Меню

Принудительная синхронизация azure ad connect



Службы синхронизации Azure AD Connect: общие сведений о синхронизации и ее настройка Azure AD Connect sync: Understand and customize synchronization

Службы синхронизации Azure Active Directory Connect (службы синхронизации Azure AD Connect) являются основным компонентом Azure AD Connect. The Azure Active Directory Connect synchronization services (Azure AD Connect sync) is a main component of Azure AD Connect. Они отвечают за все операции, относящиеся к синхронизации идентификационных данных между локальной средой и Azure AD. It takes care of all the operations that are related to synchronize identity data between your on-premises environment and Azure AD. Служба синхронизации Azure AD Connect — это преемник таких решений, как DirSync, Azure AD Sync и Forefront Identity Manager с настроенным соединителем Azure Active Directory. Azure AD Connect sync is the successor of DirSync, Azure AD Sync, and Forefront Identity Manager with the Azure Active Directory Connector configured.

В этой статье описывается служба синхронизации Azure AD Connect (также называемая модулем синхронизации) и приводятся ссылки на другие статьи на эту тему. This topic is the home for Azure AD Connect sync (also called sync engine) and lists links to all other topics related to it. Ссылки на Azure AD Connect см. в статье интеграция локальных удостоверений с Azure Active Directory. For links to Azure AD Connect, see Integrating your on-premises identities with Azure Active Directory.

Служба синхронизации состоит из двух компонентов — локального компонента синхронизации Azure AD Connect и компонента на стороне службы в Azure AD, который называется службой синхронизации Azure AD Connect. The sync service consists of two components, the on-premises Azure AD Connect sync component and the service side in Azure AD called Azure AD Connect sync service.

Источник

Синхронизация Azure AD Connect: планировщик Azure AD Connect sync: Scheduler

В этом разделе описывается встроенный планировщик в Azure AD Connect Sync (модуль синхронизации). This topic describes the built-in scheduler in Azure AD Connect sync (sync engine).

Эта функция появилась в сборке 1.1.105.0 (выпущенной в феврале 2016 года). This feature was introduced with build 1.1.105.0 (released February 2016).

Обзор Overview

Служба синхронизации Azure AD Connect синхронизирует изменения в вашем локальном каталоге, используя планировщик. Azure AD Connect sync synchronize changes occurring in your on-premises directory using a scheduler. Планировщики выполняют два процесса — один для синхронизации паролей, другой для синхронизации объектов или атрибутов и задач технического обслуживания. There are two scheduler processes, one for password sync and another for object/attribute sync and maintenance tasks. В этом разделе рассматривается второй процесс. This topic covers the latter.

В более ранних версиях планировщик для объектов и атрибутов не входил в модуль синхронизации. In earlier releases, the scheduler for objects and attributes was external to the sync engine. Для запуска процесса синхронизации использовался планировщик заданий Windows или отдельная служба Windows. It used Windows task scheduler or a separate Windows service to trigger the synchronization process. Сейчас в модуль синхронизации встроен планировщик версии 1.1, позволяющий настраивать определенные параметры. The scheduler is with the 1.1 releases built-in to the sync engine and do allow some customization. Новая частота синхронизации по умолчанию — 30 минут. The new default synchronization frequency is 30 minutes.

Планировщик отвечает за выполнение двух задач: The scheduler is responsible for two tasks:

  • Цикл синхронизации. Synchronization cycle. Процесс импорта, синхронизации и экспорта изменений. The process to import, sync, and export changes.
  • Задачи обслуживания. Maintenance tasks. Обновление ключей и сертификатов для сброса паролей и службы регистрации устройств (DRS). Renew keys and certificates for Password reset and Device Registration Service (DRS). Удаление старых записей из журнала операций. Purge old entries in the operations log.

Сам планировщик работает всегда, но может быть настроен на выполнение только одной или ни одной из этих задач. The scheduler itself is always running, but it can be configured to only run one or none of these tasks. Например, чтобы настроить собственный цикл синхронизации, вы можете отключить эту задачу в планировщике — при этом задача обслуживания будет выполняться по-прежнему. For example, if you need to have your own synchronization cycle process, you can disable this task in the scheduler but still run the maintenance task.

По умолчанию выполняется цикл синхронизации каждые 30 минут. By default every 30 minutes a synchronization cycle is run. Если вы изменили цикл синхронизации, необходимо убедиться, что цикл синхронизации выполняется по крайней мере раз в 7 дней. If you have modified the synchronization cycley you will need to make sure that a synchronization cycle is run at least once every 7 days.

