Compartilhar via

Importar e exportar definições de configuração do Microsoft Entra Connect

As implantações do Microsoft Entra Connect variam de uma única instalação do modo Express de floresta a implantações complexas que são sincronizadas em várias florestas usando regras de sincronização personalizadas. Devido ao grande número de opções e mecanismos de configuração, é essencial entender quais configurações estão em vigor, e ser capaz de implantar rapidamente um servidor com uma configuração idêntica. Esse recurso apresenta a capacidade de catalogar a configuração de um servidor de sincronização específico e importar as configurações para uma nova implantação. Você pode comparar instantâneos de configurações de sincronização diferentes para visualizar facilmente as diferenças entre dois servidores ou o mesmo servidor ao longo do tempo.

Sempre que a configuração é alterada do assistente do Microsoft Entra Connect, um novo arquivo de configurações JSON com carimbo de data/hora é exportado automaticamente para %ProgramData%\AADConnect. O nome do arquivo de configurações está no formato Applied-SynchronizationPolicy-*.JSON, no qual a última parte do nome do arquivo é um carimbo de data/hora.

Importante

Somente as alterações feitas pelo Microsoft Entra Connect são exportadas automaticamente. Todas as alterações feitas usando o PowerShell, o Synchronization Service Manager ou o editor de regras de sincronização devem ser exportadas sob demanda conforme necessário para manter uma cópia atualizada. Você também pode usar a exportação sob demanda para colocar uma cópia das configurações em um local seguro para fins de recuperação de desastre.

Você não poderá usar esse recurso se a instalação do Microsoft Entra Connect foi modificada para incluir o conector G-SQL ou o conector G-LDAP. Você também não pode combinar esse recurso ao usar um banco de dados existente do Microsoft Entra Connect Sync. O uso da configuração de importação/exportação e o uso de um banco de dados existente são mutuamente exclusivos.

Exportar configurações do Microsoft Entra Connect

Para exibir um resumo das configurações, abra a ferramenta Microsoft Entra Connect e selecione a tarefa chamada Exibir ou Exportar Configuração Atual. Um resumo rápido de suas configurações é mostrado junto com a capacidade de exportar a configuração completa do servidor.

Por padrão, as configurações são exportadas para %ProgramData%\AADConnect. Você também pode optar por salvar as configurações em um local protegido para garantir a disponibilidade se ocorrer um desastre. As configurações são exportadas usando o formato de arquivo JSON e não devem ser criadas à mão ou editadas para garantir a consistência lógica. A importação de um arquivo criado manualmente ou editado não tem suporte e pode levar a resultados inesperados.

Importar configurações do Microsoft Entra Connect

Para importar configurações exportadas anteriormente:

  1. Instale o Microsoft Entra Connect em um novo servidor.

  2. Após a página De boas-vindas , selecione a opção Personalizar .

  3. Selecione Importar as configurações de sincronização Procure o arquivo de configurações JSON exportado anteriormente.

  4. Selecione Instalar.

    Captura de tela que mostra a tela de instalação de componentes necessários.

Substitua as configurações nesta página, como o uso de SQL Server em vez de LocalDB ou o uso de uma conta de serviço existente em vez de uma conta de serviço virtual padrão. Essas configurações não são importadas do arquivo de definições de configuração. Eles estão lá para fins de informação e comparação.

Não há suporte para modificar o arquivo JSON exportado para alterar a configuração.

Experiência de instalação de importação

A experiência de instalação de importação é mantida intencionalmente simples com entradas mínimas do usuário para fornecer facilmente uma reprodução de um servidor existente.

A seção a seguir mostra as alterações que você pode fazer durante a experiência de instalação. Todas as outras alterações devem ser feitas após a instalação do assistente do Microsoft Entra Connect:

  • Credenciais do Microsoft Entra: o nome da conta para o administrador usado para configurar o servidor original é sugerido por padrão. Ele deve ser alterado se você quiser sincronizar informações com um novo diretório.
  • Credenciais do usuário: as opções de logon configuradas para o servidor original são selecionadas por padrão e solicitam automaticamente as credenciais ou outras informações necessárias durante a configuração. Em casos raros, talvez seja necessário configurar um servidor com opções diferentes para evitar alterar o comportamento do servidor ativo. Caso contrário, selecione Avançar para usar as mesmas configurações.
  • Credenciais de diretório local: para cada diretório local incluído nas configurações de sincronização, você deve fornecer credenciais para criar uma conta de sincronização ou fornecer uma conta de sincronização personalizada pré-criada. Esse procedimento é idêntico à experiência de instalação limpa, com a exceção de que você não pode adicionar ou remover diretórios.
  • Opções de configuração: como com uma instalação limpa, você pode optar por definir as configurações iniciais para se iniciar a sincronização automática ou habilitar o modo de preparo. A principal diferença é que o modo de preparo é habilitado intencionalmente por padrão para permitir a comparação dos resultados de configuração e sincronização antes de exportar ativamente os resultados para a ID do Microsoft Entra.

Captura de tela que mostra a tela Conectar seus diretórios.

Apenas um servidor de sincronização pode estar na função primária e exportar ativamente as alterações de configuração para a ID do Microsoft Entra. Todos os outros servidores devem ser colocados no modo de preparo.

