使用现有 ADSync 数据库安装 Microsoft Entra Connect
Microsoft Entra Connect 要求使用 SQL Server 数据库来存储数据。 可以使用随 Microsoft Entra Connect 一起安装的默认 SQL Server 2019 Express LocalDB,也可以使用自己的完整版本 SQL。 以前,当安装 Microsoft Entra Connect 时,始终会创建一个名为 ADSync 的新数据库。 使用 Microsoft Entra Connect 版本 1.1.613.0(或更高版本),可以选择通过将 Microsoft Entra Connect 指向现有的 ADSync 数据库来安装 Microsoft Entra Connect。
使用现有 ADSync 数据库的优势
通过指向现有 ADSync 数据库:
- 除凭据信息外,ADSync 数据库中存储的同步配置(包括自定义同步规则、连接器、筛选和可选功能配置)在安装过程中会自动恢复并使用。 Microsoft Entra Connect 用于与本地 AD 和 Microsoft Entra ID 同步更改的凭据已加密,并且只能由以前的 Microsoft Entra Connect 服务器访问。
- 同时恢复存储在 ADSync 数据库中的所有标识数据(已与连接器空间和 Metaverse 关联)以及同步 Cookie。 新安装的 Microsoft Entra Connect 服务器可以从先前 Microsoft Entra Connect 服务器离开的位置继续同步,无需执行完全同步。
受益于使用现有 ADSync 数据库的方案
这些优势在以下方案中非常有用:
- 你已有 Microsoft Entra Connect 部署。 现有 Microsoft Entra Connect 服务器不再工作,但包含 ADSync 数据库的 SQL Server 仍然可用。 可以安装新的 Microsoft Entra Connect 服务器并将其指向现有 ADSync 数据库。
- 你已有 Microsoft Entra Connect 部署。 包含 ADSync 数据库的 SQL Server 不再运行。 但是拥有数据库的近期备份。 可先将 ADSync 数据库还原到新的 SQL Server。 然后,可以安装新的 Microsoft Entra Connect 服务器并将其指向已还原的 ADSync 数据库。
- 你拥有正在使用 LocalDB 的现有 Microsoft Entra Connect 部署。 由于 LocalDB 规定了 10 GB 的限制,你可能希望迁移到完整的 SQL。 可从 LocalDB 备份 ADSync 数据库并将其还原到 SQL Server。 然后,可以重新安装新的 Microsoft Entra Connect 服务器并将其指向已还原的 ADSync 数据库。
- 正在尝试设置暂存服务器,并希望确保其配置与当前活动服务器的配置相匹配。 可以备份 ADSync 数据库并将其还原到其他 SQL Server。 然后,可以重新安装新的 Microsoft Entra Connect 服务器并将其指向已还原的 ADSync 数据库。
先决条件信息
在开始之前,请注意如下重要注意事项:
- 请务必查看安装 Microsoft Entra Connect 在硬件和其他方面的先决条件,以及安装 Microsoft Entra Connect 所需的帐户和权限。 通过“使用现有数据库”模式安装 Microsoft Entra Connect 所需的权限与“自定义”安装相同。
- 仅完整的 SQL 才支持针对现有 ADSync 数据库部署 Microsoft Entra Connect。 它不支持 SQL Express LocalDB。 如果 LocalDB 中存在要使用的现有 ADSync 数据库,则必须先备份 ADSync 数据库 (LocalDB) 并将其还原至完整的 SQL。 然后,可使用此方法针对还原的数据库部署 Microsoft Entra Connect。
- 用于安装的 Microsoft Entra Connect 版本必须满足以下条件:
- 1.1.613.0 或更高版本,并且
- 与上次同 ADSync 数据库一起使用的 Microsoft Entra Connect 版本相同或比之更高。 如果用于安装的 Microsoft Entra Connect 版本高于上次与 ADSync 数据库一起使用时的版本,则可能需要进行完全同步。 如果两个版本之间存在架构或同步规则更改,则完全同步是必需的。
- 所使用的 ADSync 数据库应包含相对较新的同步状态。 与现有 ADSync 数据库的最后一个同步活动应在过去三周内进行,否则需要从 Microsoft Entra ID 进行完全导入才能更新目录水印。
- 通过“使用现有数据库”方法安装 Microsoft Entra Connect 时,不会保留在之前的 Microsoft Entra Connect 服务器上配置的登录方法。 此外,无法在安装过程中配置登录方法。 只能在安装完成后配置登录方法。
- 多个 Microsoft Entra Connect 服务器不能共享相同的 ADSync 数据库。 “使用现有数据库”方法允许在新的 Microsoft Entra Connect 服务器中重用现有 ADSync 数据库。 此方法不支持共享。
通过“使用现有数据库”模式安装 Microsoft Entra Connect 的步骤