  • Дельта-синхронизация должна выполняться в течение 7 дней после последней разностной синхронизации. A delta sync needs to happen within 7 days from the last delta sync.
  • Дельта-синхронизация (после полной синхронизации) должна выполняться в течение 7 дней с момента завершения последней полной синхронизации. A delta sync (following a full sync) needs to happen within 7 days from the time the last full sync completed.

В противном случае могут возникнуть проблемы синхронизации, требующие выполнения полной синхронизации для разрешения. Failure to do so may cause synchronization issues which will require you to run a full synchronization to resolve. Это также относится к серверам в промежуточном режиме. This also applies to servers in Staging mode.

Конфигурация планировщика Scheduler configuration

Чтобы увидеть текущие параметры конфигурации, откройте PowerShell и выполните командлет Get-ADSyncScheduler . To see your current configuration settings, go to PowerShell and run Get-ADSyncScheduler . Отобразятся данные примерно следующего вида: It shows you something like this picture:

Читайте также:  Ubuntu настройка синхронизации ubuntu one

Если при запуске этого командлета отображается сообщение The sync command or cmdlet is not available (Команда синхронизации или командлет недоступны), то модуль PowerShell не загружается. If you see The sync command or cmdlet is not available when you run this cmdlet, then the PowerShell module is not loaded. Эта проблема может произойти при запуске Azure AD Connect на контроллере домена или на сервере с более высокими уровнями ограничений PowerShell, чем предусмотрено параметрами по умолчанию. This problem could happen if you run Azure AD Connect on a domain controller or on a server with higher PowerShell restriction levels than the default settings. Если отображается это сообщение об ошибке, выполните команду Import-Module ADSync , чтобы сделать командлет доступным. If you see this error, then run Import-Module ADSync to make the cmdlet available.

  • AllowedSyncCycleInterval. AllowedSyncCycleInterval. Самый короткий интервал времени между циклами синхронизации, разрешенный Azure AD. The shortest time interval between synchronization cycles allowed by Azure AD. Более частная синхронизация не поддерживается. You cannot synchronize more frequently than this setting and still be supported.
  • CurrentlyEffectiveSyncCycleInterval. CurrentlyEffectiveSyncCycleInterval. Действующее на данный момент расписание. The schedule currently in effect. Если значение этого параметра не совпадает с параметром AllowedSyncInterval, оно будет таким же, как у параметра CustomizedSyncInterval (если он задан). It has the same value as CustomizedSyncInterval (if set) if it is not more frequent than AllowedSyncInterval. При использовании сборки до версии 1.1.281 изменения параметра CustomizedSyncCycleInterval вступают в силу после следующего цикла синхронизации. If you use a build before 1.1.281 and you change CustomizedSyncCycleInterval, this change takes effect after next synchronization cycle. Начиная со сборки версии 1.1.281 изменение вступает в силу немедленно. From build 1.1.281 the change takes effect immediately.
  • Кустомизедсинкциклеинтервал. CustomizedSyncCycleInterval. Этот параметр позволяет настроить планировщик таким образом, чтобы синхронизация выполнялась чаще или реже, чем каждые 30 минут. If you want the scheduler to run at any other frequency than the default 30 minutes, then you configure this setting. На представленном выше снимке экрана планировщик настроен на ежечасное выполнение. In the picture above, the scheduler has been set to run every hour instead. Если значение этого параметра меньше, чем значение параметра AllowedSyncInterval, то используется последний. If you set this setting to a value lower than AllowedSyncInterval, then the latter is used.
  • Некстсинкциклеполицитипе. NextSyncCyclePolicyType. Изменение или исходное значение. Either Delta or Initial. Определяет, следует ли выполнять следующий запуск только для обработки изменений или если следующий запуск должен выполнить полный импорт и синхронизацию. В последнем случае также будут повторно обработаны все новые или измененные правила. Defines if the next run should only process delta changes, or if the next run should do a full import and sync. The latter would also reprocess any new or changed rules.
  • NextSyncCycleStartTimeInUTC. NextSyncCycleStartTimeInUTC. Время начала следующего цикла синхронизации. Next time the scheduler starts the next sync cycle.
  • Пуржерунхисторинтервал. PurgeRunHistoryInterval. Срок хранения журналов операций. The time operation logs should be kept. Проверить эти журналы можно в Synchronization Service Manager. These logs can be reviewed in the synchronization service manager. По умолчанию они хранятся в течение 7 дней. The default is to keep these logs for 7 days.
  • SyncCycleEnabled. SyncCycleEnabled. Указывает, если в рамках своей работы планировщик выполняется процессы импорта, синхронизации и экспорта. Indicates if the scheduler is running the import, sync, and export processes as part of its operation.
  • MaintenanceEnabled. MaintenanceEnabled. Показывает, включен ли процесс обслуживания. Shows if the maintenance process is enabled. Обновляет сертификаты и ключи и очищает журнал операций. It updates the certificates/keys and purges the operations log.
  • StagingModeEnabled. StagingModeEnabled. Показано, включен ли промежуточный режим . Shows if staging mode is enabled. Если включить этот параметр, то операции экспорта не будут выполняться, но по-прежнему будут выполняться операции импорта и синхронизации. If this setting is enabled, then it suppresses the exports from running but still run import and synchronization.
  • SchedulerSuspended. SchedulerSuspended. Задается службой Connect во время обновления, чтобы временно блокировать выполнение планировщика. Set by Connect during an upgrade to temporarily block the scheduler from running.

