DS 帳戶認證。 這是因為認證已加密,且只能由先前的 Microsoft Entra Connect 伺服器解密。 選取 變更憑證 來指定 AD 樹系的 AD DS 帳戶。
在快顯對話框中,您可以提供 Enterprise Admin 認證,並讓 Microsoft Entra Connect 為您建立 AD DS 帳戶,或 (ii) 自行建立 AD DS 帳戶,並將其認證提供給 Microsoft Entra Connect。 當您選擇了一個選項並提供必要的資格證明後,請選取 [確定] 以關閉快顯對話方塊。
提供認證之後,紅色十字圖示會取代為綠色刻度圖示。 選取 [下一步]。
![顯示 [連線您的目錄] 頁面的螢幕快照。](media/how-to-connect-install-existing-database/db8.png)
在 準備設定 畫面上,選取 安裝。
安裝完成之後,會自動為預備模式啟用Microsoft Entra Connect 伺服器。 在停用預備模式之前,建議先檢閱伺服器設定和待處理的匯出,以確認有無非預期的變更。
安裝後的工作事項
還原 1.2.65.0 之前的 Microsoft Entra Connect 版本所建立的資料庫備份時,預備伺服器會自動選取 [不要設定]的登入方法。 當您的密碼雜湊同步和密碼回寫偏好設定被還原後,您必須隨後變更登入方法,以符合您目前同步伺服器的其他現行政策。 如果未完成這些步驟,當此伺服器啟動時,使用者可能無法登入。
使用下表來驗證所需的任何其他步驟。
| 特徵 | 步驟 |
|---|---|
| 密碼哈希同步處理 | 從 1.2.65.0 開始,Microsoft Entra Connect 版本會完整還原密碼哈希同步處理和密碼回寫設定。 如果使用舊版的 Microsoft Entra Connect 還原,請檢閱這些功能的同步處理選項設定,以確保它們符合使用中的同步處理伺服器。 不需要其他設定步驟。 |
| 與 AD FS 同盟 | Azure 驗證會繼續使用為您的已啟用同步處理伺服器所設定的 AD FS 原則。 如果您使用 Microsoft Entra Connect 來管理 AD FS 伺服器陣列,您可以選擇性地將登入方法變更為 AD FS 同盟。 這將準備您的待命伺服器成為主動同步實例。 如果在作用中的同步處理伺服器上啟用裝置選項,請執行 [設定裝置選項] 工作,在此伺服器上設定這些選項。 |
| 透過驗證和桌面單一登入 Sign-On | 更新登入方法,以符合作用中同步處理伺服器上的組態。 如果您在將伺服器升級至主要伺服器之前未遵循此程式,將會停用傳遞驗證和無縫單一 Sign-On。 此外,如果您沒有密碼哈希同步作為備份登入選項,您的租使用者可能會遭到鎖定。 當您在預備模式中啟用傳遞驗證時,將會安裝、註冊新的驗證代理程式,並以高可用性代理程式的形式執行,以接受登入要求。 |
| 與 PingFederate 同盟 | Azure 驗證會繼續使用針對作用中同步處理伺服器設定的 PingFederate 原則。 您可以選擇性地將登入方法變更為 PingFederate,以準備讓待命伺服器成為作用中的同步處理實例。 此步驟可能會延後,直到您需要將其他網域與 PingFederate 同盟為止。 |
後續步驟
- 現在您已安裝 Microsoft Entra Connect,您可以 驗證安裝並分配授權。
- 深入瞭解這些隨著安裝而啟用的功能:防止意外刪除 和 Microsoft Entra Connect 健康。
- 深入了解這些常見主題:排程器,以及如何觸發同步處理。
- 深入瞭解 整合內部部署身分識別與 Microsoft Entra ID。