使用現有的 ADSync 資料庫安裝 Microsoft Entra Connect
Microsoft Entra Connect 需要 SQL Server 資料庫來儲存資料。 您可以使用與 Microsoft Entra Connect 一起安裝的預設 SQL Server 2019 Express LocalDB,或使用您自己的完整版本 SQL。 在先前,當您安裝 Microsoft Entra Connect 時,一律會建立名為 ADSync 的新資料庫。 若使用 Microsoft Entra Connect 1.1.613.0 版 (或更新版本),您可以選擇藉由指向現有的 ADSync 資料庫來安裝 Microsoft Entra Connect。
使用現有 ADSync 資料庫的優點
透過指向現有的 ADSync 資料庫:
- 除了認證資訊之外,儲存在 ADSync 資料庫 (包括自訂同步處理規則、連接器、篩選條件和選擇性功能組態) 的同步處理設定會自動復原,並在安裝期間加以使用。 Microsoft Entra Connect 用來與內部部署 AD 和 Microsoft Entra ID 同步變更的認證已經過加密,且只能由先前的 Microsoft Entra Connect 伺服器加以存取。
- 所有儲存在 ADSync 資料庫中的身分識別資料 (與連接器空間和 Metaverse 相關聯) 和同步處理 Cookie 也會加以回復。 最新安裝的 Microsoft Entra Connect 伺服器可以從先前 Microsoft Entra Connect 伺服器離開的位置繼續進行同步處理,而不須執行完整的同步處理。
使用現有 ADSync 資料庫的情節會有所幫助
這些優點在下列情節中很有用:
- 您已有現有的 Microsoft Entra Connect 部署。 現有的 Microsoft Entra Connect 伺服器已不再運作,但包含 ADSync 資料庫的 SQL Server 仍在正常運作。 您可以安裝新的 Microsoft Entra Connect 伺服器,並將其指向現有的 ADSync 資料庫。
- 您已有現有的 Microsoft Entra Connect 部署。 包含 ADSync 資料庫的 SQL Server 不再正常運作。 不過,您有資料庫的最新備份。 您可以先將 ADSync 資料庫還原到新的 SQL Server。 接著,您可以安裝新的 Microsoft Entra Connect 伺服器,並將其指向還原的 ADSync 資料庫。
- 您已有使用 LocalDB 的現有 Microsoft Entra Connect 部署。 由於 LocalDB 所加諸的 10 GB 限制,您需要移轉至完整的 SQL。 您可以從 LocalDB 備份 ADSync 資料庫,然後將它還原到 SQL Server。 接著,您可以重新安裝新的 Microsoft Entra Connect 伺服器,並將其指向還原的 ADSync 資料庫。
- 您正嘗試安裝暫存伺服器,而想要確定其設定與目前作用中伺服器的設定相符。 您可以備份 ADSync 資料庫,並將它還原到另一個 SQL Server。 接著,您可以重新安裝新的 Microsoft Entra Connect 伺服器,並將其指向還原的 ADSync 資料庫。
先決條件資訊
在繼續之前,需要記下的重要注意事項:
- 請務必檢閱在硬體安裝 Microsoft Entra Connect 的必要條件,以及安裝 Microsoft Entra Connect 所需的帳戶和權限。 透過「使用現有資料庫」模式安裝 Microsoft Entra Connect 所需的權限與「自訂」安裝所需的權限相同。
- 只有使用完整 SQL,才能以現有的 ADSync 資料庫部署 Microsoft Entra Connect。 使用 SQL Express LocalDB 時並不支援。 如果您在 LocalDB 中有想要使用的現有 ADSync 資料庫,就必須先備份該 ADSync 資料庫 (LocalDB),然後將它還原到完整 SQL。 之後,您就可以使用此方法,在還原的資料庫部署 Microsoft Entra Connect。
- 用於安裝的 Microsoft Entra Connect 版本必須滿足下列條件:
- 1.1.613.0 或以上版本,以及
- 與上一次搭配 ADSync 資料庫使用的 Microsoft Entra Connect 版本相同或更高。 若用於安裝的 Microsoft Entra Connect 版本高於上一次搭配 ADSync 資料庫使用的版本,便可能須進行完整的同步處理。 如果兩個版本之間有結構描述或同步處理規則上的變更,就必須進行完整同步處理。
- 所使用的 ADSync 資料庫應該包含相對較新的同步處理狀態。 與現有 ADSync 資料庫的最後一個同步活動應於過去三週內進行,否則必須從 Microsoft Entra ID 完整匯入,才能更新目錄浮水印。
- 若透過「使用現有資料庫」方法安裝 Microsoft Entra Connect,則不會保留在上一個 Microsoft Entra Connect 伺服器上設定的登入方法。 此外,您無法在安裝期間設定登入方法。 安裝完成之後,您才能設定登入方法。
- 多個 Microsoft Entra Connect 伺服器不能共用相同的 ADSync 資料庫。 透過「使用現有資料庫」方法,您可利用新的 Microsoft Entra Connect 伺服器來重複使用現有的 ADSync 資料庫。 它不支援共用。
透過「使用現有資料庫」模式安裝 Microsoft Entra Connect 的步驟
- 將 Microsoft Entra Connect 安裝程式 (AzureADConnect.MSI) 下載到 Windows Server。 按兩下 Microsoft Entra Connect 安裝程式,以開始安裝 Microsoft Entra Connect。
- MSI 安裝完成後,Microsoft Entra Connect 精靈將隨即啟動,開始快速模式安裝。 按一下 [結束] 圖示將畫面關閉。
![顯示 [歡迎使用 Microsoft Entra Connect] 頁面的螢幕擷取畫面,其中已醒目提示左側功能表中的 [快速設定]。](media/how-to-connect-install-existing-database/db1.png)
- 啟動新的命令提示字元或 PowerShell 工作階段。 瀏覽至 [C:\Program Files\Microsoft Entra Connect] 資料夾。 執行 .\AzureADConnect.exe /useexistingdatabase 命令,在「使用現有資料庫」安裝模式中啟動 Microsoft Entra Connect 精靈。
注意
請只有在資料庫已經包含來自先前 Microsoft Entra Connect 安裝的資料時,才使用 /UseExistingDatabase 參數。 例如,當您要從本機資料庫移至完整 SQL Server 資料庫時,或當 Microsoft Entra Connect 伺服器已重建,且您已從先前 Microsoft Entra Connect 安裝還原 ADSync 資料庫的 SQL 備份時。 若資料庫是空的,即未包含任何來自先前 Microsoft Entra Connect 安裝的資料,請略過此步驟。
出現 [歡迎使用 Microsoft Entra Connect] 畫面。 一旦您同意授權條款及隱私權注意事項後,請按一下 [繼續]。
![顯示 [歡迎使用 Microsoft Entra Connect] 頁面的螢幕擷取畫面](media/how-to-connect-install-existing-database/db3.png)
在 [安裝必要元件] 畫面上,會啟用 [使用現有的 SQL Server] 選項。 指定裝載 ADSync 資料庫的 SQL Server 名稱。 如果用來主控 ADSync 資料庫的 SQL 引擎執行個體不是 SQL Server 上的預設執行個體,您就必須指定 SQL 引擎執行個體名稱。 此外,如果未啟用 SQL 瀏覽,就必須指定 SQL 引擎執行個體的連接埠號碼。 例如:
![顯示 [安裝必要的元件] 頁面的螢幕擷取畫面。](media/how-to-connect-install-existing-database/db4.png)