Некоторые из этих параметров можно изменить с помощью Set-ADSyncScheduler . You can change some of these settings with Set-ADSyncScheduler . Можно изменить следующие параметры. The following parameters can be modified:

  • CustomizedSyncCycleInterval CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType NextSyncCyclePolicyType
  • PurgeRunHistoryInterval PurgeRunHistoryInterval
  • SyncCycleEnabled SyncCycleEnabled
  • MaintenanceEnabled MaintenanceEnabled

В предыдущих сборках Azure AD Connect параметр isStagingModeEnabled предоставлялся в командлете Set-ADSyncScheduler. In earlier builds of Azure AD Connect, isStagingModeEnabled was exposed in Set-ADSyncScheduler. Установка этого свойства не поддерживается. It is unsupported to set this property. Свойство SchedulerSuspended следует изменять только с помощью Connect. The property SchedulerSuspended should only be modified by Connect. Установка этого свойства напрямую через PowerShell не поддерживается. It is unsupported to set this with PowerShell directly.

Конфигурация планировщика хранится в Azure AD. The scheduler configuration is stored in Azure AD. Если используется промежуточный сервер, то любые изменения на сервере-источнике также отражаются на промежуточном сервере (кроме IsStagingModeEnabled). If you have a staging server, any change on the primary server also affects the staging server (except IsStagingModeEnabled).

CustomizedSyncCycleInterval CustomizedSyncCycleInterval

Синтаксис: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss Syntax: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d — дни, HH — часы, mm — минуты, ss — секунды. d — days, HH — hours, mm — minutes, ss — seconds

Читайте также:  Как отключить синхронизацию контактов вацап

Например, Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00 . Example: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Планировщик будет запускаться каждые 3 часа. Changes the scheduler to run every 3 hours.

Например, Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0 . Example: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Планировщик будет запускаться один раз в день. Changes change the scheduler to run daily.

Отключение планировщика Disable the scheduler

Если в конфигурацию необходимо внести изменения, то следует отключить планировщик. If you need to make configuration changes, then you want to disable the scheduler. Например, чтобы настроить фильтрацию или внести изменения в правила синхронизации. For example, when you configure filtering or make changes to synchronization rules.

Чтобы отключить планировщик, запустите Set-ADSyncScheduler -SyncCycleEnabled $false . To disable the scheduler, run Set-ADSyncScheduler -SyncCycleEnabled $false .

После внесения изменений не забудьте снова включить планировщик с помощью Set-ADSyncScheduler -SyncCycleEnabled $true . When you’ve made your changes, do not forget to enable the scheduler again with Set-ADSyncScheduler -SyncCycleEnabled $true .

Запуск планировщика Start the scheduler

По умолчанию планировщик запускается каждые 30 минут. The scheduler is by default run every 30 minutes. В некоторых случаях может потребоваться внеплановое выполнение цикла синхронизации или синхронизация другого типа. In some cases, you might want to run a sync cycle in between the scheduled cycles or you need to run a different type.

Цикл синхронизации изменений Delta sync cycle

Цикл синхронизации изменений включает следующие этапы: A delta sync cycle includes the following steps:

  • Импорт изменений во всех соединителях Delta import on all Connectors
  • Синхронизация изменений во всех соединителях Delta sync on all Connectors
  • Экспорт во всех соединителях Export on all Connectors

Цикл полной синхронизации Full sync cycle

Цикл полной синхронизации включает следующие этапы: A full sync cycle includes the following steps:

  • Полный импорт во всех соединителях Full Import on all Connectors
  • Полная синхронизация во всех соединителях Full Sync on all Connectors
  • Экспорт во всех соединителях Export on all Connectors

Если вам необходимо срочно синхронизировать какое-то изменение, цикл синхронизации можно запустить вручную. It could be that you have an urgent change that must be synchronized immediately, which is why you need to manually run a cycle.

Если необходимо запустить цикл синхронизации вручную, запустите PowerShell Start-ADSyncSyncCycle -PolicyType Delta . If you need to manually run a sync cycle, then from PowerShell run Start-ADSyncSyncCycle -PolicyType Delta .

Чтобы запустить цикл полной синхронизации, в командной строке PowerShell выполните командлет Start-ADSyncSyncCycle -PolicyType Initial . To initiate a full sync cycle, run Start-ADSyncSyncCycle -PolicyType Initial from a PowerShell prompt.

Выполнение цикла полной синхронизации может занять много времени. Ознакомьтесь со следующим разделом, чтобы узнать, как оптимизировать этот процесс. Running a full sync cycle can be very time consuming, read the next section to read how to optimize this process.

Шаги синхронизации, необходимые для различных изменений конфигурации Sync steps required for different configuration changes

Разные изменения конфигурации потребовали различных действий синхронизации, чтобы убедиться, что изменения правильно применены ко всем объектам. Different configuration changes require different sync steps to ensure the changes are correctly applied to all objects.

  • Добавлены дополнительные объекты или атрибуты для импорта из исходного каталога (путем добавления или изменения правил синхронизации). Added more objects or attributes to be imported from a source directory (by adding/modifying the sync rules)
    • Для соединителя для этого исходного каталога требуется полный импорт. A Full Import is required on the Connector for that source directory
  • Изменения в правилах синхронизации Made changes to the Synchronization rules
    • Для соединителя необходимо выполнить полную синхронизацию для измененных правил синхронизации. A Full Sync is required on the Connector for the changed Synchronization rules
  • Изменение фильтрации, в результате которого изменяется число включаемых объектов. Changed filtering so a different number of objects should be included
    • Для каждого соединителя AD требуется полный импорт соединителя, если не используется фильтрация на основе атрибутов на основе атрибутов, которые уже импортируются в модуль синхронизации. A Full Import is required on the Connector for each AD Connector UNLESS you are using Attribute-based filtering based on attributes that are already being imported into the sync engine

Настройка цикла синхронизации запуск правильного сочетания разностных и полных операций синхронизации Customizing a sync cycle run the right mix of Delta and Full sync steps

Чтобы избежать выполнения полного цикла синхронизации, можно пометить определенные соединители для выполнения полного шага с помощью следующих командлетов. To avoid running a full sync cycle you can mark specific Connectors to run a Full step using the following cmdlets.

Set-ADSyncSchedulerConnectorOverride -Connector -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector -FullSyncRequired $true

Пример. Если вы внесли изменения в правила синхронизации для соединителя «AD Forest а», которые не требуют импорта новых атрибутов, выполните следующие командлеты, чтобы запустить разностный цикл синхронизации, который также выполнил полный шаг синхронизации для этого соединителя. Example: If you made changes to the synchronization rules for Connector “AD Forest A” that don’t require any new attributes to be imported you would run the following cmdlets to run a delta sync cycle which also did a Full Sync step for that Connector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Пример. Если вы внесли изменения в правила синхронизации для соединителя «лес AD A», чтобы теперь им требовалось импортировать новый атрибут, выполните следующие командлеты, чтобы запустить разностный цикл синхронизации, который также был полным импортом, полным синхронизацией для этого соединителя. Example: If you made changes to the synchronization rules for Connector “AD Forest A” so that they now require a new attribute to be imported you would run the following cmdlets to run a delta sync cycle which also did a Full Import, Full Sync step for that Connector.

Читайте также:  Ibooks синхронизация через itunes

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Остановка планировщика Stop the scheduler

Бывает, что планировщик необходимо остановить в процессе выполнения цикла синхронизации. If the scheduler is currently running a synchronization cycle, you might need to stop it. Это может потребоваться, например, если вы запустили мастер установки и получили следующую ошибку: For example if you start the installation wizard and you get this error:

Пока выполняется цикл синхронизации, вносить изменения в конфигурацию нельзя. When a sync cycle is running, you cannot make configuration changes. Вы можете дождаться, пока планировщик завершит синхронизацию, или остановить его и внести изменения незамедлительно. You could wait until the scheduler has finished the process, but you can also stop it so you can make your changes immediately. Остановка текущего цикла не вредит системе, а внесенные изменения обрабатываются во время следующей синхронизации. Stopping the current cycle is not harmful and pending changes are processed with next run.

