Microsoft Entra Connect 将Active Directory同步到Microsoft Entra ID。 此服务是将用户标识移动到云的关键组件。 影响 Microsoft Entra Connect 性能的主要因素包括:
| 设计因素 | 定义 |
|---|---|
| 拓扑 | Microsoft Entra Connect 的端点和组件的分发需要在网络上进行管理。 |
| 缩放 | 由 Microsoft Entra Connect 管理的用户、组和 OU 等对象数。 |
| 硬件 | Microsoft Entra Connect 的硬件(无论是物理还是虚拟),以及各硬件组件的性能容量依赖,包括 CPU、内存、网络和硬盘驱动器的配置。 |
| 配置 | Microsoft Entra Connect 如何处理目录和信息。 |
| 加载 | 对象更改的频率。 一小时、一日或一周内的负载各不相同。 可能需要根据峰值负载或平均负载进行设计,具体取决于组件。 |
本文档的目的是描述影响 Microsoft Entra Connect 预配引擎性能的因素。 大型或复杂的组织(预配超过 100,000 个对象的组织)可以使用建议来优化其Microsoft Entra Connect 实现(如果遇到此处概述的任何性能问题)。 此处未介绍 Microsoft Entra Connect 的其他组件。
重要
Microsoft不支持超出正式文档记录的操作范围来修改或操作Microsoft Entra Connect。 其中任何作都可能导致Microsoft Entra Connect Sync 的状态不一致或不受支持的状态。因此,Microsoft无法为此类部署提供技术支持。
Microsoft Entra连接组件要素
下图所示的是一个预配引擎连接到单一林的高级体系结构,该引擎也支持多个林。 此体系结构展示各组件之间的相互交互。
预配引擎连接到每个 Active Directory 森林和 Microsoft Entra ID。 从每个目录读取信息的过程称为“导入”。 导出是指从预配引擎更新目录。 同步会评估对象在预配引擎内的流动方式的规则。 有关更深入的探讨,请参阅 Microsoft Entra Connect Sync:了解体系结构。
Microsoft Entra Connect 使用以下暂存区域、规则和流程来允许从Active Directory同步到Microsoft Entra ID:
- 连接器空间 (CS) - 来自每个已连接目录(CD,实际目录)的对象首先在此进行暂存,然后由预配引擎处理。 Microsoft Entra ID 有自己的 CS,连接到的每个林也有自己的 CS。
- Metaverse (MV) - 在此根据同步规则创建需要同步的对象。 对象必须存在于 MV 中,然后它们才能将对象和属性填充到其他连接的目录。 只有一个 MV。
- 同步规则 - 决定创建(投射)哪些对象或将哪些对象连接(联接)到 MV 中的对象。 同步规则还决定从目录中复制或转换哪些属性值。
- 运行配置文件 - 根据暂存区域和已连接目录之间的同步规则,捆绑复制对象及其属性值的过程步骤。
有多种用于优化预配引擎性能的运行配置文件。 大多数组织使用默认计划和运行配置文件进行正常操作,但某些组织可能需要 更改计划 或触发其他运行配置文件来满足不常见情况。 可用的运行配置文件如下:
初始同步配置文件
初始同步配置文件是首次读取已连接目录(如Active Directory林)的过程。 此后,它将对同步引擎数据库中的所有项进行分析。 初始周期会在 Microsoft Entra ID 中创建新对象,如果 Active Directory 林很大,完成过程可能需要更多时间。 初始同步包括以下步骤:
- 在所有连接器上完全导入
- 在所有连接器上完全同步
- 在所有连接器上导出
增量同步配置文件
为优化同步过程,此运行配置文件仅处理已连接目录中在上次同步过程后发生的对象更改(创建、删除和更新)。 默认情况下,Delta同步配置文件每30分钟运行一次。 以确保 Microsoft Entra ID 保持最新,组织应努力将所需时间控制在 30 分钟以内。 增量同步包括以下步骤:
- 在所有连接器上进行增量导入
- 在所有连接器上增量同步
- 在所有连接器上导出
典型的企业组织增量同步场景是:
- 删除约 1% 的对象
- 约创建 1% 的对象
- 约 5% 的对象被修改
更改率可能会有所不同,这取决于您的组织更新其 Active Directory 中用户的频率。 例如,由于雇用和裁员的季节性因素,可能会出现较高的变动率。