Como migrar configurações de um servidor existente

Se um servidor existente não der suporte ao gerenciamento de configurações, você poderá optar por atualizar o servidor no local ou migrar as configurações para uso em um novo servidor de preparo.

A migração requer a execução de um script do PowerShell que extrai as configurações existentes para uso em uma nova instalação. Use esse método para catalogar as configurações do servidor existente e aplicá-las a um servidor de preparo recém-instalado. Comparar as configurações do servidor original com um servidor recém-criado visualiza rapidamente as alterações entre os servidores. Como sempre, siga o processo de certificação da sua organização para garantir que nenhuma outra configuração seja necessária.

Processo de migração

Para migrar as configurações:

  1. Inicie AzureADConnect.msi no novo servidor de teste e pare na página Bem-vindo do Microsoft Entra Connect.

  2. Copie MigrateSettings.ps1 do diretório Microsoft Entra Connect\Tools para um local no servidor existente. Um exemplo é C:\setup, em que a instalação é um diretório que foi criado no servidor existente.

    Captura de tela que mostra os diretórios do Microsoft Entra Connect.

    Se você vir o erro Message: A positional parameter cannot be found that accepts argument 'True'.:

    Captura de tela que mostra o erro.

    Em seguida, edite o MigrateSettings.ps1 arquivo e remova $true e execute o script:

    Captura de tela que mostra a edição da configuração.

  3. Execute o script conforme mostrado na captura de tela a seguir e salve todo o diretório de configuração do servidor de nível inferior. Copie esse diretório para o novo servidor de preparo. Você deve copiar a pasta inteira Exported-ServerConfiguration-* para o novo servidor.

    Captura de tela que mostra o script no PowerShell.

    Captura de tela que mostra a cópia da pasta Exported-ServerConfiguration-*.

  4. Inicie o Microsoft Entra Connect clicando duas vezes no ícone na área de trabalho. Aceite os Termos de Licença para Software Microsoft e, na próxima página, selecione Personalizar.

  5. Marque a caixa de seleção Importar configurações de sincronização . Selecione Navegar para acessar a pasta copiada Exported-ServerConfiguration-*. Selecione MigratedPolicy.json para importar as configurações migradas.

    Captura de tela que mostra a opção Importar configurações de sincronização.

Verificação pós-instalação

Comparar o arquivo de configurações originalmente importado com o arquivo de configurações exportado do novo servidor implantado é uma etapa essencial na compreensão de quaisquer diferenças entre a implantação pretendida e o resultado obtido. Usar seu aplicativo de comparação de texto favorito lado a lado produz uma visualização instantânea que realça rapidamente as alterações desejadas ou acidentais.

Embora muitas etapas de configuração anteriormente manuais sejam eliminadas, você ainda deve seguir o processo de certificação da sua organização para garantir que nenhuma outra configuração seja necessária. Essa configuração poderá ocorrer se você usar configurações avançadas, que não são capturadas atualmente nesta versão do gerenciamento de configurações.

As seguintes limitações são conhecidas:

  • Regras de sincronização: a precedência para uma regra personalizada deve estar no intervalo reservado de 0 a 99 para evitar conflitos com as regras padrão da Microsoft. Colocar uma regra personalizada fora do intervalo reservado pode fazer com que ela seja deslocada conforme as regras padrão forem sendo adicionadas à configuração. Um problema semelhante ocorrerá se sua configuração contiver regras padrão modificadas. A modificação de uma regra padrão não é recomendada e o posicionamento da regra provavelmente estará incorreto.
  • Write-back de dispositivo: essas configurações são catalogadas. Atualmente, eles não são aplicados durante a configuração. Se o write-back de dispositivo tiver sido habilitado para o servidor original, você deverá configurar manualmente o recurso no servidor implantado recentemente.
  • Tipos de objeto sincronizados: embora seja possível restringir a lista de tipos de objetos sincronizados (como usuários, contatos e grupos) usando o Gerenciador de Serviços de Sincronização, esse recurso não tem suporte no momento por meio de configurações de sincronização. Depois de concluir a instalação, você deve reaplicar manualmente a configuração avançada.
  • Atributos selecionados: embora seja possível restringir a lista de atributos sincronizados (como atributos de extensão) usando o Gerenciador de Serviços de Sincronização, esse recurso não tem suporte no momento por meio de configurações de sincronização. Depois de concluir a instalação, você deve reaplicar manualmente a configuração avançada.
  • Perfis de execução personalizados: embora seja possível modificar o conjunto padrão de perfis de execução usando o Synchronization Service Manager, atualmente, não há suporte para esse recurso por meio das configurações de sincronização. Depois de concluir a instalação, você deve reaplicar manualmente a configuração avançada.
  • Configurando a hierarquia de provisionamento: esse recurso avançado do Synchronization Service Manager não tem suporte por meio de configurações de sincronização. Ele deve ser reconfigurado manualmente após a conclusão da implantação inicial.
  • Serviços de Federação do Active Directory e autenticação PingFederate: os métodos de login associados a esses recursos de autenticação são automaticamente pré-selecionados. Você deve fornecer todos os outros parâmetros de configuração necessários de forma interativa.

Conteúdo relacionado