למד מאסטר Azure AD Connect: תזמון סנכרון וכפילות כפויה

שלבתם את שירותי הדומיין שלכם באתר (Active Directory) עם Azure AD מתבצעת באמצעות ממשק ה-GUI של Synchronization Service Manager או דרך PowerShell.

ישנם שני אופציות לשימוש ב-Azure AD באופן מקומי – אימות דרך העבר (שולח את בקשת האימות ישירות ל-Azure AD) או סנכרון סיסמאות המסנכרן בין AD המקומי ו-Azure AD. בפוסט הזה, אנו הולכים לספק הגדרה של כיצד להגדיר את תוכנת Azure Active Directory Connect כך שתסנכרן גם את סיסמאות המשתמשים.

נכסה את השלבים להפעלת סנכרון חוזר וכן איך להשתמש ב-Azure AD Connect כדי לכפות סנכרון של סיסמאות.

בגדר כללית, כדי לכפות את הסנכרון עם Azure AD באמצעות PowerShell יש לבצע את השלבים הבאים:

1. התקינו את Azure Active Directory Connect
2. יבאו את מודול הפקודות של ADSync PowerShell
3. הריצו את הפקודה Start-AdSyncSchedule שקוראת את סיסמאות התחברות של שרת הדומיין ומסנכרנת אותן עם Azure AD.

אם אתם מעדיפים ללמוד דרך וידאו, דאגו לבדוק את הסרטון המידעי הזה של TechSnips.

התקינו את Azure AD Connect

כדי לסנכרן את Active Directory באתר (On-prem) לשוכר Azure AD, תצטרך תחילה להוריד ולהתקין את תוכנת הסנכרון של Azure AD Connect. כדי לעשות זאת, יש לך שני אפשרויות. תוכל להוריד אותה מפורטל ה-Azure או ללכת ישירות לחבילת התוכנה software package.

להורדה מפורטל ה-Azure

אם בחרת שלא להוריד את החבילה מאתר מיקרוסופט, יהיה עליך לקבל את החבילה מפורטל ה-Azure.

חפש "Azure Active Directory" בפורטל. בחלק השייך ל-Azure Active Directory, לחץ על Azure AD Connect. כאן תמצא חלק של Sync Status עם קישור ל-Download Azure AD Connect.

כלי סנכרון

כאשר אתה מתקין את Azure AD Connect, זה יתקין שני כלים עיקריים שתוכל להשתמש בהם כדי לתזמן סנכרון או לכפות סנכרון.

• המודול PowerShell של ADSync
• מנהל שירות הסנכרון

באמצעות שני הכלים הללו, תוכל להגדיר סנכרון חוזר (מתוזמן) כדי לבצע באופן ידני סנכרון של Azure AD. או שתוכל להשתמש באחד מהם כדי לכפות סנכרון אד-הוק. שני הכלים בוצעים את אותו ההתנהגות. ההבחנה היחידה היא שהאחד הוא דרך שורת פקודה (PowerShell) והשני הוא אפליקציית GUI.

הגדרת מודול ה-ADSync PowerShell

כאשר אתה מתקין את Azure AD Connect, זה יתקין מודול PowerShell בשם ADSync. מודול זה מכיל כלים שמאפשרים לך לנהל את תהליך הסנכרון באמצעות PowerShell.

שימו לב שבמאמר זה, אני משתמש ב-Windows PowerShell 5.1. תוצאותיכם עשויות להשתנות אם אתם משתמשים בגרסה ישנה יותר.

כמו בכל מודולי PowerShell, יבוא המודול הוא פשוט. עם זאת, המודול לא נמצא בתיקייה ידועה של מודולי Windows PowerShell. ההתקנה מתקינה את מודול PowerShell בתיקייה C:\Program Files\Microsoft Azure AD Connect Sync\Bin.

כדי לייבא את המודול, פתחו קונסולת PowerShell והזינו את הפקודה הבאה:

PS51> Import-Module –Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -Verbose

כדי לוודא שהמודול יובא, השתמשו בפקודה Get-Module. אתם אמורים לראות את המודול ADSync ברשימה.

לוח זמנים כברירת מחדל של סינכרון Azure AD

כברירת מחדל, Azure AD Connect יוצר משימה מתוזמנת שמפעילה סינכרון דלתא (סינכרון של אובייקטים שונים בלבד) כל 30 דקות. תוכלו למצוא את הלוח זמנים על ידי פתיחת Task Scheduler. אתם אמורים לשים לב למשימה מתוזמנת תחת Microsoft –> Windows בשם Azure AD Sync Scheduler.

תוכלו לשנות את לוח הזמנים הזה, אך, זכרו ש-30 דקות הוא המרווח הנמוך ביותר הנתמך. המטרה היא לקבוע את מרווח הסינכרון כך שיתרחש מספיק לעיתים כדי לתפוס שינויים. אם הסינכרון קצר מדי, אתם סוכנים לסטיה של הרשת שלכם.

המתזמן מתמודד עם שתי משימות:

• מחזור סינכרון – התהליך לייבוא, סינכרון, ויצוא שינויים.
• משימות תחזוקה – מחדש יוצר מפתחות ותעודות לאיפוסי סיסמאות ול-שירות רישום המכשירים (DRS). זה גם מסנן רשומות ישנות ב-יומן הפעולות.

המתזמן פועל תמיד, אך אפשר להגדיר אותו להפעיל רק אחת או אף אחת מתוך משימות אלו.

לאלץ סנכרון עם Azure AD Connect

יתכן שיהיו רקעים בהם תצטרך לאלץ סנכרון של האובייקטים שלך. לדוגמה, אם תרצה לבצע תהליך מיוחד של סנכרון, תוכל להשבית את המשימה הזו במתזמן ועדיין להפעיל את משימת התחזוקה.

להשתמש ב- Azure Active Directory Connect כדי לאלץ סנכרון של סיסמה ומידע נוסף, תוכל להשתמש ב-Synchronization Service Manager או ב-PowerShell.

אלץ סנכרון עם Synchronization Service Manager

על שרת עם Azure AD Connect מותקן, נווט לתפריט ההתחלה ובחר AD Connect, ואז Synchronization Service.

ממבט ראשון זה יכול להיראות מופרך, אך אתה רק דואג לכרטיסיית Connectors וללוח בחירה הימני. בבחינה ראשונית, תראה אפשרויות לעצור (Stop) ולהתחיל (Run) את הסנכרון.

שים לב שבעת הרצת מחזור סנכרון, אין אפשרות לבצע שינויים בהגדרה. השהיית המחזור הנוכחי אינה מזיקה והשינויים הממתינים יובאו לידי עיבוד בהפעלת המחזור הבא.

קבלת מצב סנכרון באמצעות PowerShell

לפני שתכפה סנכרון, תאמת את מצב המחזור הנוכחי. כדאי לוודא את זה לפני הכפפה לסנכרון כדי למנוע בעיות בעתיד.

כדי לראות את ההגדרות הנוכחיות, פתח חלון פוורשל בשרת שבו מותקן Azure Active Directory Connect והרץ את Get-ADSyncScheduler. יופיע מספר מאפיינים כל אחד מספק מידע שימושי.

יש הרבה מידע לנתח. נלך על כל תכנית:

• AllowedSyncCycleInterval – זו התקופה הקצרה ביותר בין סינכרוניזציות. כברירת מחדל היא מוגדרת ל-30 דקות, הזמן הקצר ביותר שמותר.
• CurrentlyEffectiveSyncCycleInterval – המשך הזמן המתוקן בין סינכרוניזציות. יש לו את אותו ערך כמו CustomizedSyncInterval (אם הוא מוגדר) אם הוא לא תדיר יותר מ-AllowedSyncInterval. אם אתה משתמש בבנייה לפני 1.1.281 ואתה משנה את CustomizedSyncCycleInterval, השינוי מתקיים לאחר מחזור הסנכרון הבא. מבניה 1.1.281 והלאה, השינוי מתקיים מיד.
• CustomizedSyncCycleInterval – מוגדר כאשר ברצונך להפעיל את המתזמן לרוץ בתדירות שונה מברירת המחדל של 30 דקות.
• NextSyncCyclePolicyType – פרמטר זה מגדיר מה ישתייך הרץ הבא. אם הרץ הבא הוא סנכרון מלא, זה יציג בתחילה.
• NextSyncCycleStartTimeInUTC – זה הזמן שבו המתזמן מתחיל את המחזור הסנכרון הבא.
• PurgeRunHistoryInterval – הגדר כמה זמן ישמרו היומנים של הפעולה. הברירת מחדל היא לשמור את היומנים למשך 7 ימים.
• SyncCycleEnabled – מציין אם המתזמן רץ את תהליכי היבוא, הסנכרון והייצוא כחלק מפעולתו.
• MaintenanceEnabled – תחזוקה מופעלת מעדכן את התעודות/המפתחות ומנקה את יומני הפעולה.
• StagingModeEnabled – אם מופעל, הוא מעכב את הייצואים מלהרוץ. סנכרון.
• SchedulerSuspended – מוגדר כדי לחסום באופן זמני את המתזמן מהרצתו.

כאשר מופעלת סנכרון עם PowerShell

מצא סיסמאות חשודות ובלתי מאובטחות ב-Active Directory שלך על ידי בדיקה נגד רשימת הסיסמאות של NCSC.

יש לך מספר אפשרויות כאשר מופעל סנכרון בכוח. ניתן להכריח סנכרון מלא או סנכרון דלתא. סנכרון מלא בודק את כל העצמים ב-AD. סנכרון דלתא בודק ומסנכרן רק שינויים מאז ההרץ האחרון.

כדי להתחיל סנכרון מלא, ניתן להשתמש ב-cmdlet Start-AdSyncSyncCycle. ניתן להשתמש בפרמטר PolicyType כדי לבחור בין Full או Delta בהתאם לסנכרון שתרצה לבצע. בשני המקרים, הסנכרון יכריח סנכרון AD עבור Office 365, חשבונות זיהוי משתמש וכל התכונות האחרות.

PS51> Start-ADSyncSyncCycle -PolicyType Full
PS51> Start-ADSyncSyncCycle -PolicyType Delta

עצירת סנכרון

אם ברצונך לעצור סנכרון בתהליך, תוכל גם להשתמש ב-cmdlet Stop-ADSyncSyncCycle.

PS51> Stop-ADSyncSyncCycle

סיכום

בין אם בחרת להשתמש ב-GUI או ב-PowerShell, כעת אתה צריך לדעת דרכים שונות להשתמש בכלי Azure Active Directory Connect כדי לתזמן או לכפות סנכרון עם סביבת ה-Active Directory המקומית שלך עם Azure AD.