Exportar (0) Imprimir
Expandir todo

Preparar la sincronización de directorios

Publicada: junio de 2012

Actualizado: noviembre de 2014

Se aplica a: Azure, Office 365, Windows Intune

noteNota
Puede que este tema no sea totalmente aplicable a los usuarios de Microsoft Azure en China. Para obtener más información sobre el servicio de Azure en China, vea windowsazure.cn.

Como administrador, debes hacer una preparación previa a la sincronización de tu Active Directory local en Microsoft Azure Active Directory (Microsoft Azure AD).

Si vas a implementar el inicio de sesión único, se recomienda que antes de configurar la sincronización de directorios, configures el inicio de sesión único.

Una vez configurado, comprueba que las siguientes afirmaciones son ciertas:

  • Dispones del software necesario.

  • Has configurado los permisos correctos.

  • Comprendes las consideraciones sobre rendimiento relacionadas con la sincronización de directorios.

La activación de la sincronización de directorios se deben considerar un compromiso a largo plazo. Una vez activada la sincronización de directorios, solo puedes editar objetos sincronizados usando las herramientas de administración de Active Directory local. Para obtener más información, vea Sincronización de directorios y origen de autoridad.

Todos los clientes de Azure Active Directory y Office 365 tienen un límite de objetos predeterminado de 50.000 objetos habilitados para correo (usuarios, contactos habilitados para correo y grupos) de manera predeterminada.
Este límite determina cuántos objetos se pueden crear en el inquilino.
Los objetos se pueden crear con DirSync, Powershell o la API de GRAPH.

Al comprobar el primer dominio, el límite de objetos aumenta automáticamente a 300.000 objetos.
Solo se concede un aumento a cada inquilino.

ImportantImportante
Si has comprobado un dominio y necesitas sincronizar mas de 300.000 objetos O no tienes dominios que comprobar y necesitas sincronizar más de 50.000 objetos habilitados para correo, deberás ponerte en contacto con el Soporte técnico de Azure Active Directory para solicitar un aumento del límite de la cuota de objetos.

Si tu Active Directory local tiene menos de 50.000 objetos habilitados para correo, puedes implementar la sincronización de directorios con Microsoft SQL Server 2008 Express.
Sin embargo, si tu Active Directory local tiene más de 50.000 objetos habilitados para correo, debes implementar la sincronización de directorios con una instancia completa de SQL Server. Las instancias completas de SQL Server necesarias son Microsoft SQL Server 2008 Standard, Microsoft SQL Server 2008 R2 o Microsoft SQL Server 2012. Para obtener más información sobre la implementación de la sincronización en una versión independiente de SQL Server, consulta Cómo instalar la herramienta de sincronización de directorios en SQL Server.

En esta sección se describen los requisitos del equipo para ejecutar la Herramienta de sincronización de directorios. La Herramienta de sincronización de directorios se comunica con los servidores del controlador de dominio. La instalación predeterminada de la Herramienta de sincronización de directorios incluye una versión de Microsoft SQL Server 2012 Express SP1.

El equipo de la sincronización de directorios debe cumplir los requisitos siguientes:

  • Debes ejecutar Windows Server como sistema operativo. Las siguientes versiones de sistema operativo de Windows Server son compatibles:

    • Edición de 64 bits de Windows Server 2008 Standard, Enterprise o Datacenter con SP1 o posterior

    • Windows Server 2008 R2 Standard, Enterprise o Datacenter Edition con SP1 o posterior

    • Windows Server 2012 Standard o Datacenter

    • Windows Server 2012 R2 Standard o Datacenter

  • Debe estar unido a Active Directory. El equipo debe estar unido al bosque de Active Directory que planee sincronizar. Para el escenario de coexistencia enriquecida, es un requisito puesto que el servidor de DirSync enumera explícitamente y llega a todos los controladores de dominio del bosque para establecer permisos de escritura diferida. Este no es el caso si no tiene habilitada una implementación híbrida.
    El equipo también debe poder conectarse al resto de controladores de dominio para todos los dominios del bosque. Un bosque es uno o más dominios de Active Directory que comparten las mismas definiciones de clase y atributo, información del sitio y de replicación, y capacidades de búsqueda en todo el bosque.

  • Debe ejecutar Microsoft .NET Framework 3.5 SP1 y Microsoft .NET Framework 4.5.1 Si ejecuta Windows Server 2008, .NET Framework ya estará instalado; en otro caso, puede descargarlo de las siguientes ubicaciones:

  • Debe ejecutar Windows PowerShell: Si estás ejecutando Windows Server 2003, debes descargar Windows PowerShell. Si estás ejecutando Windows Server 2008, debes habilitar Windows PowerShell. Para obtener más información, vea Instalar Windows PowerShell en el equipo de sincronización de directorios.

  • Debe estar ubicado en un entorno con control de acceso. El acceso al equipo que está ejecutando la Herramienta de sincronización de directorios debe limitarse a los usuarios que tienen acceso a sus controladores de dominio de Active Directory y otros componentes de red sensibles. Solo los usuarios o administradores que tienen los permisos necesarios para realizar cambios en controladores de dominio en Active Directory pueden tener acceso a este equipo.

noteNota
Se ha agregado la compatibilidad con Windows Server 2012 al servidor que ejecuta la herramienta de sincronización de directorios.

ImportantImportante
Solo puedes instalar un equipo que ejecute la herramienta de sincronización de directorios entre un Active Directory local y un inquilino de Office 365.

La tabla siguiente enumera los requisitos para controladores de dominio implementados en tus bosques de Active Directory que se comunican con el entorno de Office 365.

 

Componente Requisitos

Bosque de Active Directory

  • Modo funcional del bosque de Windows Server 2003 o versiones superiores

Controlador de dominio

  • Edición de 32 bits o 64 bits de Windows Server 2003 Standard Edition o Enterprise Edition con Service Pack 1 (SP1)

  • Edición de 32 bits o 64 bits de Windows Server 2008 Standard o Enterprise, Windows Server 2008 R2 Standard o Enterprise, o Windows Server 2008 Datacenter o Windows Server 2008 R2 Datacenter.

  • Windows Server 2012 Standard o Datacenter.

ImportantImportante
En cada sitio de Active Directory donde planees instalar servidores híbridos de Exchange 2010 SP2, debes tener al menos un servidor de catálogo global configurado.

Al instalar la Herramienta de sincronización de directorios, el asistente de configuración crea una cuenta de servicio que se usará para leer desde tu Active Directory local y escribir en Azure AD. El asistente crea esta cuenta con los permisos de administrador de Active Directory y los permisos de administrador en la nube, que proporcionas como parte de la configuración.

Para ejecutar la Herramienta de sincronización de directorios, debes tener permisos de administrador para lo siguiente:

  • El equipo que ejecuta la Herramienta de sincronización de directorios.

  • El Active Directory local de tu compañía.

  • La cuenta de administrador de servicios en la nube de Microsoft de tu compañía. (consulta Credenciales de Azure AD)

La primera vez que se ejecuta Herramienta de sincronización de directorios, copia todos los objetos relevantes (cuentas de usuario y grupos de seguridad) en Azure AD. Antes de realizar esta operación, debes saber el número de objetos que se copiarán, de modo que puedas planear con antelación el efecto que la operación tendrá en el tiempo de respuesta de la red y en los equipos que ejecuten Microsoft Exchange Server.

noteNota
El servicio de Azure AD admite la sincronización de hasta 50.000 objetos habilitados para correo. Para sincronizar más de 50.000 objetos habilitados para correo, ponte en contacto con el Soporte técnico.

TipSugerencia
¿Utilizas Office 365? Los objetos que se hayan sincronizado desde tu servicio de directorio local aparecen inmediatamente en la lista global de direcciones (GAL); sin embargo, estos objetos pueden tardar hasta 24 horas en aparecer en la libreta de direcciones sin conexión (OAB) y en Lync Online.

Para configurar la sincronización de directorios, debes designar un equipo como el equipo de sincronización de directorios e instalar la Herramienta de sincronización de directorios en ese equipo.

El rendimiento de la Herramienta de sincronización de directorios depende del tamaño y de la complejidad del Active Directory del cliente y del hardware que ejecuta la herramienta de sincronización de directorios. Ejecutar la herramienta de sincronización de directorios en hardware insuficiente afectará al rendimiento de la herramienta, lo que provocará un aumento de latencia o incluso un error en la propagación de los datos locales a la nube.

En el caso de implementaciones de Active Directory con más de 50.000 objetos habilitados para correo, se recomienda implementar la herramienta de sincronización de directorios con una instancia completa de SQL (una implementación de cualquier SKU que no sea SQL Express, como SQL Server Standard, Enterprise o DataCenter). Los clientes con menos de 50.000 objetos habilitados para correo también pueden optar por usar una instancia completa de SQL; sin embargo, será suficiente la instancia de SQL Express instalada de manera predeterminada con la Herramienta de sincronización de directorios.

La siguiente tabla muestra los requisitos mínimos de hardware recomendados para el equipo de sincronización de directorios en relación con el número de objetos que tenga en tu Active Directory local.

 

Número de objetos en Active Directory CPU Memoria Tamaño de la unidad de disco duro

Menos de 10.000

1,6 GHz

4 GB

70 GB

10,000–50,000

1,6 GHz

4 GB

70 GB

50,000–100,000

Necesita SQL Server completo

1,6 GHz

16 GB

100 GB

100,000–300,000

Necesita SQL Server completo

1,6 GHz

32 GB

300 GB

300,000–600,000

Necesita SQL Server completo

1,6 GHz

32 GB

450 GB

Más de 600.000

Necesita SQL Server completo

1,6 GHz

32 GB

500 GB

Varios procesos de la Herramienta de sincronización de directorios consumirán espacio del disco duro. El disco duro consumido por la Herramienta de sincronización de directorios aumenta en función de varios factores como el tamaño y la complejidad de la infraestructura de Active Directory desde la que Herramienta de sincronización de directorios se está sincronizando.

Las capacidades de disco duro enumeradas en la tabla anterior son estimaciones del espacio de disco total necesario para sincronizar Active Directory para los tamaños mencionados.

De manera predeterminada, la Herramienta de sincronización de directorios instalará la edición Microsoft SQL Server 2008 R2 Express. Los archivos de datos se almacenan en el mismo directorio que los archivos del producto Herramienta de sincronización de directorios de Microsoft Online (la ruta de acceso especificada durante la instalación de la Herramienta de sincronización de directorios – C:\Archivos de programa\Herramienta de sincronización de directorios de Microsoft Online). La ubicación de estos archivos de base de datos no se puede configurar para la edición SQL Server 2008 R2 Express.

La Herramienta de sincronización de directorios no ordena ni requiere una configuración de disco duro específica a los clientes que usan una instancia de SQL existente. Sin embargo, las máquinas con configuraciones de disco optimizadas para SQL tendrán un rendimiento general mejor en el proceso de sincronización de directorios.

Para iniciar sesión en Microsoft Online Services, tus usuarios deben proporcionar credenciales en la forma de una combinación de nombre de usuario y contraseña.
Un formato posible para un nombre de usuario es el atributo de nombre principal del usuario (UPN) local que también se denomina nombre de inicio de sesión del usuario.
El uso del UPN local requiere que el atributo UPN use un dominio enrutable públicamente.
Sin embargo, hay casos en los que el dominio local no es enrutable.
Por ejemplo, para dominios de un solo nivel como “.local” o “.intranet”.

Un método de solucionar esto es agregar un sufijo de UPN alternativo a Active Directory.
A continuación, encontrarás instrucciones de cómo agregar un sufijo alternativo.

O bien, puedes configurar un Id. de inicio de sesión alternativo, que represente el método recomendado.
Para obtenermás detalles, consulta Using Alternate Login IDs with Azure Active Directory.

Debes agregar un sufijo de UPN alternativo para asociar las credenciales corporativas con el entorno de Office 365. Un sufijo de UPN es la parte de un UPN a la derecha del carácter @. Los UPN que se usan para el inicio de sesión único pueden contener letras, números, puntos, guiones y guiones bajos, pero no otros tipos de caracteres.

  1. Haz clic en Inicio, Herramientas administrativas y luego en Dominios y confianzas de Active Directory.

  2. Iniciar sesión en los controladores de dominio de Active Directory de su organización

  3. En el árbol de consola, haz clic con el botón secundario en Dominios y confianzas de Active Directory y después haz clic en Propiedades.

  4. Selecciona la pestaña Sufijos de UPN, escribe un sufijo de UPN alternativo para el bosque y luego haz clic en Agregar.

  5. Repite el paso 3 para agregar más sufijos de UPN alternativos

Si aún no has configurado la sincronización de Active Directory, puedes omitir esta tarea y seguir con la siguiente sección.

Si ya has configurado la sincronización de Active Directory, puede que el UPN de usuario para Office 365 no coincida con el UPN local de usuario definido en Active Directory. Esto puede ocurrir cuando se ha asignado una licencia a un usuario antes de comprobarse el dominio.

Para solucionar el problema, use Windows PowerShell para actualizar los UPN de usuario para asegurarse de que sus UPN de Office 365 coinciden con su nombre de usuario y dominio corporativo.

Después de configurar de manera opcional el inicio de sesión único y preparar su equipo de sincronización de directorios, ya estás listo para Activar la sincronización de directorios.

noteNota
Si tienes alguna pregunta sobre el contenido de este artículo o si quieres hacer comentarios generales, publica un mensaje en Azure Active Directory Discussion Forum.

Vea también

Conceptos

Preparar el inicio de sesión único
Credenciales de Azure AD

Otros recursos

Prácticas recomendadas para implementar y administrar la herramienta de sincronización de Azure Active Directory
Lista de atributos que se sincronizan con la herramienta de sincronización de Azure Active Directory

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft