יכולות חדשות ושינויים AAD Connect (גרסה 1.1)

פברואר 26, 2016

תגיות: ,
אין תגובות

הכלי שעמו מבצעים סנכרון אוביייקטים בין סביבת Active Directory מקומי לבין שירותי הענן השונים של Azure או Office 365 יצא בגרסה חדשה עם מספר חידושים, שיפורים ושינויים בצורת העבודה והסנכרון, הגרסה החדשה היא גרסה Azure AD Connect 1.1.

הגרסה החדשה זמינה להורדה מהקישור הבא Azure AD Connect 1.1

הכלים השונים שיצאו במהלך הזמן החל מגרסת DirSync, ADDSync ועד הגרסאות הנוכחיות של AAD Connect הם כלים קריטיים ליצירת סביבה היברידית בין הסביבה המקומית לסביבת Azure, Office 365, Intune או CRM. יישום נכון של סנכרון האובייקטים הוא נדבך חשוב ולכן יכול למנוע בעיות לאחר הקמה של סביבות נוספות, כגון Exchange Online.

בגרסה חדשה של AAD Connect 1.1 ישנם מספרים חידושים ושינויים שנעשו בכלי, השינויים שנעשו נובעים מפידבקים שהתקבלו ע”י לקוחות, בעקבות יכולות חדשות שיש בענן והצורך של קבוצת המוצר לשפר את הכלי בכל גרסה וגרסה.

יכולות חדשות ושינויים

השינויים שנעשו בגרסה החדשה הם:

  • Automatic upgrade

כיום, כאשר מבצעים עדכון/שדרוג בין גרסאות השדרוג הינו תהליך ידני שצריך לבצע בזהירות בכדי לשמור על המצב הקיים שבו מוגדר AAD Connect. ישם מספר דרכים לבצע שדרוג בין גרסאות DirSync, AAD Sync לבין AAD COnnect.
במקרים בהם ישנם הגדרות מסוימות או התקנות מסוימות (Custom Installation\Filter) אנו חייבים לשמור על אותם הגדרות וערכים בכדי למנוע שינויים ברמת האובייקטים.
החל מהגרסה החדשה השדרוג הופך להיות שדרוג פשוט יותר בצורה משמעותית לשדרוג מסוג Auto-Update ויאפשר לבצע שדרוג על הגרסה הקיימת ללא צורך בביצוע פעולות ידניות ושמירה על הגדרות קיימות, השדרוג תקף רק לתצורות בהם מוגדר Express Settings.

  • סנכרון

מהגרסה הראשונה של DirSync שמני הסנכרון היו כל שלוש שעות בלבד או בביצוע סנכרון ידני, כל שינוי של זמן הסנכרון מעל או מתחת לשלוש שעות היתה פעולה שלא נתמכת ע”י קבוצת המוצר.
לאחר התקנה של אותם גרסאות ישנות היה ניתן לראות את הגדרות זמני הסנכרון בתוך Scheduled Task מכיוון שהטריגר שהפעיל את הסנכרון הוא חיצוני ואינו קשור למנוע סנכרון עצמו. במהלך עדכוני הגרסאות וכאשר יצאה האפשרות של סנכרון סיסמאות היה טריגר נוסף של סנכרון סיסמאות.
בגרסה החדשה ישנם מספר שינויים משמעותיים:

  • זמן הסנכרון כעת הוא 30 דקות ולכן כל 30 דקות מתבצע סנכרון אובייקטים בין סביבת Active Directory מקומית לבין סביבת הענן.
  • הטריגר שמבצע את הסנכרון מוגדר כעת בתוך מנוע הסנכרון עצמו ולכן אין יותר הגדרות Task בממשק Scheduled Task
  • רכיב Scheduler שנמצא במנוע Sync כולל שני תתי רכיבים שמצבעים את הסנכרון:

           Synchronization Cycle – תהליך שאחראי לביצוע ייבוא, ייצוא וסנכרון אובייקטים ושינויים באובייקטים
          Maintenance Tasks – תת רכיב שאחראי על עדכון מפחות ותעודות דיגיטליות של סנכרון סיסמאות וסנכרון Device

כמובן שעדיין ניתן להריץ בצורה ידנית (ונתמכת) סנכרון ידני ע”י פקודות Start-ADSyncSyncCycle עם פרמטרים שונים

  • Modern Authentication

בשירותי הענן השונים ישנו סוג ומודל אוטנטיקציה שניתן לעבוד עימו בכדי להקשיח את הלוגין של המשתמשים אל הארגון והוא MFA וכן ADAL.
מומלץ מאד שמשתמשים מסוג אדמין או בעלי הרשאות יגדירו את תהליך ההזדהות עם הגדרות MFA וכן ADAL (חשוב להדגיש כי ADAL הוא ברמה ארגונית).
בגרסה נוכחית ניתן להגדיר משתמש לטובת סנכרון שמוגדר עם MFA ועם ADAL, בזמן הגדרה ראשונית של AAD Connect קופץ חלון הזדהות לביצוע לוגין באמצעות MFA.

