Mantener la configuración de sincronización de perfiles de usuario en SharePoint Server

SE APLICA A:2013 2016 2019 Subscription Edition SharePoint en Microsoft 365

La sincronización de perfiles en SharePoint Server permite a un administrador de una instancia del servicio de perfil de usuario sincronizar la información de perfil de usuario y grupo que se almacena en el almacén de perfiles de SharePoint Server con información de perfil que se almacena en los servicios de directorio de toda la empresa. Después de configurar la sincronización de perfiles de usuario, debe completar tareas para mantener esa configuración. Estas tareas incluyen, por ejemplo, quitar usuarios cuyas cuentas están deshabilitadas o eliminadas, mover o cambiar el nombre de un servidor e iniciar o detener el servicio de sincronización de perfiles de usuario. Para obtener más información, vea Planeación de la sincronización de perfiles en SharePoint Server 2013.

Para ejecutar los cmdlets de PowerShell en este artículo, compruebe que tiene las siguientes pertenencias:

• Rol fijo de servidor securityadmin en la instancia de SQL Server.

• Rol fijo de base de datos db_owner en todas las bases de datos que se van a cargar.

• Grupo de servidores en el servidor en el que se van a ejecutar los cmdlets de PowerShell.

Cambio de nombres de usuario o de dominios de usuario

SharePoint Server le permite controlar varios escenarios de migración de usuarios diferentes. A continuación se detallan ejemplos de los escenarios controlados para Servicios de dominio de Active Directory (AD DS):

• Cambios de nombre de cuenta ( sAMAccountName) en AD DS donde se encuentra el usuario.

• Cambios de identificador de seguridad (SID).

• Cambios de nombre distintivo (DN) que incluyen los cambios realizados en el contenedor de unidad organizativa (OU) de AD DS donde se encuentra la cuenta de usuario. Por ejemplo, si se mueve el DN de un usuario en AD DS de "Usuario= EUROPE\Enrique Gil, Administrador=CN=Antonio Bermejo, OU=Usuarios, DC=EMEA1, DC=corp, DC=contoso, DC=com" a "Usuario= EUROPE\Enrique Gil, Administrador=CN=Antonio Bermejo, OU=Administradores, DC=EMEA1, DC=corp, DC=contoso,DC=com", el comando MigrateUser actualiza el almacén de perfiles de usuario para dicho usuario. El perfil de usuario de Enrique Gil se actualiza cuando se sincronizan perfiles de usuario de AD DS EMEA1.corp.contoso.com con el almacén de perfiles de usuario de SharePoint Server.

Para cambiar el nombre de los usuarios o para cambiar los dominios de usuario

1. Compruebe que la cuenta de usuario que está realizando este procedimiento tiene las siguientes credenciales:

• La cuenta de usuario que está realizando este procedimiento es un miembro del grupo Administradores de la granja en el equipo que ejecuta el sitio web de Administración central de SharePoint.

• La cuenta de usuario que lleva a cabo este procedimiento es un miembro del grupo Administradores en el equipo en el que ha instalado el servicio de sincronización de perfiles de usuario.

2. Si la sincronización se está ejecutando, abra Administración central y, a continuación, haga clic en Administrar aplicaciones de servicio en la sección Administración de aplicaciones. Seleccione la aplicación de servicio de perfiles de usuario correspondiente en la lista de aplicaciones de servicio. En la página Administración de aplicación de servicio, haga clic en Detener sincronización de perfiles.

3. Deshabilite el trabajo del temporizador de sincronización incremental del perfil de usuario.

4. Asegúrese de que la migración de usuarios mediante stsadm -o migrateuser se ha realizado correctamente.

5. Asegúrese de que se puede acceder al perfil del usuario migrado; para ello, vaya a Mi sitio para ese usuario, por ejemplo, http://mysite/person.aspx?accountname=<el nuevo nombre> de cuenta.

6. Ejecute la sincronización de perfiles de usuario. Para obtener más información, veaIniciar la sincronización de perfiles manualmente en SharePoint Server.

7. Vuelva a comprobar el acceso al perfil del usuario migrado buscando en Mi sitio de dicho usuario.

8. Habilite el trabajo del temporizador de sincronización incremental de perfil de usuario

Excluir usuarios cuyas cuentas están deshabilitadas

Puede excluir los usuarios cuyas cuentas se han deshabilitado en AD DS utilizando filtros de exclusión en SharePoint Server 2013. Para ver los pasos necesarios para excluir los usuarios cuyas cuentas se han deshabilitado, consulte Sincronización de perfiles de usuario y grupo en SharePoint Server 2013.

Quitar usuarios y grupos obsoletos

Hay dos razones por las que pueden existir usuarios o grupos obsoletos en el almacén de perfiles de usuario de SharePoint Server:

• Usuarios obsoletos: el trabajo de temporizador de limpieza de Mi sitio no está activo. El trabajo de temporizador de sincronización de perfiles de usuario marca para eliminar los usuarios que se han eliminado del directorio de origen. Cuando se ejecuta el trabajo de limpieza de Mi sitio, busca todos los usuarios que se han marcado para su eliminación y elimina sus perfiles. A continuación, se asignan los sitios web de Mis sitios respectivos al administrador para el usuario eliminado y se notifica al administrador acerca de esta eliminación mediante un mensaje de correo electrónico.

• Usuarios y grupos obsoletos: los usuarios y grupos que no se importaron mediante la sincronización de perfiles están en el almacén de perfiles de usuario. Esto puede ocurrir, por ejemplo, si actualizó desde una versión anterior de SharePoint Server y eligió sincronizar solo un subconjunto de dominios con SharePoint Server.

Para buscar y quitar usuarios y grupos obsoletos mediante PowerShell

1. Compruebe que cumple con las pertenencias siguientes:

• Permiso de ejecución en los procedimientos almacenados de ImportExport_GetNonimportedObjects y ImportExport_PurgeNonimportedObjects en la base de datos de perfiles.

2. Inicie el Shell de administración de SharePoint.

3. En el símbolo del sistema de PowerShell, haga lo siguiente:

4. Para recuperar la aplicación de servicio de perfiles de usuario, escriba el siguiente comando:

$upa = Get-spserviceapplication <identity>

Donde <identity> es el GUID de la aplicación de servicio de sincronización de perfiles de usuario.

2. Para ver los usuarios y los grupos que desea eliminar, escriba el siguiente comando:

Set-SPProfileServiceApplication $upa -GetNonImportedObjects $true

3. Para eliminar los usuarios y los grupos obsoletos, escriba el siguiente comando:

   Precaución

   No se puede deshacer esta acción.

Set-SPProfileServiceApplication $upa -PurgeNonImportedObjects $true

Para obtener más información, vea Get-SPServiceApplication y Set-SPProfileServiceApplication.

Mantenimiento de cambios de esquema de perfil

Los cambios de esquema de perfil incluyen, por ejemplo, agregar una nueva propiedad de perfil de usuario, cambiar una asignación de propiedad de perfil de usuario o cambiar un filtro de conexión de sincronización de perfiles. Cuando se cambia el esquema de perfil, se debe realizar una sincronización completa no periódica antes de programar una sincronización de perfiles periódica. Para ver los pasos necesarios para realizar la sincronización completa de perfiles no recurrentes, veaIniciar la sincronización de perfiles manualmente en SharePoint Server.

Cambio de nombres de un servidor que ejecuta el servicio de sincronización de perfiles de usuario

Utilice el siguiente procedimiento para cambiar el nombre de un servidor de sincronización de perfiles.

Para cambiar el nombre de un servidor que ejecuta el servicio de sincronización de perfiles de usuario mediante PowerShell

1. Inicie el Shell de administración de SharePoint.

2. En el símbolo del sistema de PowerShell, escriba el comando siguiente:

Rename-SPServer <Identity> -Name <newName>

Donde:

• Identity es el nombre antiguo del servidor.

• newName es el nuevo nombre del servidor.

Para obtener más información sobre cómo cambiar el nombre de un servidor mediante Microsoft PowerShell, consulte Rename-SPServer.

Mover el servicio de sincronización de perfiles de usuario a un nuevo servidor

Utilice el siguiente procedimiento para mover el servicio de sincronización de perfiles de usuario a un nuevo servidor.

Para mover el servicio de sincronización de perfiles de usuario a un nuevo servidor mediante Administración central

1. Compruebe que la cuenta de usuario que está realizando este procedimiento tiene las siguientes credenciales:

• La cuenta de usuario que está realizando este procedimiento es un miembro del grupo Administradores de la granja en el equipo que ejecuta el sitio web de Administración central de SharePoint.

• La cuenta de usuario que lleva a cabo este procedimiento es un miembro del grupo Administradores en el equipo en el que ha instalado el servicio de sincronización de perfiles de usuario. Esto es necesario para iniciar el servicio de sincronización de perfiles de usuario. Una vez iniciado el servicio, puede quitar la cuenta de la granja de servidores del grupo Administradores.

2. En el servidor en el que se está ejecutando el servicio de sincronización de perfiles de usuario, en el sitio web de Administración central de SharePoint, en la sección Configuración del sistema, haga clic en Administrar servicios en el servidor.

3. Junto al Servicio de sincronización de perfiles de usuario, haga clic en Detener para detener el servicio de sincronización de perfiles de usuario.

4. En el nuevo servidor de sincronización de perfiles de usuario, en el sitio web de Administración central de SharePoint, en la sección Configuración del sistema, haga clic en Administrar servicios en el servidor.

5. Junto al Servicio de sincronización de perfiles de usuario, haga clic en Inicio para ejecutar el servicio de sincronización de perfiles de usuario.

6. En el nuevo servidor de sincronización de perfiles de usuario, en el sitio web de Administración central de SharePoint, en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

7. En la página Aplicaciones de servicio,haga clic en el vínculo correspondiente al nombre de la aplicación de servicio de perfiles de usuario correspondiente.

8. En la página Aplicación de servicio de perfiles de usuario, en la sección Sincronización, haga clic en Start Profile Synchronization.

9. En la página Iniciar sincronización de perfiles, seleccione Iniciar sincronización completa y, a continuación, haga clic en Aceptar.

Restricción de la comunicación de sincronización de perfiles de usuario a un controlador de dominio específico

Utilice el siguiente procedimiento para restringir la comunicación de sincronización de perfiles a un controlador de dominio específico.

Para restringir la comunicación de sincronización de perfiles de usuario a un controlador de dominio específico mediante Windows PowerShell

1. Inicie el Shell de administración de SharePoint.

2. Para recuperar la aplicación de servicio de perfiles de usuario, escriba el siguiente comando:

$upa=Get-SPServiceApplication <GUID>

Donde <GUID> es el GUID de la aplicación servicio de sincronización de perfiles de usuario.

3. Para restringir la comunicación de sincronización de perfiles a un controlador de dominio específico, escriba el siguiente comando:

Set-SPProfileServiceApplication $upa -UseOnlyPreferredDomainControllers $true

Para obtener más información, vea Get-SPServiceApplication y Set-SPProfileServiceApplication.

Ajuste de tiempos de espera de sincronización de perfiles

Un tiempo de espera puede suceder en las siguientes ocasiones:

• Cuando intenta conectarse al servidor de servicio de directorio en la página Agregar o modificar una conexión de sincronización en Administración central.

• Cuando intenta rellenar la lista de contenedores en la página Agregar o modificar una conexión de sincronización en Administración central. Esto sucederá como un error de tiempo de espera de JavaScript en la barra de estado.

• Cuando haga clic en Aceptar en la página Agregar o modificar una conexión de sincronización en Administración central. Esto dará como resultado el siguiente mensaje de error, que se produce debido a un tiempo de espera del servicio web de administración de identidades de Forefront al crear o actualizar una conexión de sincronización de perfiles:

"El canal de solicitud agotó el tiempo de espera mientras esperaba una respuesta después de 00:01:29.9062626. Aumente el valor del tiempo de espera pasado a la llamada a Request, o bien aumente el valor de SendTimeout en el enlace. El tiempo asignado a esta operación puede haber sido parte de un tiempo de espera mayor."

Para ajustar los tiempos de espera de sincronización de perfiles de usuario mediante Windows PowerShell

1. Si desea cambiar el valor de tiempo de espera para conectar con el servidor de directorio, haga lo siguiente:

2. Pegue el siguiente código en un editor de texto como el Bloc de notas:

$upsAppProxy = Get-SPServiceApplicationProxy <UPSAppProxyGUID>
$upsAppProxy.LDAPConnectionTimeout = <NewTimeout>
$upsAppProxy.Update()

2. Reemplace <UPSAppProxyGUID> por el GUID del proxy de aplicación de servicio de perfil de usuario y <NewTimeout> por el nuevo valor de tiempo de espera en segundos. El tiempo de espera predeterminado es de 120 segundos.

3. Guarde el archivo como un archivo de texto con codificación ANSI, con la extensión .ps1.

4. Si desea cambiar el valor de tiempo de espera para el control de llenado de contenedores, haga lo siguiente:

5. Pegue el siguiente código en un editor de texto, como Bloc de notas:

$upsAppProxy = Get-SPServiceApplicationProxy <UPSAppProxyGUID>
$upsAppProxy.ImportConnAsyncTimeout = <NewTimeout>
$upsAppProxy.Update()

2. Si desea cambiar el valor de tiempo de espera para las llamadas al servicio web de Forefront Identity Manager, haga lo siguiente:

   Reemplace <UPSAppProxyGUID> por el GUID del proxy de aplicación de servicio de perfil de usuario y <NewTimeout> por el nuevo valor de tiempo de espera en segundos. El tiempo de espera predeterminado es de 1.000 segundos (aproximadamente 17 minutos).

3. Pegue el siguiente código en un editor de texto como el Bloc de notas:

$upsApp = Get-SPServiceApplication 
<UPSAppGUID>
$upsApp.FIMWebClientTimeOut = 
<NewTimeout>
$upsApp.Update()

4. Reemplace <UPSAppGUID> por el GUID de la aplicación de servicio de perfil de usuario y <NewTimeout> por el nuevo valor de tiempo de espera en milisegundos. El tiempo de espera predeterminado es de 300.000 milisegundos (5 minutos).

5. Guarde el archivo como un archivo de texto con codificación ANSI que tenga la extensión .ps1 como AdjustProfileSyncTimeouts.ps1.

6. En el menú Inicio, haga clic en Todos los programas.

7. Haga clic en Productos de Microsoft SharePoint 2013.

8. Haga clic en Consola de administración de SharePoint 2013.

9. Cambie al directorio en el que haya guardado el archivo.

10. En el símbolo del sistema de Microsoft PowerShell, escriba el siguiente comando para ejecutar un archivo de script:

./<file name>.ps1

Donde <nombre> de archivo es el nombre del archivo que se va a ejecutar.

Para obtener más información, vea Get-SPServiceApplicationProxy y Get-SPServiceApplication.