Installare Microsoft Entra Connect con un database ADSync esistente

Per archiviare i dati, Microsoft Entra Connect richiede un database SQL Server. È possibile usare la versione predefinita di Local DB di SQL Server 2019 Express installata con Microsoft Entra Connect oppure usare la versione completa di SQL. Con le versioni precedenti, durante l'installazione di Microsoft Entra Connect viene sempre creato un nuovo database denominato ADSync. Con la versione 1.1.613.0 o successiva, è possibile scegliere di installare Microsoft Entra Connect associandolo a un database ADSync esistente.

Vantaggi offerti dall'utilizzo di un database ADSync

L'associazione a un database ADSync esistente offre i vantaggi seguenti:

  • Fatta eccezione per i dati delle credenziali, la configurazione di sincronizzazione archiviata nel database ADSync (incluse le regole di sincronizzazione personalizzate, i connettori, i filtri e la configurazione delle funzionalità facoltative) viene recuperata automaticamente e usata durante l'installazione. Le credenziali usate da Microsoft Entra Connect per sincronizzare le modifiche con Active Directory locale e Microsoft Entra ID sono crittografate e accessibili solo dal server di Microsoft Entra Connect precedente.
  • Vengono inoltre recuperati tutti i dati sulle identità (associati agli spazi connettore e al metaverse) e i cookie di sincronizzazione archiviati nel database ADSync. Il nuovo server installato di Microsoft Entra Connect può riprendere la sincronizzazione dal punto in cui è stata interrotta dal server di Microsoft Entra Connect precedente, invece di eseguire una sincronizzazione completa.

Scenari in cui è utile usare un database ADSync esistente

Questi vantaggi sono utili negli scenari seguenti:

  • Si ha una distribuzione di Microsoft Entra Connect esistente. Il server di Microsoft Entra Connect esistente non funziona più, ma l'istanza di SQL Server che contiene il database ADSync è ancora funzionante. È possibile installare un nuovo server di Microsoft Entra Connect e associarlo al database ADSync esistente.
  • Si ha una distribuzione di Microsoft Entra Connect esistente. L'istanza di SQL Server che contiene il database ADSync non funziona più, ma si ha un backup recente del database. È possibile innanzitutto ripristinare il database ADSync in una nuova istanza di SQL Server Successivamente, è possibile installare un nuovo server di Microsoft Entra Connect e associarlo al database ADSync ripristinato.
  • Si ha già una distribuzione di Microsoft Entra Connect che usa Local DB. A causa del limite di 10 GB imposto da Local DB, si vuole eseguire la migrazione alla versione completa di SQL. È possibile eseguire il backup del database ADSync da Local DB, ripristinarlo in un'istanza di SQL Server Successivamente, è possibile reinstallare un nuovo server di Microsoft Entra Connect e associarlo al database ADSync ripristinato.
  • Si sta provando a configurare un server di staging e si vuole avere la certezza che la configurazione corrisponda a quella del server attivo corrente. È possibile eseguire il backup del database ADSync, ripristinarlo in un'altra istanza di SQL Server Successivamente, è possibile reinstallare un nuovo server di Microsoft Entra Connect e associarlo al database ADSync ripristinato.

Informazioni sui prerequisiti

Informazioni importanti da tenere presenti prima di procedere:

  • Assicurarsi di esaminare i prerequisiti per installare Microsoft Entra Connect in Hardware e prerequisiti, nonché gli account e le autorizzazioni richieste per installare Microsoft Entra Connect. Le autorizzazioni richieste per installare Microsoft Entra Connect con la modalità "Usa database esistente" sono identiche a quelle per l'installazione "Personalizzata".
  • La distribuzione di Microsoft Entra Connect con un database ADSync esistente è supportata solo con la versione completa di SQL. Non è supportata con un Local DB di SQL Express. Se si dispone di un database ADSync esistente nel Local DB che si vuole usare, è necessario innanzitutto eseguire il backup del database ADSync (database locale) e ripristinarlo a SQL completo. Successivamente, è possibile distribuire Microsoft Entra Connect nel database ripristinato con questo metodo.
  • La versione di Microsoft Entra Connect usata per l'installazione deve soddisfare i criteri seguenti:
    • 1.1.613.0 o successiva E
    • Deve essere uguale o successiva all'ultima versione di Microsoft Entra Connect usata con il database ADSync. Se la versione di Microsoft Entra Connect usata per l'installazione è successiva all'ultima versione usata con il database ADSync, può essere necessario eseguire una sincronizzazione completa. Questa operazione è necessaria in caso di modifiche allo schema o alle regole di sincronizzazione tra le due versioni.
  • Lo stato di sincronizzazione del database ADSync usato deve essere relativamente recente. L'ultima attività di sincronizzazione con il database ADSync esistente deve essere avvenuta nelle ultime tre settimane. In caso contrario, verrà richiesta un'importazione completa da Microsoft Entra ID per aggiornare il limite delle directory.
  • Durante l'installazione di Microsoft Entra Connect con il metodo "Usa database esistente", il metodo di accesso configurato nel server di Microsoft Entra Connect precedente non viene mantenuto. Non è inoltre possibile configurare il metodo di accesso durante l'installazione, ma solo al termine dell'installazione.
  • Uno stesso database ADSync non può essere condiviso da più server di Microsoft Entra Connect. Il metodo "Usa database esistente" consente di riusare un database ADSync esistente con un nuovo server di Microsoft Entra Connect. ma non supporta la condivisione.

Passaggi per installare Microsoft Entra Connect con la modalità "Usa database esistente"

  1. Scaricare il programma di installazione di Microsoft Entra Connect (AzureADConnect.MSI) nel server Windows. Fare doppio clic sul programma di installazione di Microsoft Entra Connect per avviare l'installazione di Microsoft Entra Connect.
  2. Al termine dell'installazione MSI, viene avviata la procedura guidata per l'installazione di Microsoft Entra Connect in modalità Impostazioni rapide. Chiudere la schermata facendo clic sull'icona di chiusura. Screenshot che mostra la pagina di benvenuto in Microsoft Entra Connect con l'opzione
  3. Avviare un nuovo prompt dei comandi o una nuova sessione di PowerShell. Passare alla cartella "C:\Programmi\Microsoft Entra Connect". Eseguire il comando .\AzureADConnect.exe /useexistingdatabase per avviare la procedura guidata di Microsoft Entra Connect nella modalità di installazione "Usa database esistente".

Nota

Usare l'opzione /UseExistingDatabase solo quando il database già contiene dati provenienti da un'installazione precedente di Microsoft Entra Connect. Questo accade, ad esempio, quando si passa da un database locale a un database SQL Server completo oppure se il server Microsoft Entra Connect è stato ricostruito e si è eseguito il ripristino di un backup SQL del database ADSync da un'installazione precedente di Microsoft Entra Connect. Se il database è vuoto, ovvero non contiene dati di un'installazione precedente di Microsoft Entra Connect, ignorare questo passaggio.

PowerShell

  1. Viene visualizzata la schermata di benvenuto di Microsoft Entra Connect. Accettare le condizioni di licenza e l'informativa sulla privacy e quindi fare clic su Continua. Screenshot che mostra la pagina di benvenuto in Microsoft Entra Connect

  2. Nella schermata Installazione dei componenti necessari l'opzione Usa un'istanza di SQL Server esistente è abilitata. Specificare il nome dell'istanza di SQL Server che ospita il database ADSync. Se l'istanza del motore SQL usata per ospitare il database ADSync non è quella predefinita in SQL Server, è necessario specificarne il nome. Inoltre, se l'esplorazione di SQL non è abilitata, è necessario specificare il numero di porta dell'istanza del motore SQL, Ad esempio:
    Screenshot che mostra la pagina

  3. Nella schermata Connetti a Microsoft Entra ID è necessario specificare le credenziali di un amministratore delle identità ibride della directory di Microsoft Entra. È consigliabile usare un account nel dominio onmicrosoft.com predefinito. Questo account viene usato solo per creare un account del servizio in Microsoft Entra ID e al termine della procedura guidata non viene più usato. Connessione

  4. Nella schermata Connessione delle directory la foresta di Active Directory esistente, configurata per la sincronizzazione delle directory, è visualizzata con accanto una croce rossa. Per sincronizzare le modifiche da una foresta locale di Active Directory è necessario un account di Active Directory Domain Services. La procedura guidata di Microsoft Entra Connect non riesce a recuperare le credenziali dell'account di Active Directory Domain Services archiviate nel database ADSync perché sono crittografate e possono essere decrittografate solo dal server di Microsoft Entra Connect precedente. Fare clic su Cambia credenziali per specificare l'account di Active Directory Domain Services per la foresta di Active Directory. Directories

  5. Nella finestra di dialogo popup è possibile (i) specificare le credenziali di amministratore dell'organizzazione e consentire a Microsoft Entra Connect di creare automaticamente l'account di Active Directory Domain Services oppure (ii) creare manualmente l'account di Active Directory Domain Services e specificarne le credenziali per Microsoft Entra Connect. Dopo aver selezionato un'opzione e specificato le credenziali necessarie, fare clic su OK per chiudere la finestra di dialogo popup. Screenshot che mostra la finestra di dialogo popup

  6. Una volta specificate le credenziali, la croce rossa viene sostituita con un segno di spunta verde. Fare clic su Avanti. Screenshot che mostra la pagina

  7. Nella schermata Pronto per la configurazione fare clic su Installa. Introduzione

  8. Al termine dell'installazione, il server di Microsoft Entra Connect viene abilitato automaticamente per la modalità di gestione temporanea. Prima di disabilitare questa modalità, è consigliabile esaminare la configurazione del server e le operazioni di esportazione in sospeso per eventuali modifiche impreviste.

Attività successive all'installazione

Quando si ripristina un backup del database creato da una versione di Microsoft Entra Connect precedente alla 1.2.65.0, il server di gestione temporanea selezionerà automaticamente il metodo di accesso Non configurare. Poiché le preferenze di sincronizzazione dell'hash delle password e di writeback delle password verranno ripristinate, è necessario di conseguenza modificare il metodo di accesso in modo che corrisponda agli altri criteri in vigore per il server di sincronizzazione attivo. La mancata esecuzione di questi passaggi può impedire agli utenti di eseguire l'accesso se il server dovesse diventare attivo.

Usare la tabella seguente per verificare gli eventuali passaggi aggiuntivi necessari.

Funzionalità Passaggi
Sincronizzazione dell'hash delle password Le impostazioni di sincronizzazione dell'hash delle password e del writeback delle password vengono completamente ripristinate per Microsoft Entra Connect a partire dalla versione 1.2.65.0. Se il ripristino viene effettuato con una versione precedente di Microsoft Entra Connect, esaminare le impostazioni delle opzioni di sincronizzazione di queste funzionalità per assicurarsi che corrispondano a quelle del server di sincronizzazione attivo. Non sono necessari altri passaggi di configurazione.
Federazione tramite AD FS Le autenticazioni di Azure continueranno a usare i criteri AD FS configurati per il server di sincronizzazione attivo. Se si usa Microsoft Entra Connect per gestire la farm AD FS, è possibile impostare facoltativamente il metodo di accesso sulla federazione tramite AD FS per preparare il server di standby a diventare l'istanza di sincronizzazione attiva. Se nel server di sincronizzazione attivo sono abilitate le opzioni di dispositivo, configurare queste opzioni eseguendo l'attività Configura le opzioni del dispositivo.
Autenticazione pass-through e Single Sign-On desktop Aggiornare il metodo di accesso in modo che corrisponda alla configurazione nel server di sincronizzazione attivo. Se non si esegue questa operazione prima di alzare il server al livello di server primario, l'autenticazione pass-through con Accesso Single Sign-On facile verrà disabilitata e il tenant potrebbe essere bloccato se come backup non è stata impostata l'opzione di accesso Sincronizzazione hash password. Si noti inoltre che quando si abilita l'autenticazione pass-through in modalità di gestione temporanea, un nuovo agente di autenticazione verrà installato, registrato ed eseguito come agente a disponibilità elevata che accetta le richieste di accesso.
Federazione con PingFederate Le autenticazioni di Azure continueranno a usare i criteri PingFederate configurati per il server di sincronizzazione attivo. È possibile facoltativamente impostare il metodo di accesso su Federazione con PingFederate per preparare il server di standby a diventare l'istanza di sincronizzazione attiva. Questo passaggio può essere rinviato fino a quando non è necessario attuare la federazione di domini aggiuntivi con PingFederate.

Passaggi successivi