  • סינון דומיינים

בתרחישים בהם אנו צריכים לבצע סינון אובייקטים ברמת OU או ברמת דומיינים עד כה היינו מבצעים את הסינון ברמת OU בלבד ומול ממשק FIM ולאחר סיום הגדרות ראשוניות של DirSync וכדומה. (פעולה שאינה נתמכת ע”י קבוצת המוצר)
בגרסה נוכחית ניתן להגדיר כבר ברמת הגדרות ראשוניות את הדומיינים שאותם אנו לא מעוניינים לסנכרן, פעולה זאת ניתנת לשינוי במידת הצורך.

התקנת AAD Connect 1.1

תהליך התקנת AAD Connect 1.1 הינו תהליך התקנה פשוט מאד שבהם מותקנים באופן אוטומטי רכיבים שהם חלק מדרישות סף של AAD Connect.
תהליך ההתקנה הבאה מותקן עם משתמש שמוגדר עם MFA בסביבת שמוגדרת  עם ADAL.

image

image

image

image

image

image

image

image

בשלב זה יותקנו כל הרכיבים הדרושים לטובת AAD Connect:

.NET Framework
Azure Active Directory Powershell Module
Microsoft Online Services Sign-In Assistant
SQL Express
SQL Native Client

image

בסיום התקנה מוצלחת נקבל את המסך הבא שמעדכן שהחל מעתה יתבצע סנכרון אובייקטים.

סנכרון ידני, פקודות PowerShell ודגשים

לאחר ההתקנה נוכל לבצע סנכרון ידני, לוודא את אופן וזמני הסנכרון ולבצע שינויים בהתאם.

  • הגדרות ברירת מחדל

בכדי לראות את מצב הסנכרון נריץ את הפקודה הבאה: Get-ADSyncScheduler
הגדרות אלה הם הגדרות ברירת מחדל וניתן לשנות לפי הצורך עם הפקודה Set-ADSyncScheduler

image

  • סנכרון ידני

במידה ואנו צריכים לבצע סנכרון ידני אנו יכולים להריץ בין היתר את הפקודות הבאות:

  • סנכרון של שינויים בלבד Start-ADSyncSyncCycle -PolicyType Delta
  • סנכרון מלא Start-ADSyncSyncCycle -PolicyType Initial

במידה ואנו צריכים לעצור את הסנכרון ניתן להריץ את הפקודה הבאה Stop-ADSyncSyncCycle, חשוב לזכור כי אם ישנו קונקטור שמבצע פעולה הפקודה לא עוצרת אותו ויש לבצע עצירה באמצעות ממשק FIM.

  • דגשים נוספים

חשוב לזכור כי בגרסה החדשה ישנם מספר אפשרויות שאינם זמינות או נעשות בצורה שונה וישנם מספר דגשים נוספים:

  • הפקודה DirectorySyncClientCmd אינה זמינה יותר
  • הגדרות סנכרון בממשק Scheduled tasks אינן מוגדרות יותר ואין צורך להגדיר
  • סנכרון ידני ובדיקת הגדרות סנכרון נעשות ע”י פקודות ADSyncScheduler
  • בכדי לבצע עדכונים ושדרוגים אוטומטיים אפשרות Auto-Upgrade חייבת להיות במצב Enabled, ניתן לבדוק ע”י הפקודה הבאה Get-ADSyncAutoUpgrade
  • במהלך ההתקנה נוצר אובייקט MSOL, אסור למחוק את האובייקט או להזיז לקונטיינר אחר
  • שדרוג מגרסאות קודמות יכול להיעשות לפי אפשרויות של InPlace או Paraller בלבד (בהתאם להנחיות של קבוצת המוצר)
  • סנכרון סיסמאות זהה לגרסה הקומת של AAD Connect ולכן אין שינוי
  • במידת הצורך ניתן להריץ סנכרון ידני של סנכרון סיסמאות באמצעות Set-FullPasswordSync ולאחר מכן Restart-Service FIMSynchronizationService -Force

טיפ נוסף – בממשק Office 365 ניתן לראות מצב כללי של הסנכרון

image

מידע נוסף

מידע נוסף לגבי AAD Connect 1.1ניתן למצוא בקישור הבא של בלוג הקבוצה https://blogs.technet.microsoft.com/ad/2016/02/18/azure-ad-connect-1-1-is-now-ga-faster-sync-times-automatic-upgrades-and-more/

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *