Azure AD Connect 同步 V2 终结点 API

Microsoft 已部署新的 Azure AD Connect 终结点 (API),可提高 Azure Active Directory 的同步服务操作性能。 通过利用新的 V2 终结点,导出或导入 Azure AD 时的性能会有显著提升。 这一新终结点支持以下功能:

  • 同步具有最多 25 万名成员的组
  • 提高导出和导入到 Azure AD 的性能

备注

目前,新终结点对写回的 Microsoft 365 组没有已配置的组大小限制。 这可能会影响 Active Directory 和同步周期延迟。 建议以递增方式增加组大小。

备注

Azure AD Connect 同步 V2 终结点 API 为正式版,但目前只能在这些 Azure 环境中使用:

  • Azure 商业版
  • Azure 中国云
  • Azure 美国政府云 此 API 在 Azure 德国云中不可用

先决条件

为使用新的 V2 终结点,需要使用 Azure AD Connect 1.5.30.0 或更高版本,并按照以下部署步骤为 Azure AD Connect 服务器启用 V2 终结点。

部署指南

需要部署 Azure AD Connect 1.5.30.0 或更高版本才能使用 V2 终结点。 使用提供的链接进行下载。

建议按照交叉迁移方法在环境中推出新的终结点。 这将在事件中提供清晰的应变计划,即主要回滚必不可少。 以下示例说明如何在这种情况下使用交叉迁移。 有关交叉迁移部署方法的详细信息,请参考提供的链接。

用于部署 V2 终结点的交叉迁移

以下步骤将指导你完成使用交叉方法部署 v2 终结点。

  1. 在当前过渡服务器上部署 V2 终结点。 在以下步骤中,此服务器将称为 V2 服务器。 当前活动服务器将继续使用 V1 终结点处理生产工作负载,该服务器将称为 V1 服务器。
  2. 验证 V2 服务器是否仍按预期处理导入。 在此阶段,不会将大型组预配到 Azure AD 或本地 AD,但可以验证升级是否不会对现有同步过程造成其他任何意外影响。
  3. 验证完成后,将 V2 服务器切换为活动服务器,将 V1 服务器切换为过渡服务器 。 此时,如果启用了组写回功能,则在要同步的范围内的大型组将预配到 Azure AD,并且大型 Microsoft 365 统一组将预配到 AD。
  4. 验证 V2 服务器是否可以成功执行和处理大型组。 可以选择停留在此步骤,并监视同步过程一段时间。

备注

如果需要转换回之前的配置,可以从 V2 服务器交叉迁移回 V1 服务器 。 由于 V1 终结点不支持成员数超过 5 万的组,因此随后将删除 Azure AD 或本地 AD 中由 Azure AD Connect 预配的任何大型组。 4. 确定要使用 V2 终结点时,升级 V1 服务器以开始使用 V2 终结点。

性能影响的预期

使用 V2 终结点时,性能提升取决于同步组的数量、大小及其改动(将用户添加为组成员以及将用户从组成员中删除而产生的活动)。 在不增加同步组数量、大小或改动的情况下,使用新的终结点应该可以缩短导出和导入到 Azure AD 所需的时间。

但同步大型组时,所需的额外处理可能会抵消性能提升。 在同步过程中添加过多大型组,最终可能会增加整体同步时间。

为更好地了解添加新组将如何影响同步性能,建议先只同步成员数少于 10 万的少量大型组。 然后,可以通过 OU、属性或最大组大小筛选来引入更多的组,增加组的数量和大小。 Azure AD 连接器(而不是本地 AD 连接器)的导出和导入任务将实现性能改进。

逐步部署

以下三个阶段是部署新 V2 终结点的详细示例。 使用这些阶段作为部署指南。

阶段 1 - 安装和验证 Azure AD Connect

建议先安装或升级到 Azure AD Connect 1.5.30.0 或更高版本并验证同步过程,然后开始第二阶段,启用 V2 终结点。 在 Azure AD Connect 服务器上:

  1. [可选] 执行数据库备份
  2. 安装或升级到 Azure AD Connect 1.5.30.0 或更高版本。
  3. 验证安装

阶段 2 - 启用 V2 终结点

下一步是启用 V2 终结点。

备注

为服务器启用 V2 终结点后,可以看到现有工作负载有一些性能改进。 不过,你仍将无法同步成员数超过 5 万的组。

要切换到 V2 终结点,请执行以下步骤:

  1. 以管理员身份打开 PowerShell 命令提示符。
  2. 确认没有同步操作正在运行后,禁用同步计划程序:

Set-ADSyncScheduler -SyncCycleEnabled $false

  1. 导入新模块:

Import-Module 'C:\Program Files\Azure AD Sync\Extensions\AADConnector.psm1'

  1. 切换到 v2 终结点:

Set-ADSyncAADConnectorExportApiVersion 2

Set-ADSyncAADConnectorImportApiVersion 2

PowerShell

你现在已为服务器启用了 V2 终结点。 请花一些时间验证启用 V2 终结点后是否存在意外结果,然后再进行下一阶段,提高组大小限制。

备注

根据安装 Azure AD Connect 时所获得的安装路径,文件/模块路径可能会使用不同的驱动器号。

阶段 3 - 提高组成员身份限制

确认服务正在运行且未出现意外结果之后,可以继续提高组成员身份限制。 建议先将成员身份限制提高到稍高的值 (例如 7.5 万成员),以查看较大的组同步到 Azure AD 时的情况。 如果对结果满意,可以进一步提高成员限制。

最大限制为每组 25 万个成员。

可以按以下步骤提高成员身份限制:

  1. 打开 Azure AD 同步规则编辑器

  2. 在编辑器中,选择方向“出站”

  3. 单击“出站到 AAD - 组加入”同步规则

  4. 单击“编辑”按钮此屏幕截图显示了“查看和管理同步规则”,其中已选中“出站到 AAD - 组加入”。

  5. 单击“确定”按钮,禁用默认规则并创建可编辑的副本。 此屏幕截图显示了“编辑保留规则确认”窗口,其中已选中“是”按钮。

  6. 在“说明”页的弹出窗口中,将优先级设置为 1 到 99 之间的可用值 此屏幕截图显示了“编辑出站同步规则”窗口,其中突出显示了“优先级”。

  7. 在“转换”页面上,更新“成员”转换的“源”值,将 50000 替换为介于 50001 和 250000 之间的值 。 此替换会增加将同步到 Azure AD 的组的最大成员身份大小。 建议从 10 万开始,以了解同步大型组将对同步性能产生的影响。

示例

IIF((ValueCount("member")> 75000),Error("Maximum Group member count exceeded"),IgnoreThisFlow)

编辑同步规则

  1. 点击“保存”(Save)
  2. 打开管理员 PowerShell 提示符
  3. 重新启用同步计划程序

Set-ADSyncScheduler -SyncCycleEnabled $true

备注

如果未启用 Azure AD Connect Health,请将 Windows 应用程序事件日志设置更改为存档日志,而不是覆盖日志。 这些日志可能有助于后续的故障排除工作。

备注

启用新的终结点之后,AAD 连接器上可能会显示名为“dn-attributes-failure”的其他导出错误。 ID 为 6949 的每个错误都有相应的事件日志条目。 这些错误是信息性的,并不表示存在安装问题,而是表示由于成员对象本身未同步到 Azure AD,因此同步过程无法将某些成员添加到 Azure AD 中的组。

新的 V2 终结点代码处理某些导出错误类型的方式与 V1 代码的处理方式稍有不同。 使用 V2 终结点时,可能会显示更多的信息性错误消息。

备注

升级 Azure AD Connect 时,确保重新运行阶段 2 中的步骤,因为在升级过程中不会保留这些更改。

随后会在“出站到 AAD - 组加入”同步规则中提高组成员限制,在此期间,不需要完全同步,因此可以通过在 PowerShell 中运行以下命令来选择取消完全同步。

Set-ADSyncSchedulerConnectorOverride -FullSyncRequired $false -ConnectorName "<AAD Connector Name>"

备注

如果 Microsoft 365 统一组的成员超过 5 万,则这些组将读取到 Azure AD Connect 中,并且如果启用了组写回功能,这些组将写入到本地 AD 中。

回退

如果启用了 v2 终结点并且需要回滚,请执行以下步骤:

  1. 在 Azure AD Connect 服务器上:a. [可选] 执行数据库备份
  2. 打开管理员 PowerShell 提示符:
  3. 确认没有同步操作正在运行后,禁用同步计划程序

Set-ADSyncScheduler -SyncCycleEnabled $false

  1. 切换到 V1 终结点*

Import-Module 'C:\Program Files\Azure AD Sync\Extensions\AADConnector.psm1'

Set-ADSyncAADConnectorExportApiVersion 1

Set-ADSyncAADConnectorImportApiVersion 1

  1. 打开 Azure AD 同步规则编辑器
  2. 删除“出站到 AAD - 组加入”同步规则的可编辑副本
  3. 启用“出站到 AAD - 组加入”同步规则的默认副本
  4. 打开管理员 PowerShell 提示符
  5. 重新启用同步计划程序

Set-ADSyncScheduler -SyncCycleEnabled $true

备注

从 V2 切换回 V1 终结点时,在运行完全同步后,将删除与 5 万名以上的成员同步的组(适用于预配到 Azure AD 的 AD 组和预配到 AD 的 Microsoft 365 统一组)。

常见问题

何时新的终结点将成为升级和新安装的默认终结点?

我们计划在 2021 年 2 月发布新版本的 AADConnect 以供下载。 默认情况下,此版本会使用 V2 终结点,并会启用大于 50K 的同步组,而无需任何其他配置。 我们随后会发布这个可自动升级到符合条件的服务器的版本。

后续步骤