Microsoft Entra Bağlan Sync: Scheduler

Bu konu başlığında, Microsoft Entra Bağlan Sync'teki (eşitleme altyapısı) yerleşik zamanlayıcı açıklanmaktadır.

Bu özellik 1.1.105.0 derlemesiyle (Şubat 2016'da yayımlandı) kullanıma sunulmuştur.

Genel Bakış

Microsoft Entra Bağlan Sync, bir zamanlayıcı kullanarak şirket içi dizininizde gerçekleşen değişiklikleri eşitler. Biri parola eşitleme, diğeri nesne/öznitelik eşitleme ve bakım görevleri için olan iki zamanlayıcı işlemi vardır. Bu konu ikincisini kapsar.

Önceki sürümlerde, nesneler ve öznitelikler için zamanlayıcı eşitleme altyapısının dışındaydı. Eşitleme işlemini tetikleme amacıyla Windows görev zamanlayıcısını veya ayrı bir Windows hizmetini kullandı. Zamanlayıcı, eşitleme altyapısında yerleşik olarak bulunan 1.1 sürümleriyle birliktedir ve bazı özelleştirmelere izin verir. Yeni varsayılan eşitleme sıklığı 30 dakikadır.

Zamanlayıcı iki görevden sorumludur:

  • Eşitleme döngüsü. Değişiklikleri içeri aktarma, eşitleme ve dışarı aktarma işlemi.
  • Bakım görevleri. Parola sıfırlama ve Cihaz Kayıt Hizmeti (DRS) için anahtarları ve sertifikaları yenileyin. İşlem günlüğündeki eski girdileri temizleme.

Zamanlayıcının kendisi her zaman çalışır, ancak bu görevlerin yalnızca birini veya hiçbirini çalıştıracak şekilde yapılandırılabilir. Örneğin, kendi eşitleme döngüsü işleminize sahip olmanız gerekiyorsa, zamanlayıcıda bu görevi devre dışı bırakabilir, ancak yine de bakım görevini çalıştırabilirsiniz.

Önemli

Varsayılan olarak her 30 dakikada bir eşitleme döngüsü çalıştırılır. Eşitleme döngüsünü değiştirdiyseniz, eşitleme döngüsünün en az 7 günde bir çalıştırıldığından emin olmanız gerekir.

  • Delta eşitlemesinin son delta eşitlemesinden itibaren 7 gün içinde gerçekleşmesi gerekir.
  • Delta eşitlemesinin (tam eşitlemeden sonra) son tam eşitlemenin tamamlanmasından sonraki 7 gün içinde gerçekleşmesi gerekir.

Bunun yapılmaması eşitleme sorunlarına neden olabilir ve bu da çözmek için tam eşitleme çalıştırmanızı gerektirebilir. Bu, Hazırlama modundaki sunucular için de geçerlidir.

Zamanlayıcı yapılandırması

Geçerli yapılandırma ayarlarınızı görmek için PowerShell'e gidin ve komutunu çalıştırın Get-ADSyncScheduler. Size şu resme benzer bir şey gösterir:

GetSyncScheduler

Bu cmdlet'i çalıştırdığınızda Eşitleme komutu veya cmdlet'i kullanılamıyor ifadesini görürseniz PowerShell modülü yüklenmez. Microsoft Entra Bağlan bir etki alanı denetleyicisinde veya varsayılan ayarlardan daha yüksek PowerShell kısıtlama düzeylerine sahip bir sunucuda çalıştırdığınızda bu sorun oluşabilir. Bu hatayı görürseniz cmdlet'i kullanılabilir hale getirmek için komutunu çalıştırın Import-Module ADSync .

  • AllowedSyncCycleInterval. Microsoft Entra Id tarafından izin verilen eşitleme döngüleri arasındaki en kısa zaman aralığı. Bu ayardan daha sık eşitleyemezsiniz ve yine de desteklenmeye devam edebilirsiniz.
  • Şu andaEffectiveSyncCycleInterval. Geçerli olan zamanlama. AllowedSyncInterval değerinden daha sık değilse, CustomizedSyncInterval (ayarlandıysa) ile aynı değere sahiptir. 1.1.281'den önceki bir derlemeyi kullanır ve CustomizedSyncCycleInterval'ı değiştirirseniz, bu değişiklik sonraki eşitleme döngüsü sonrasında geçerli olur. Derleme 1.1.281'den değişiklik hemen geçerli olur.
  • CustomizedSyncCycleInterval. Zamanlayıcının varsayılan 30 dakikadan başka bir sıklıkta çalışmasını istiyorsanız, bu ayarı yapılandırabilirsiniz. Yukarıdaki resimde zamanlayıcı bunun yerine saatte bir çalışacak şekilde ayarlanmıştır. Bu ayarı AllowedSyncInterval değerinden daha düşük bir değere ayarlarsanız, ikincisi kullanılır.
  • NextSyncCyclePolicyType. Delta veya Initial. Sonraki çalıştırmanın yalnızca değişiklik değişikliklerini işlemesi mi yoksa bir sonraki çalıştırmanın tam içeri aktarma ve eşitleme gerçekleştirmesi mi gerektiğini tanımlar. İkincisi, yeni veya değiştirilmiş kuralları da yeniden işleyebilecektir.
  • NextSyncCycleStartTimeInUTC. Zamanlayıcı bir sonraki eşitleme döngüsünü bir sonraki başlatışında.
  • PurgeRunHistoryInterval. Zaman işlemi günlükleri tutulmalıdır. Bu günlükler eşitleme hizmeti yöneticisinde gözden geçirilebilir. Varsayılan ayar, bu günlükleri 7 gün boyunca tutmaktır.
  • SyncCycleEnabled. Zamanlayıcının, işleminin bir parçası olarak içeri aktarma, eşitleme ve dışarı aktarma işlemlerini çalıştırıp çalıştırmadığını gösterir.
  • MaintenanceEnabled. Bakım işleminin etkinleştirilip etkinleştirilmediğini gösterir. Sertifikaları/anahtarları güncelleştirir ve işlem günlüğünü temizler.
  • StagingModeEnabled. Hazırlama modunun etkin olup olmadığını gösterir. Bu ayar etkinleştirilirse dışarı aktarmaların çalışmasını engeller ancak yine de içeri aktarma ve eşitlemeyi çalıştırır.
  • SchedulerSuspended. Zamanlayıcının çalışmasını geçici olarak engellemek için yükseltme sırasında Bağlan göre ayarlayın.

Bu ayarların bazılarını ile Set-ADSyncSchedulerdeğiştirebilirsiniz. Aşağıdaki parametreler değiştirilebilir:

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

Microsoft Entra Bağlan'ın önceki derlemelerinde Set-AD Eşitleme Scheduler'da isStagingModeEnabled kullanıma sunuldu. Bu özelliği ayarlamak desteklenmez . SchedulerSuspended özelliği yalnızca Bağlan tarafından değiştirilmelidir. Bunu doğrudan PowerShell ile ayarlamak desteklenmez.

Zamanlayıcı yapılandırması Microsoft Entra Id içinde depolanır. Hazırlama sunucunuz varsa, birincil sunucudaki herhangi bir değişiklik hazırlama sunucusunu da etkiler (IsStagingModeEnabled dışında).

CustomizedSyncCycleInterval

Söz dizimi: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - gün, SS - saat, mm - dakika, ss - saniye

Örnek: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Zamanlayıcıyı 3 saatte bir çalışacak şekilde değiştirir.

Örnek: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Değişiklikler zamanlayıcıyı günlük çalışacak şekilde değiştirir.

Zamanlayıcıyı devre dışı bırakma

Yapılandırma değişiklikleri yapmanız gerekiyorsa zamanlayıcıyı devre dışı bırakmak istiyorsunuz. Örneğin, filtrelemeyi yapılandırdığınızda veya eşitleme kurallarında değişiklik yaptığınızda.

Zamanlayıcıyı devre dışı bırakmak için komutunu çalıştırın Set-ADSyncScheduler -SyncCycleEnabled $false.

Disable the scheduler

Değişikliklerinizi yaptıktan sonra zamanlayıcıyı ile Set-ADSyncScheduler -SyncCycleEnabled $trueyeniden etkinleştirmeyi unutmayın.

Zamanlayıcıyı başlatma

Zamanlayıcı varsayılan olarak her 30 dakikada bir çalıştırılır. Bazı durumlarda, zamanlanmış döngüler arasında bir eşitleme döngüsü çalıştırmak veya farklı bir tür çalıştırmanız gerekebilir.

Delta eşitleme döngüsü

Delta eşitleme döngüsü aşağıdaki adımları içerir:

  • Tüm Bağlan örlerde delta içeri aktarma
  • Tüm Bağlan örlerde delta eşitleme
  • Tüm Bağlan örlerde dışarı aktarma

Tam eşitleme döngüsü

Tam eşitleme döngüsü aşağıdaki adımları içerir:

  • Tüm Bağlan örlerde Tam İçeri Aktarma
  • Tüm Bağlan örlerde Tam Eşitleme
  • Tüm Bağlan örlerde dışarı aktarma

Hemen eşitlenmesi gereken acil bir değişikliğiniz olabilir, bu nedenle bir döngüyü el ile çalıştırmanız gerekir.

Bir eşitleme döngüsünü el ile çalıştırmanız gerekiyorsa PowerShell'den komutunu çalıştırın Start-ADSyncSyncCycle -PolicyType Delta.

Tam eşitleme döngüsü başlatmak için bir PowerShell isteminden komutunu çalıştırın Start-ADSyncSyncCycle -PolicyType Initial .

Tam eşitleme döngüsünü çalıştırmak çok zaman alabilir, bu işlemin nasıl iyileştirileceğine ilişkin bir sonraki bölümü okuyun.

Farklı yapılandırma değişiklikleri için gereken eşitleme adımları

Farklı yapılandırma değişiklikleri, değişikliklerin tüm nesnelere doğru şekilde uygulandığından emin olmak için farklı eşitleme adımları gerektirir.

  • Kaynak dizinden içeri aktarılacak daha fazla nesne veya öznitelik eklendi (eşitleme kurallarını ekleyerek/değiştirerek)
    • Bu kaynak dizin için Bağlan veya Tam İçeri Aktarma gereklidir
  • Eşitleme kurallarında değişiklik yapıldı
    • Değiştirilen Eşitleme kuralları için Bağlan veya tam eşitleme gereklidir
  • Farklı sayıda nesnenin dahil edilmesi için filtreleme değiştirildi
    • Eşitleme altyapısına zaten aktarılmakta olan özniteliklere göre Öznitelik tabanlı filtreleme kullanmıyorsanız, her AD Bağlan için Bağlan veya Tam İçeri Aktarma gereklidir

Eşitleme döngüsünü özelleştirmek Delta ve Tam eşitleme adımlarının doğru karışımını çalıştırır

Tam eşitleme döngüsünü çalıştırmaktan kaçınmak için, aşağıdaki cmdlet'leri kullanarak belirli Bağlan orları bir Tam adım çalıştıracak şekilde işaretleyebilirsiniz.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Örnek: Bağlan veya "AD Ormanı A" için herhangi bir yeni özniteliğin içeri aktarılmasını gerektirmeyen eşitleme kurallarında değişiklik yaptıysanız, bu Bağlan or için tam eşitleme adımı da yapan bir delta eşitleme döngüsü çalıştırmak için aşağıdaki cmdlet'leri çalıştırırsınız.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Örnek: Bağlan veya "AD Ormanı A" için eşitleme kurallarında değişiklikler yaptıysanız, artık yeni bir özniteliğin içeri aktarılmasını gerektirecek şekilde aşağıdaki cmdlet'leri çalıştırarak bu Bağlan or için Tam İçeri Aktarma, Tam Eşitleme adımı da yapan bir delta eşitleme döngüsü çalıştırırsınız.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Zamanlayıcıyı durdurma

Zamanlayıcı şu anda bir eşitleme döngüsü çalıştırıyorsa, bunu durdurmanız gerekebilir. Örneğin, yükleme sihirbazını başlatırsanız ve şu hatayı alırsanız:

Screenshot shows Cannot change configuration error message.

Eşitleme döngüsü çalışırken yapılandırma değişiklikleri yapamazsınız. Zamanlayıcı işlemi tamamlayana kadar bekleyebilirsiniz, ancak değişikliklerinizi hemen yapabilmeniz için de durdurabilirsiniz. Geçerli döngünün durdurulması zararlı değildir ve bekleyen değişiklikler sonraki çalıştırmayla işlenir.

  1. Zamanlayıcıya PowerShell cmdlet'iyle Stop-ADSyncSyncCyclegeçerli döngüsünü durdurmasını söyleyerek başlayın.

  2. 1.1.281'den önceki bir derleme kullanıyorsanız zamanlayıcının durdurulması geçerli Bağlan veya geçerli görevini durdurmaz. Bağlan veya durmaya zorlamak için aşağıdaki eylemleri gerçekleştirin:

    Screenshot shows Synchronization Service Manager with Connectors selected and a running connector highlighted with the Stop action selected.

    • Başlat menüsünden Eşitleme Hizmeti'ni başlatın. Bağlan or'lara gidin, Bağlan veya Çalışıyor durumunu vurgulayın ve Eylemler'den Durdur'u seçin.

Zamanlayıcı hala etkindir ve sonraki fırsatta yeniden başlar.

Özel zamanlayıcı

Bu bölümde belgelenen cmdlet'ler yalnızca 1.1.130.0 ve sonraki derlemelerde kullanılabilir.

Yerleşik zamanlayıcı gereksinimlerinizi karşılamıyorsa PowerShell kullanarak Bağlan orları zamanlayabilirsiniz.

Invoke-AD Eşitleme RunProfile

Bir Bağlan için profili şu şekilde başlatabilirsiniz:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Bağlan veya adları ve Profil Adlarını Çalıştır için kullanılacak adlar Eşitleme Hizmeti Yöneticisi kullanıcı arabiriminde bulunabilir.

Invoke Run Profile

Invoke-ADSyncRunProfile Cmdlet zaman uyumludur, yani Bağlan veya işlemi başarıyla veya bir hatayla tamamlayana kadar denetim döndürmez.

Bağlan zamanladığınızda, bunları aşağıdaki sırayla zamanlamanız önerilir:

  1. (Tam/Delta) Active Directory gibi şirket içi dizinlerden içeri aktarma
  2. (Tam/Delta) Microsoft Entra Id'den içeri aktarma
  3. (Tam/Delta) Active Directory gibi şirket içi dizinlerden eşitleme
  4. (Tam/Delta) Microsoft Entra Id'den eşitleme
  5. Microsoft Entra Id'ye aktar
  6. Active Directory gibi şirket içi dizinlere dışarı aktarma

Bu sıra, yerleşik zamanlayıcının Bağlan or'ları çalıştırma şeklidir.

Get-AD EşitlemeBağlan orRunStatus

Ayrıca, eşitleme altyapısının meşgul veya boşta olup olmadığını görmek için de izleyebilirsiniz. Eşitleme altyapısı boştaysa ve bir Bağlan çalıştırmıyorsa bu cmdlet boş bir sonuç döndürür. Bir Bağlan or çalışıyorsa, Bağlan or adını döndürür.

Get-ADSyncConnectorRunStatus

Connector Run Status
Yukarıdaki resimde, ilk satır eşitleme altyapısının boşta olduğu bir durumdandır. Microsoft Entra Bağlan or'ın çalıştığı ikinci satır.

Zamanlayıcı ve yükleme sihirbazı

Yükleme sihirbazını başlatırsanız zamanlayıcı geçici olarak askıya alınır. Bunun nedeni, yapılandırma değişiklikleri yaptığınız varsayılmasıdır ve eşitleme altyapısı etkin bir şekilde çalışıyorsa bu ayarlar uygulanamaz. Bu nedenle, eşitleme altyapısının herhangi bir eşitleme eylemi gerçekleştirmesini durdurduğundan yükleme sihirbazını açık bırakmayın.

Sonraki adımlar

Microsoft Entra Bağlan Eşitleme yapılandırması hakkında daha fazla bilgi edinin.

Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.