完全同步配置文件
如果进行了以下任何配置更改,则需要完整同步周期:
- 增加要从已连接目录导入的对象或属性的范围。 例如,当您将域或 OU 添加到导入范围时。
- 更改同步规则。 例如,当您创建新规则时,将从Active Directory中的extension_attribute3填充到Microsoft Entra ID中的用户标题。 此更新需要预配引擎重新检查所有现有用户是否已更新其职务,以便以后应用此更改。
完全同步周期包括以下操作:
- 在所有连接器上完全导入
- 在所有连接器上完全/增量同步
- 在所有连接器上导出
注意事项
对Active Directory或Microsoft Entra ID中的许多对象进行批量更新时,需要仔细规划。 批量更新会导致增量同步过程在导入时花费更长的时间,因为很多对象都已更改。 即使批量更新未影响同步过程,也可能出现导入时间长的情况。 例如,向Microsoft Entra ID中的许多用户分配许可证会导致Microsoft Entra ID导入周期较长,但不会导致Active Directory的任何属性更改。
同步
同步过程运行时具有以下性能特征:
- 同步是单线程的,因此,预配引擎不会并行处理已连接目录、对象或属性的运行配置文件。
- 导入时间随同步的对象数呈线性增长。 例如,如果导入 10,000 个对象需要 10 分钟,则在同一服务器上导入 20,000 个对象大约需要 20 分钟。
- 导出也是线性的。
- 同步会基于引用其他对象的对象的数量呈指数级增加。 组成员身份和嵌套组会显著影响性能,因为它们的成员指向用户对象或其他组。 要想完成同步周期,必须找到这些引用并使其引用到 MV 中的实际对象。
- 更改组成员会导致重新评估所有组成员。 例如,如果你有一个包含 50-K 成员且仅更新 1 个成员的组,这将触发所有 50-K 成员的同步。
筛选
要导入的Active Directory拓扑的大小是影响预配引擎内部组件完成的性能和总时间的第一个因素。
应利用筛选减少要同步的对象。 它可防止处理和导出到Microsoft Entra ID不必要的对象。 可用的筛选方法如下(按优先顺序):
- 基于域的筛选 - 使用此选项选择要同步到Microsoft Entra ID的特定域。 安装 Microsoft Entra Connect 同步后,在对本地基础设施进行更改时,必须在同步引擎配置中添加和删除域。
- 组织单位(OU)筛选 - 使用 OU 以锁定 Active Directory 域中的特定对象,以便配置到 Microsoft Entra ID。 OU 筛选是建议的第二种筛选机制,因为它使用简单的 LDAP 范围查询从Active Directory导入较小的对象子集。
- 每个对象的Attribute 筛选 - 使用对象上的属性值来确定是否在Microsoft Entra ID中预配了Active Directory中的特定对象。 当域和 OU 筛选无法满足特定筛选要求时,属性筛选非常适合用于微调筛选器。 属性筛选不会缩短导入时间,但会缩短同步和导出时间。
- 基于组的筛选 - 使用组成员身份来确定是否应在Microsoft Entra ID中预配对象。 基于组的筛选仅适用于测试场景,不建议用于生产场景,因为在同步周期期间检查组成员身份需要额外的开销。
Active Directory CS 中存在许多持久的断开对象可能会导致同步时间更长,因为预配引擎必须重新评估每个断开对象以在同步周期中确定可能的连接。 要解决此问题,请考虑以下建议之一:
- 将断接器对象置于使用域或 OU 筛选的导入范围之外。
- 将对象投影/连接到 MV 并将 cloudFiltered 属性设置为 True,以防止这些对象在 Microsoft Entra CS 中被配置。
注意事项
筛选出过多对象时,可能会令用户感到困惑,也可能出现应用程序权限问题。 例如,在混合 Exchange Online 实现中,具有本地邮箱的用户在其全局地址列表中看到的用户比 Exchange Online 中具有邮箱的用户更多。 在其他情况下,用户可能希望向不属于筛选的对象集范围的其他用户授予云应用中的访问权限。
属性流
属性流是将对象的属性值从一个已连接目录复制或转换到另一个已连接目录的过程。 它们被定义为同步规则的一部分。 例如,在Active Directory中更改用户的电话号码时,将更新Microsoft Entra ID中的电话号码。 组织可以修改属性流以满足各种要求。 建议先复制现有属性流,然后再执行更改。