- 将 Microsoft Entra Connect 安装程序 (AzureADConnect.MSI) 下载到 Windows Server。 双击 Microsoft Entra Connect 安装程序,开始安装 Microsoft Entra Connect。
- MSI 安装完成后,将启动 Microsoft Entra Connect 向导,进入快速模式安装。 单击“退出”图标关闭屏幕。
- 启动新的命令提示符或 PowerShell 会话。 导航到“C:\Program Files\Microsoft Entra Connect”文件夹。 运行命令 .\AzureADConnect.exe /useexistingdatabase,在“使用现有数据库”安装模式下启动 Microsoft Entra Connect 向导。
注意
只有当数据库已包含来自早期 Microsoft Entra Connect 安装的数据时,才应使用 /UseExistingDatabase 开关。 例如,当从本地数据库移动到完整 SQL Server 数据库时,或者当重建 Microsoft Entra Connect 服务器并且从早期 Microsoft Entra Connect 安装还原了 ADSync 数据库的 SQL 备份时。 如果数据库为空(即不包含前面的 Microsoft Entra Connect 安装的任何数据),请跳过此步骤。
出现“欢迎使用 Microsoft Entra Connect”屏幕。 同意许可条款和隐私声明后,单击“继续”。
在“安装所需组件”屏幕上,“使用现有 SQL Server”选项已启用 。 指定托管 ADSync 数据库的 SQL Server 的名称。 如果用于托管 ADSync 数据库的 SQL 引擎实例不是 SQL Server 上的默认实例,则必须指定 SQL 引擎实例名称。 此外,如果没有启用 SQL 浏览,还必须指定 SQL 引擎实例端口号。 例如:
在“连接到 Microsoft Entra ID”屏幕上,必须提供 Microsoft Entra 目录的混合标识管理员凭据。 建议使用默认 partner.onmschina.cn 域中的帐户。 此帐户仅用于在 Microsoft Entra ID 中创建服务帐户,在向导完成后将不会使用。
在“连接目录”屏幕上,为目录同步配置的现有 AD 林旁边显示有红色十字图标。 若要同步本地 AD 林中的更改,需要 AD DS 帐户。 Microsoft Entra Connect 向导无法检索存储在 ADSync 数据库中的 AD DS 帐户凭据,因为凭据已加密,只能由先前的 Microsoft Entra Connect 服务器进行解密。 单击“更改凭据”为 AD 林指定 AD DS 帐户。
在弹出对话框中,可以 (i) 提供企业管理员凭据,并让 Microsoft Entra Connect 为你创建 AD DS 帐户,或 (ii) 自行创建 AD DS 帐户,并将其凭据提供给 Microsoft Entra Connect。 选择一个选项并提供必要凭据后,单击“确定”关闭弹出对话框。
提供凭据后,红色十字图标将被替换为绿色钩号图标。 单击“下一步”。
在“准备好配置”屏幕上,单击“安装” 。
安装完成后,Microsoft Entra Connect 服务器将自动启用暂存模式。 建议在禁用暂存模式之前,查看服务器配置和意外更改的挂起导出。
安装后任务
还原使用低于 1.2.65.0 版本的 Microsoft Entra Connect 创建的数据库备份时,暂存服务器会自动选择登录方法“不配置”。 尽管会还原密码哈希同步和密码写回首选项,但随后必须更改登录方法,以便与活动同步服务器的其他生效策略匹配。 如果不完成这些步骤,当此服务器变为活动状态时,用户可能无法登录。
使用下表来确认是否需要执行其他任何步骤。
功能 | 步骤 |
---|---|
密码哈希同步 | 从 Microsoft Entra Connect 版本 1.2.65.0 开始,密码哈希同步和密码写回设置将完全还原。 如果使用早期版本的 Microsoft Entra Connect 还原,请查看这些功能的同步选项设置,以确保它们与活动的同步服务器匹配。 不必要执行其他任何配置步骤。 |
使用 AD FS 进行联合身份验证 | Azure 身份验证将继续使用针对活动同步服务器配置的 AD FS 策略。 如果使用 Microsoft Entra Connect 来管理 AD FS 场,则可以选择性地将登录方法更改为 AD FS 联合身份验证,以应对备用服务器变成活动同步实例时的情况。 如果在活动同步服务器上启用了设备选项,请通过运行“配置设备选项”任务,在此服务器上配置这些选项。 |
使用 PingFederate 进行联合身份验证 | Azure 身份验证将继续使用针对活动同步服务器配置的 PingFederate 策略。 可以选择性地将登录方法更改为 PingFederate,以应对备用服务器变成活动同步实例时的情况。 可将此步骤推迟到需要使用 PingFederate 联合其他域为止。 |
后续步骤
- 安装 Microsoft Entra Connect 后,可以验证安装并分配许可证。
- 若要了解在安装过程中启用的这些功能,请参阅:防止意外删除。
- 若要了解有关这些常见主题的详细信息,请参阅计划程序以及如何触发同步。
- 详细了解如何将本地标识与 Microsoft Entra ID 集成。