Užitečné příkazy pro Azure AD Connect / Entra connect

Zjištění aktuální verze AD Connect / Entra Connect

(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).Value

Ruční spuštění rozdílové synchronizace

Start-ADSyncSyncCycle -PolicyType Delta

Vynucení kompletní synchronizace (full sync)

Plnou synchronizaci služby provádějte jen zřídka. Úplná synchronizace služby Entra ID (Azure AD) trvá dlouho, protože prochází všechny objekty služby Active Directory a znovu je synchronizuje. Snad jediným případem použití, kdy je třeba provést úplnou synchronizaci, je změna konfigurace služby Entra Connect (Azure AD Connect).

Nicméně v případě, že opravdu chcete spustit úplnou synchronizaci, použijte tento příkaz:

Start-ADSyncSyncCycle -PolicyType Initial

Zobrazení stavu a nastavení plánovače

Get-ADSyncScheduler

Kontrola integrace Entra Connect Health Agent

Test-AzureADConnectHealthConnectivity -Role Sync

Test-AzureADConnectHealthConnectivity -Role ADDS

Test-AzureADConnectHealthConnectivity -Role Sync -ShowResult

Ruční registrace Microsoft Entra Connect Health agent

Pozor Tento příkaz použít pouze, pokud registrace agenta (při instalaci Microsoft Entra Connect) skončí chybou.

Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

Jedná se o ruční registraci agenta Microsoft Entra Connect Health pro synchronizaci. Po úspěšné registraci agenta se spustí služby Microsoft Entra Connect Health.

AttributeFiltering: $true (výchozí), pokud Microsoft Entra Connect nesynchronizuje výchozí sadu atributů a byl přizpůsoben tak, aby používal filtrovanou sadu atributů. V opačném případě použijte $false.

StagingMode: $false (výchozí), pokud server Microsoft Entra Connect není v režimu staging. Pokud je server nakonfigurován tak, aby byl v režimu staging, použijte $true.

Dokumentace: https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-health-agent-install#manually-register-microsoft-entra-connect-health-for-sync

Zapnutí / vypnutí Staging mode

# Načtení parametrů nastavení
$AADSyncGlobalSettings=Get-ADSyncGlobalSettings

# zobrazit parametry
$AADSyncGlobalSettings.parameters

# vypnout Staging mode
($AADSyncGlobalSettings.parameters | ?{$_.name -eq "Microsoft.Synchronize.StagingMode"}).value="False"

# zapnout Staging mode
($AADSyncGlobalSettings.parameters | ?{$_.name -eq "Microsoft.Synchronize.StagingMode"}).value="True"

# Uložit nastavení !!!
Set-ADSyncGlobalSettings $AADSyncGlobalSettings

Změna plánu synchronizace

Výchozí nastavení synchronizace je 30 minut. Změny času synchronizace služby Entra Connect se provádějí pomocí příkazu Set-ADSyncScheduler.

Je však důležité si uvědomit, že pro plán synchronizace existují horní a dolní limity. Například plán synchronizace musí být spuštěn alespoň jednou za 7 dní. Kromě toho se synchronizační cyklus spouští pouze jednou za 30 minut. Nyní, s ohledem na tato omezení, použijme rutinu Set-ADSyncScheduler ke změně plánu na cyklus např. jednou za 2 hodiny:

# Spusteni kazde 3 hodiny
Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00

# Spusteni 1x denne
Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0

#Syntaxe: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
#d - dny, HH - hodiny, mm - minuty, ss - sekundy

Vypnutí a zapnutí synchronizace

# Vypnuti synchronizace
Set-ADSyncScheduler -SyncCycleEnabled $false

# Zapnuti synchronizace
Set-ADSyncScheduler -SyncCycleEnabled $true

Deletion trehsold exceeded

Pokud při synchronizaci narazíte na problém, že se nemažou z Entra ID staré objekty, které se již nemjí synchronizovat, podívejte se do Synchronization Service Manager, zda-li náhodou neuvidíte ve sloupci Status informaci „stopped-deletion-treshold-exceeded„. Tato chyba značí, že se synchronizační proces szaží z Entra ID odebrat větší množství objektů, než je jeho limit. Toto lze vyřešit pomocí těchto příkazů:

# Zjisteni aktualniho limitu
Get-ADSyncExportDeletionThreshold


# Vypnuti limitu
Disable-ADSyncExportDeletionThreshold

# Opetovne zapnuti limitu
Enable-ADSyncExportDeletionThreshold -ThresholdCount 500