Чтобы остановить планировщик во время цикла синхронизации, используйте командлет PowerShell Stop-ADSyncSyncCycle . Start by telling the scheduler to stop its current cycle with the PowerShell cmdlet Stop-ADSyncSyncCycle .

При использовании сборки до версии 1.1.281 остановка планировщика не означает, что действующий соединитель прекратит выполнение своей текущей задачи. If you use a build before 1.1.281, then stopping the scheduler does not stop the current Connector from its current task. Чтобы принудительно остановить соединитель, выполните следующие действия. To force the Connector to stop, take the following actions:

  • Запустите службу синхронизации из меню «Пуск». Start Synchronization Service from the start menu. Перейдите в раздел соединители, выделите соединитель с состоянием работаети выберите пункт приостанавливаться на действиях. Go to Connectors, highlight the Connector with the state Running, and select Stop from the Actions.

Планировщик останется активным и при первой возможности запустится снова. The scheduler is still active and starts again on next opportunity.

Настраиваемый планировщик Custom scheduler

Командлеты, описанные в этом разделе, доступны только в сборке 1.1.130.0 и более поздних версий. The cmdlets documented in this section are only available in build 1.1.130.0 and later.

Если встроенный планировщик не соответствует вашим требованиям, составить расписание для соединителей можно с помощью PowerShell. If the built-in scheduler does not satisfy your requirements, then you can schedule the Connectors using PowerShell.

Invoke-ADSyncRunProfile Invoke-ADSyncRunProfile

Запустить профиль для соединителя можно таким образом: You can start a profile for a Connector in this way:

Командлет Invoke-ADSyncRunProfile является синхронным, т. е. он не возвращает управление до тех пор, пока соединитель не завершит операцию, успешно или с ошибкой. The Invoke-ADSyncRunProfile cmdlet is synchronous, that is, it does not return control until the Connector has completed the operation, either successfully or with an error.

При создании расписания для соединителей рекомендуется запланировать их в следующем порядке: When you schedule your Connectors, the recommendation is to schedule them in the following order:

  1. (полная/изменения) импорт из локальных каталогов, например Active Directory; (Full/Delta) Import from on-premises directories, such as Active Directory
  2. (полная/изменения) импорт из Azure AD; (Full/Delta) Import from Azure AD
  3. (полная/изменения) синхронизация из локальных каталогов, например Active Directory; (Full/Delta) Synchronization from on-premises directories, such as Active Directory
  4. (полная/изменения) синхронизация из Azure AD; (Full/Delta) Synchronization from Azure AD
  5. экспорт в Azure AD; Export to Azure AD
  6. экспорт в локальные каталоги, например Active Directory. Export to on-premises directories, such as Active Directory

Этот порядок определяет, в какой последовательности встроенный планировщик запускает соединители. This order is how the built-in scheduler runs the Connectors.

Get-ADSyncConnectorRunStatus Get-ADSyncConnectorRunStatus

Вы также можете отслеживать работу модуля синхронизации (занят или бездействует). You can also monitor the sync engine to see if it is busy or idle. Этот командлет возвращает пустой результат, если модуль синхронизации бездействует и не запускает соединитель. This cmdlet returns an empty result if the sync engine is idle and is not running a Connector. Если соединитель выполняется, то он возвращает имя соединителя. If a Connector is running, it returns the name of the Connector.


На рисунке выше первая строка — из состояния, в котором модуль синхронизации бездействует. In the picture above, the first line is from a state where the sync engine is idle. Вторая строка — из состояния, в котором соединитель Azure AD выполняется. The second line from when the Azure AD Connector is running.

Планировщик и мастер установки Scheduler and installation wizard

При запуске мастера установки планировщик приостанавливается. If you start the installation wizard, then the scheduler is temporarily suspended. Это связано с тем, что вы можете внести изменения в конфигурацию, а во время активной работы модуля синхронизации их нельзя будет применить. This behavior is because it is assumed you make configuration changes and these settings cannot be applied if the sync engine is actively running. Пока мастер установки открыт, модуль синхронизации не выполняет никаких действий по синхронизации. For this reason, do not leave the installation wizard open since it stops the sync engine from performing any synchronization actions.

Дальнейшие шаги Next steps

Узнайте больше о настройке службы синхронизации Azure AD Connect . Learn more about the Azure AD Connect sync configuration.

Источник

Adblock
detector