Sincronizzazione Microsoft Entra Connect: Utilità di pianificazione

Questo argomento descrive l'utilità di pianificazione predefinita in Microsoft Entra Connect Sync (motore di sincronizzazione).

Questa funzionalità è stata introdotta nella build 1.1.105.0 rilasciata nel mese di febbraio 2016.

Panoramica

Il servizio di sincronizzazione Microsoft Entra Connect sincronizza le modifiche rilevate nella directory locale usando un'utilità di pianificazione. Sono disponibili due processi dell'utilità di pianificazione, uno per la sincronizzazione delle password e uno per la sincronizzazione di oggetti/attributi e per le attività di manutenzione. Questo argomento illustra il secondo.

Nelle versioni precedenti l'utilità di pianificazione per oggetti e attributi è esterna al motore di sincronizzazione. Usa l'utilità di pianificazione di Windows o un servizio di Windows separato per attivare il processo di sincronizzazione. L'utilità di pianificazione è disponibile nelle versioni di tipo 1.1 incluse nel motore di sincronizzazione e consente una personalizzazione parziale. La nuova frequenza di sincronizzazione predefinita è pari a 30 minuti.

L'utilità di pianificazione è responsabile di due attività:

  • Ciclo di sincronizzazione. processo di importazione, sincronizzazione ed esportazione delle modifiche.
  • Attività di manutenzione. rinnovo di chiavi e certificati per la reimpostazione delle password e per il servizio Registrazione dispositivo. Consente di ripulire le voci obsolete nel log operazioni.

L'utilità di pianificazione stessa è sempre in esecuzione, ma può essere configurata per eseguire solo una o nessuna di queste attività. Ad esempio, se è necessario avere un processo di ciclo di sincronizzazione personalizzato, è possibile disabilitare questa attività nell'utilità di pianificazione, ma eseguire comunque l'attività di manutenzione.

Importante

Per impostazione predefinita, ogni 30 minuti viene eseguito un ciclo di sincronizzazione. Se è stato modificato il ciclo di sincronizzazione, è necessario assicurarsi che un ciclo di sincronizzazione venga eseguito almeno una volta ogni 7 giorni.

  • Una sincronizzazione differenziale deve essere eseguita entro 7 giorni dall'ultima sincronizzazione differenziale.
  • Una sincronizzazione differenziale (dopo una sincronizzazione completa) deve essere eseguita entro 7 giorni dal completamento dell'ultima sincronizzazione completa.

In caso contrario, potrebbero verificarsi problemi di sincronizzazione che richiedono l'esecuzione di una sincronizzazione completa per la risoluzione. Questo vale anche per i server in modalità di gestione temporanea.

Configurazione dell'utilità di pianificazione

Per visualizzare le impostazioni attuali della configurazione, passare a PowerShell ed eseguire il comando Get-ADSyncScheduler. Il risultato visualizzato è simile al seguente:

GetSyncScheduler

Se quando si esegue questo cmdlet viene visualizzato il messaggio Non è disponibile il comando o il cmdlet di sincronizzazione , il modulo PowerShell non viene caricato. Questo problema può verificarsi se si esegue Microsoft Entra Connect in un controller di dominio o in un server con livelli di restrizione di PowerShell più elevati rispetto alle impostazioni predefinite. Se si visualizza questo errore, eseguire Import-Module ADSync per rendere disponibile il cmdlet.

  • AllowedSyncCycleInterval. L'intervallo di tempo più breve tra i cicli di sincronizzazione consentito da Microsoft Entra ID. La sincronizzazione con una frequenza superiore a quella di questa impostazione non è supportata.
  • CurrentlyEffectiveSyncCycleInterval. pianificazione attualmente applicata. Ha lo stesso valore di CustomizedSyncInterval (se impostato), se non ha una frequenza superiore ad AllowedSyncInterval. Se si usa una build precedente alla 1.1.281 e si modifica il valore di CustomizedSyncCycleInterval, la modifica viene applicata dopo il ciclo di sincronizzazione successivo. Con la build 1.1.281 la modifica viene applicata immediatamente.
  • CustomizedSyncCycleInterval. Se si vuole che l'utilità di pianificazione sia eseguita con una frequenza diversa dal valore predefinito di 30 minuti, configurare questa impostazione. Nell'immagine precedente l'utilità di pianificazione è stata impostata per essere eseguita ogni ora. Se si configura questa impostazione su un valore inferiore a quello di AllowedSyncInterval, viene usato quest'ultimo valore.
  • NextSyncCyclePolicyType. differenziale o iniziale. Definisce se l'esecuzione successiva deve elaborare solo le modifiche differenziali o se deve eseguire un'importazione e una sincronizzazione complete, per poter rielaborare anche eventuali regole nuove o modificate.
  • NextSyncCycleStartTimeInUTC. Ora di inizio del prossimo ciclo di sincronizzazione da parte dell'utilità di pianificazione.
  • PurgeRunHistoryInterval. tempo di conservazione dei log operazioni. È possibile esaminare i log in Synchronization Service Manager. Per impostazione predefinita, i log vengono conservati per 7 giorni.
  • SyncCycleEnabled. indica se l'utilità di pianificazione esegue i processi di importazione, sincronizzazione ed esportazione come parte del funzionamento normale.
  • MaintenanceEnabled. indica se il processo di manutenzione è abilitato. Aggiorna i certificati o le chiavi e ripulisce i log operazioni.
  • StagingModeEnabled. Indica se la modalità di gestione temporanea è abilitata. Se questa impostazione è abilitata, impedisce la riesecuzione delle esportazioni, ma esegue ugualmente l'importazione e la sincronizzazione.
  • SchedulerSuspended. Impostato da Connect durante un aggiornamento per bloccare temporaneamente l'esecuzione dell'utilità di pianificazione.

Alcune di queste impostazioni possono essere modificate con Set-ADSyncScheduler. È possibile modificare i parametri seguenti:

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

Nelle versioni precedenti di Microsoft Entra Connect, isStagingModeEnabled era esposto in Set-ADSyncScheduler. L'impostazione di questa proprietà non è supportata. La proprietà SchedulerSuspended deve essere modificata solo da Connect. L'impostazione di questa proprietà direttamente con PowerShell non è supportata.

La configurazione dell'utilità di pianificazione viene archiviata in Microsoft Entra ID. Se si ha un server di staging, qualsiasi modifica apportata nel server primario ha effetto anche nel server di staging (fatta eccezione per IsStagingModeEnabled).

CustomizedSyncCycleInterval

Sintassi: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - giorni, HH - ore, mm - minuti, ss - secondi

Esempio: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Modifica l'utilità di pianificazione in modo che venga eseguita ogni 3 ore.

Esempio: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Modifica l'utilità di pianificazione in modo che venga eseguita ogni giorno.

Disabilitare l'utilità di pianificazione

Se si devono apportare modifiche alla configurazione, sarà necessario disabilitare l'utilità di pianificazione, ad esempio quando si configurano i filtri o si apportano modifiche alle regole di sincronizzazione.

Per disabilitare l'utilità di pianificazione, eseguire Set-ADSyncScheduler -SyncCycleEnabled $false.

Disabilitare l'utilità di pianificazione

Dopo avere apportato le modifiche, ricordare di abilitare di nuovo l'utilità di pianificazione con Set-ADSyncScheduler -SyncCycleEnabled $true.

Avviare l'utilità di pianificazione

Per impostazione predefinita, l'utilità di pianificazione viene eseguita ogni 30 minuti. In alcuni casi, è possibile che si voglia eseguire un ciclo di sincronizzazione tra i cicli pianificati o che sia necessario eseguirne un tipo diverso.

Ciclo di sincronizzazione differenziale

Un ciclo di sincronizzazione differenziale include i passaggi seguenti:

  • Importazione differenziale su tutti i connettori
  • Sincronizzazione differenziale su tutti i connettori
  • Esportazione su tutti i connettori

Ciclo di sincronizzazione completo

Un ciclo di sincronizzazione completa include i passaggi seguenti:

  • Importazione completa su tutti i connettori
  • Sincronizzazione completa su tutti i connettori
  • Esportazione su tutti i connettori

Potrebbe essere presente una modifica urgente da sincronizzare immediatamente e potrebbe essere quindi necessario eseguire manualmente un ciclo.

Se occorre eseguire manualmente un ciclo di sincronizzazione, in PowerShell eseguire il comando Start-ADSyncSyncCycle -PolicyType Delta.

Per avviare un ciclo di sincronizzazione completa, eseguire Start-ADSyncSyncCycle -PolicyType Initial a un prompt di PowerShell.

L'esecuzione di un ciclo di sincronizzazione completo può richiedere molto tempo, leggere la sezione successiva per leggere come ottimizzare questo processo.

Passaggi di sincronizzazione necessari per modifiche di configurazione diverse

Diverse modifiche di configurazione richiedono passaggi di sincronizzazione diversi per assicurarsi che le modifiche vengano applicate correttamente a tutti gli oggetti.

  • Aggiunta di altri oggetti o attributi da importare da una directory di origine (aggiungendo/modificando le regole di sincronizzazione)
    • Per tale directory di origine è necessaria un'importazione completa nel connettore
  • Modifiche alle regole di sincronizzazione
    • È necessaria una sincronizzazione completa nel connettore per le regole di sincronizzazione modificate
  • Modifica dei filtri in modo che venga incluso un numero diverso di oggetti
    • È necessaria un'importazione completa nel connettore per ogni connettore di Active Directory, A MENO CHE non si usi il filtro basato su attributi in base agli attributi che sono già stati importati nel motore di sincronizzazione

La personalizzazione di un ciclo di sincronizzazione esegue la combinazione corretta di passaggi delta e sincronizzazione completa

Per evitare di eseguire un ciclo di sincronizzazione completo, è possibile contrassegnare connettori specifici per eseguire un passaggio completo usando i cmdlet seguenti.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Esempio: se sono state apportate modifiche alle regole di sincronizzazione per il connettore "AD Forest A" che non richiedono l'importazione di nuovi attributi, eseguire i cmdlet seguenti per eseguire un ciclo di sincronizzazione differenziale che ha eseguito anche un passaggio di sincronizzazione completa per tale connettore.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Esempio: se sono state apportate modifiche alle regole di sincronizzazione per il connettore "AD Forest A" in modo che ora richiedano l'importazione di un nuovo attributo, eseguire i cmdlet seguenti per eseguire un ciclo di sincronizzazione differenziale che ha eseguito anche un passaggio di importazione completa, sincronizzazione completa per tale connettore.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Arrestare l'utilità di pianificazione

Se l'utilità di pianificazione sta eseguendo un ciclo di sincronizzazione, potrebbe essere necessario interromperlo. Ad esempio, se si avvia l'installazione guidata e viene visualizzato questo errore:

Screenshot che mostra il messaggio di errore Non è possibile modificare la configurazione.

Quando un ciclo di sincronizzazione è in esecuzione, non è possibile modificare la configurazione. Si può attendere il completamento del processo da parte dell'utilità di pianificazione oppure è possibile interromperlo, per potere apportare immediatamente le modifiche. L'arresto del ciclo corrente non è dannoso e le modifiche in sospeso vengono elaborate all'esecuzione successiva.

  1. Richiedere prima di tutto all'utilità di pianificazione di interrompere il ciclo corrente con il cmdlet Stop-ADSyncSyncCycledi PowerShell.

  2. Se si usa una build precedente alla 1.1.281, l'arresto dell'utilità di pianificazione non comporta l'interruzione dell'attività corrente del connettore attuale. Per imporre l'arresto del connettore, eseguire queste azioni:

    Screenshot che mostra Synchronization Service Manager con i connettori selezionati e un connettore in esecuzione evidenziato con l'azione Arresta selezionata.

    • Avviare Synchronization Service (Servizio di sincronizzazione) dal menu Start. Passare a Connettori, evidenziare il connettore con stato In esecuzione e selezionare Arresta fra le azioni.

L'utilità di pianificazione è ancora attiva e viene riavviata alla successiva opportunità.

Utilità di pianificazione personalizzata

I cmdlet illustrati in questa sezione sono disponibili solo nella build 1.1.130.0 e successive.

Se l'utilità di pianificazione predefinita non soddisfa i requisiti, è possibile pianificare i connettori con PowerShell.

Invoke-ADSyncRunProfile

È possibile avviare un profilo per un connettore in questo modo:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

I nomi da usare come nomi di connettore e nomi di profilo di esecuzione sono indicati nell'interfaccia utente di Synchronization Service Manager.

Richiamare il profilo di esecuzione

Il cmdlet Invoke-ADSyncRunProfile è sincrono, ovvero non restituisce il controllo fino a quando il connettore non ha completato l'operazione correttamente o con un errore.

Quando si pianificano i connettori, è consigliabile pianificarli nell'ordine seguente:

  1. (Completa/differenziale) Importazione da directory locali, ad esempio Active Directory
  2. (Full/Delta) Importare da Microsoft Entra ID
  3. (Completa/differenziale) Sincronizzazione da directory locali, ad esempio Active Directory
  4. (Full/Delta) Sincronizzazione da Microsoft Entra ID
  5. Esporta in Microsoft Entra ID
  6. Esportazione in directory locali, ad esempio Active Directory

Questo è l'ordine in cui l'utilità di pianificazione predefinita esegue i connettori.

Get-ADSyncConnectorRunStatus

È anche possibile monitorare il motore di sincronizzazione per verificare se è occupato o inattivo. Il cmdlet restituisce un risultato vuoto se il motore di sincronizzazione è inattivo e non è in esecuzione un connettore. Se un connettore è in esecuzione, restituisce il nome del connettore.

Get-ADSyncConnectorRunStatus

Stato di esecuzione del connettore
Nella figura precedente, la prima riga proviene da uno stato in cui il motore di sincronizzazione è inattivo. Seconda riga da quando è in esecuzione Microsoft Entra Connector.

Utilità di pianificazione e installazione guidata

Se si avvia l'installazione guidata, l'utilità di pianificazione viene sospesa temporaneamente. Si presuppone infatti che vengano apportate modifiche alla configurazione e queste impostazioni non possono essere applicate se il motore di sincronizzazione è attivamente in esecuzione. Non lasciare quindi aperta l'installazione guidata, perché impedisce al motore di sincronizzazione di eseguire azioni di sincronizzazione.

Passaggi successivi

Altre informazioni sulla configurazione di Microsoft Entra Connect Sync.

Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.