简单重定向(例如将属性值提供给其他属性)不会产生重大性能影响。 重定向的一个示例是将Active Directory中的手机号码流向Microsoft Entra ID中的办公电话号码。
转换属性值可能对同步过程产生性能影响。 转换属性值包含对属性值进行修改、重设格式、连接或相减等操作。
组织可以阻止某些属性流向Microsoft Entra ID,但不会影响预配引擎的性能。
注意事项
不要删除同步规则中不需要的属性流。 建议禁用它们,因为在 Microsoft Entra Connect 升级期间会重新创建已删除的规则。
Microsoft Entra Connect 依赖性因素
Microsoft Entra Connect 的性能取决于其导入和导出到的连接目录的性能。 例如,需要导入Active Directory的大小或Microsoft Entra服务的网络延迟。 预配引擎使用的 SQL 数据库也会影响同步周期的整体性能。
Active Directory 要素
如上文所述,要导入的对象数对性能具有显著影响。 Microsoft Entra Connect 的硬件和先决条件根据您的部署规模介绍了特定的硬件层级。 Microsoft Entra Connect 仅支持 Microsoft Entra Connect 拓扑中概述的特定拓扑结构。 对于不支持的拓扑,没有性能优化和建议。
请确保您的 Microsoft Entra Connect 服务器根据您想要导入的 Active Directory 的大小满足硬件要求。 Microsoft Entra Connect 服务器与Active Directory域控制器之间的网络连接不良或速度缓慢可能会降低导入速度。
Microsoft Entra ID身份识别因素
Microsoft Entra ID使用限制来保护云服务免受拒绝服务(DoS)攻击。 目前,Microsoft Entra ID 的速率限制为每 5 分钟 6,000 次写入(每小时 72,000 次)。 例如,以下这些操作可以被限制:
- Microsoft Entra将数据导出到Microsoft Entra ID。
- 即使在后台(例如动态成员身份组),PowerShell 脚本或应用程序也会直接更新Microsoft Entra ID。
- 用户更新自己的标识记录,例如注册 MFA 或 SSPR(自助式密码重置)。
- 图形用户界面中的操作。
重要
不支持增加此节流限制。
规划部署和维护任务,确保 Microsoft Entra Connect 同步周期不受限制流量影响。 例如,如果你在招聘高峰期创建了数千个用户标识,这可能会导致动态成员资格组的更新、许可证分配和自助密码重置注册的变更。 最好将这些写入操作分散至数小时到数天内。
SQL 数据库因素
源Active Directory拓扑的大小会影响 SQL 数据库性能。 请遵循 SQL Server 数据库的硬件要求并考虑以下建议:
- 拥有 10 万名以上用户的组织,可通过使 SQL 数据库和预配引擎位于同一服务器来减少网络延迟。
- 不支持 SQL 命名管道协议,因为它在同步周期中引入了重大延迟,应在 SQL 本机客户端和SQL Server网络下的SQL Server Configuration Manager中禁用。 请注意,更改命名管道配置仅在重启数据库和 ADSync 服务后生效。
- 鉴于同步过程的磁盘输入和输出 (I/O) 要求高,为获得最佳结果,请对预配引擎的 SQL 数据库使用固态硬盘 (SSD);如果无法使用,则考虑使用 RAID 0 或 RAID 1 配置。
- 请勿提前执行完全同步;这会造成不必要的改动并减慢响应速度。
结论
若要优化 Microsoft Entra Connect 实现的性能,请考虑以下建议:
- 根据 Microsoft Entra Connect 服务器的实现大小,使用 建议的硬件配置。
- 在大规模部署中升级Microsoft Entra Connect 时,请考虑使用 wing 迁移方法,以确保停机时间最少且可靠性最佳。
- 对 SQL 数据库使用 SSD,实现最佳写入性能。
- 不建议使用 Azure Backup 备份 ADSync 数据库。
- 筛选 Active Directory 作用域,以仅包括需要通过域、OU 或属性过滤后在 Microsoft Entra ID 中预配的对象。
- 如果需要更改默认属性流规则,请先复制规则,再更改副本并禁用原始规则。 请重新进行全面同步。
- 为初始完全同步运行配置文件规划充足的时间。
- 力争在 30 分钟内完成增量同步周期。 如果未在 30 分钟内完成增量同步配置文件,请修改默认同步频率以确保包括一个完整的增量同步周期。