在 [連線到 Microsoft Entra] 畫面中,您必須提供 Microsoft Entra 目錄的混合式身分識別管理員認證。 建議使用預設 onmicrosoft.com 網域中的帳戶。 此帳戶只會用於在 Microsoft Entra ID 中建立服務帳戶,且在精靈完成後便不會使用。
在 [連線您的目錄] 畫面上,會列出針對目錄同步作業設定的現有 AD 樹系,旁邊會有紅色十字圖示。 若要同步處理內部部署 AD 樹系的變更,需要 AD DS 帳戶。 由於儲存在 ADSync 資料庫的 AD DS 帳戶認證已加密,且只能由先前的 Microsoft Entra Connect 伺服器進行解密,因此 Microsoft Entra Connect 精靈無法擷取認證。 按一下 [變更認證] 可指定 AD 樹系的 AD DS 帳戶。
在快顯對話方塊中,您可以 (i) 提供企業管理員認證,並且讓 Microsoft Entra Connect 為您建立 AD DS 帳戶,或 (ii) 自行建立 AD DS 帳戶,並將其認證提供給 Microsoft Entra Connect。 一旦您選取選項並提供必要的認證後,請按一下 [確定] 以關閉快顯對話方塊。
![顯示 [AD 樹系帳戶] 快顯對話方塊,且已選取 [建立新 AD 帳戶] 的螢幕擷取畫面。](media/how-to-connect-install-existing-database/db7.png)
一旦提供認證後,紅色十字圖示會取代為綠色勾號圖示。 按一下 [下一步] 。
![顯示 [連接目錄] 頁面的螢幕擷取畫面。](media/how-to-connect-install-existing-database/db8.png)
在 [準備好設定] 畫面中,按一下 [安裝]。
安裝完成後,Microsoft Entra Connect 伺服器會自動啟用暫存模式。 建議您先檢閱伺服器組態和擱置的未預期變更匯出,然後再停用暫存模式。
後續安裝工作
還原 1.2.65.0 版之前的 Microsoft Entra Connect 所建立之資料庫備份時,暫存伺服器會自動選取 [不要設定] 登入方法。 雖然會還原密碼雜湊同步處理和密碼回寫喜好設定,但您必須隨後變更登入方法,以符合作用中同步處理伺服器的其他生效原則。 無法完成這些步驟,當此伺服器變為作用中時,使用者可能會無法登入。
請使用下表來確認所需的任何其他步驟。
| 功能 | 步驟 |
|---|---|
| 密碼雜湊同步處理 | 自 Microsoft Entra Connect 1.2.65.0 版起,密碼雜湊同步和密碼回寫設定都能完全還原。 若以舊版的 Microsoft Entra Connect 還原,請檢閱這些功能的同步處理選項設定,以確保和作用中的同步處理伺服器相符。 應該不需要進行任何其他設定步驟。 |
| 與 AD FS 同盟 | Azure 驗證會繼續使用為作用中的同步處理伺服器所設定的 AD FS 原則。 若使用 Microsoft Entra Connect 來管理 AD FS 伺服器陣列,可選擇性地將登入方法變更為 AD FS 同盟,以因應待命伺服器變成作用中之同步處理執行個體的情況。 如果作用中的同步處理伺服器上已啟用裝置選項,請執行 [設定裝置選項] 工作,設定此伺服器上的這些選項。 |
| 傳遞驗證和傳統型單一登入 | 更新登入方法,以符合作用中同步處理伺服器上的設定。 如果您未在將伺服器升階為主要伺服器之前這樣做,將會停用傳遞驗證和無縫單一登入,並在備份登入選項並非密碼雜湊同步時鎖定您的租用戶。 另請注意,當您在預備模式啟用傳遞驗證時,隨即會安裝、註冊新的驗證代理程式,並會執行為接受登入要求的高可用性代理程式。 |
| 與 PingFederate 同盟 | Azure 驗證會繼續使用為作用中的同步處理伺服器所設定的 PingFederate 原則。 您準備將待命伺服器變成作用中的同步處理執行個體時,可選擇性地將登入方法變更為 PingFederate。 您可以延後此步驟,直到您要使用 PingFederate 和其他網域建立同盟為止。 |
下一步
- 安裝了 Microsoft Entra Connect 之後,您可以驗證安裝和指派授權。
- 如須深入瞭解在安裝期間啟用的功能,請參閱防止意外刪除和 Microsoft Entra Connect Health。
- 深入了解這些常見主題︰排程器和如何觸發同步處理。
- 深入瞭解如何整合內部部署身分識別與 Microsoft Entra ID。