Importare ed esportare le impostazioni di configurazione di Azure AD Connect (public preview)
Esportazione, importazione, migrazione, confronto dei file: tutti i passi da seguire.
Le distribuzioni di Azure Active Directory (Azure AD) Connect variano da un’installazione in modalità Express a single forest a distribuzioni complesse che si sincronizzano su multiple forest usando regole di sincronizzazione personalizzate. A causa dell’elevato numero di opzioni e meccanismi di configurazione, è essenziale comprendere quali impostazioni sono attive ed essere in grado di implementare/distribuire rapidamente un server con una configurazione identica. Questa funzione introduce la possibilità di catalogare la configurazione di un determinato server di sincronizzazione e avviare le impostazioni in una nuova distribuzione. È possibile confrontare istantanee di impostazioni di sincronizzazione diverse per visualizzare facilmente le differenze tra due server o lo stesso server nel tempo.
Ogni volta che la configurazione viene modificata dalla procedura guidata di Azure AD Connect, un nuovo file di impostazioni JSON con data e ora viene esportato automaticamente in %ProgramData%\AADConnect. Il nome del file delle impostazioni è nel formato Applied-SynchronizationPolicy-*.JSON, dove l’ultima parte del nome è un timestamp.
IMPORTANTE: Solo le modifiche apportate da Azure AD Connect vengono esportate automaticamente. Eventuali modifiche apportate tramite PowerShell, Synchronization Service Manager o rules editor devono essere esportate su richiesta in base alle esigenze per mantenere una copia aggiornata. L’esportazione su richiesta può essere utilizzata anche per posizionare una copia delle impostazioni in un luogo sicuro in caso di ripristini d’emergenza.
Esportare le impostazioni di Azure AD Connect
Per visualizzare un riepilogo delle impostazioni di configurazione, apri Azure AD Connect e seleziona l’attività aggiuntiva denominata View or Export Current Configuration. Viene visualizzato un breve riepilogo delle impostazioni insieme alla possibilità di esportare la configurazione completa del server.
Di default, le impostazioni vengono esportate in %ProgramData%\AADConnec. È inoltre possibile scegliere di salvare le impostazioni in una posizione protetta per garantire la disponibilità in caso di emergenza. Le impostazioni vengono esportate utilizzando il formato di file JSON e non devono essere create o modificate manualmente per garantire la coerenza logica. L’importazione di un file creato o modificato manualmente non è supportata e potrebbe portare a risultati imprevisti.
Importare le impostazioni di Azure AD Connect
Per importare impostazioni precedentemente esportate:
- Installa Azure AD Connect su un nuovo server.
- Seleziona l’opzione Customize dopo la pagina di benvenuto.
- Seleziona Import synchronization settings.Cerca il file delle impostazioni JSON esportato in precedenza.
- Seleziona Install.
Nota: Sostituisci le impostazioni in questa pagina come l’uso di SQL Server invece di LocalDB o l’uso di un account di servizio esistente invece di un VSA predefinito. Queste impostazioni non vengono importate dal file delle impostazioni di configurazione. Sono disponibili a scopo informativo e di confronto.
Import installation experience
L’esperienza di importazione delle installazioni è intenzionalmente mantenuta semplice con input minimi da parte dell’utente per fornire facilmente la riproducibilità di un server esistente.
Le uniche modifiche che possono essere apportate durante l’installazione sono le seguenti (tutte le altre modifiche possono essere apportate dopo, dalla procedura guidata di Azure AD Connect):
- Credenziali di Azure Active Directory: il nome dell’account per l’amministratore globale di Azure usato per configurare il server originale viene messo di default. Questo, deve essere cambiato se si desidera sincronizzare le informazioni in una nuova directory.
- User sign-in: le opzioni di accesso configurate per il server originale sono selezionate come impostazione predefinita e richiedono automaticamente le credenziali o altre informazioni necessarie durante la configurazione. In rari casi, potrebbe essere necessario impostare un server con diverse opzioni per evitare di modificare il comportamento del server attivo. Altrimenti, basterà selezionare Next per utilizzare le stesse impostazioni.
- Credenziali della directory on-premises: per ogni directory locale inclusa nelle impostazioni di sincronizzazione, è necessario fornire le credenziali per creare un account di sincronizzazione o fornirne uno personalizzato pre-creato. Questa procedura è identica all’esperienza di installazione base con l’eccezione che non è possibile aggiungere o rimuovere directory.
- Opzioni di configurazione: come con un’installazione base, è possibile scegliere di configurare le impostazioni iniziali per avviare la sincronizzazione automatica o abilitare la modalità di gestione temporanea. La differenza principale è che la modalità di gestione temporanea è abilitata intenzionalmente di default per consentire il confronto dei risultati di configurazione e sincronizzazione prima di esportare attivamente i risultati in Azure.
Nota: Solo un server di sincronizzazione può avere il ruolo primario ed esportare attivamente le modifiche alla configurazione in Azure. Tutti gli altri server devono essere posti in modalità di gestione temporanea.
Migrare le impostazioni da un server esistente
Se un server esistente non supporta la gestione delle impostazioni, puoi scegliere di aggiornarlo o migrare le impostazioni per l’utilizzo su uno nuovo.
La migrazione richiede l’esecuzione di uno script di PowerShell che estrae le impostazioni esistenti per l’utilizzo in una nuova installazione. Utilizza questo metodo per catalogare le impostazioni del server esistente e quindi applicarle a uno di gestione temporanea appena installato. Il confronto delle impostazioni per il server originale con uno appena creato visualizzerà rapidamente le modifiche. Come sempre, segui il processo di certificazione della tua organizzazione per assicurarti che non sia necessaria alcuna configurazione aggiuntiva.
Processo di migrazione
Per migrare le impostazioni:
- Avvia AzureADConnect.msi nel nuovo server di gestione temporanea e fermati alla pagina di benvenuto di Azure AD Connect.
- Copia MigrateSettings.ps1 dalla directory Microsoft Azure AD Connect\Tools in una posizione sul server esistente. Un esempio è C:\setup.
- Esegui lo script come mostrato qui e salva l’intera directory di configurazione del server di livello inferiore. Copia questa directory nel nuovo server di gestione temporanea. È necessario copiare l’intera cartella Exported-ServerConfiguration-* sul nuovo server.
- Avvia Azure AD Connect facendo doppio clic sull’icona sul desktop. Accetta i termini della licenza software Microsoft e nella pagina successiva seleziona Customize.
- Seleziona la casella Import synchronization settings. Clicca su Browse per esplorare la cartella copiata Exported-ServerConfiguration- *. Seleziona MigratedPolicy.json per importare le impostazioni migrate.
Verifica post-installazione
Il confronto dei file è un passaggio essenziale per comprendere eventuali differenze tra l’installazione prevista e quella risultante. Utilizzando l’applicazione di confronto dei testi affiancati si ottiene una visualizzazione istantanea che evidenzia rapidamente qualsiasi modifica desiderata o accidentale.
Sebbene molti passaggi di configurazione precedentemente manuali siano ora eliminati, si dovrebbe comunque seguire il processo di certificazione della propria azienda per garantire che non sia necessaria alcuna configurazione aggiuntiva. Questa configurazione potrebbe verificarsi se si utilizzano impostazioni avanzate, che non sono attualmente acquisite nella versione di public preview della gestione delle impostazioni.
Ecco le limitazioni note:
- Regole di sincronizzazione: la precedenza per una regola personalizzata deve essere compresa tra 0 e 99 per evitare conflitti con le regole standard di Microsoft. Posizionare una regola personalizzata al di fuori dell’intervallo riservato potrebbe comportare lo spostamento di quest’ultima man mano che le regole standard vengono aggiunte alla configurazione. Un problema simile si verificherà se la configurazione contiene regole standard modificate.
- Writeback del dispositivo: queste impostazioni sono catalogate. Non sono attualmente applicate durante la configurazione. Se il writeback del dispositivo è stato abilitato per il server originale, è necessario configurare manualmente la funzionalità sul server appena distribuito.
- Tipi di oggetti sincronizzati: sebbene sia possibile limitare l’elenco dei tipi di oggetti sincronizzati (come utenti, contatti e gruppi) utilizzando la gestione servizio di sincronizzazione, questa funzionalità non è attualmente supportata tramite le impostazioni di sincronizzazione. Dopo aver completato l’installazione, è necessario riapplicare manualmente la configurazione avanzata.
- Profili di esecuzione personalizzati: sebbene sia possibile modificare il set predefinito di profili di esecuzione utilizzando Synchronization Service Manager, anche questa funzionalità non è attualmente supportata tramite le impostazioni di sincronizzazione. Di nuovo, dopo aver completato l’installazione, è necessario riapplicare manualmente la configurazione avanzata.
- Configurazione della gerarchia di provisioning: questa funzionalità avanzata di Synchronization Service Manager non è supportata tramite le impostazioni di sincronizzazione. Deve essere riconfigurato manualmente al termine della distribuzione iniziale.
- Autenticazione Active Directory Federation Services (ADFS) e PingFederate: i metodi di accesso associati a queste funzionalità di autenticazione vengono preselezionati automaticamente. È necessario fornire in modo interattivo tutti gli altri parametri di configurazione richiesti.
- Regola di sincronizzazione personalizzata disabilitata: una regola di sincronizzazione personalizzata disabilitata viene importata come abilitata. Assicurati di disabilitarlo anche sul nuovo server.
Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/y6rwaplf