Exportar (0) Imprimir
Expandir Tudo

Preparar-se para a sincronização de diretórios

Publicado: junho de 2012

Atualizado: novembro de 2014

Aplica-se a: Azure, Office 365, Windows Intune

noteObservação
Talvez esse tópico não seja totalmente aplicável aos usuários do Microsoft Azure na China. Para obter mais informações sobre o serviço do Azure na China, consulte windowsazure.cn.

Como um administrador, você precisa de alguma preparação antes de sincronizar seu Active Directory local para o Active Directory do Microsoft Azure (AD do Microsoft Azure).

Se estiver implantando um logon único, recomendamos que configure o logon único antes de configurar a sincronização de diretórios.

Após configurar o logon único, verifique se as seguintes declarações são verdadeiras:

  • Tem o software necessário.

  • Configurou as permissões corretas.

  • Entendeu as considerações de desempenho relacionadas à sincronização de diretórios.

Ativar a sincronização de diretórios deve ser considerado um compromisso de longo prazo. Depois de ter ativado a sincronização de diretórios, apenas será possível editar objetos sincronizados usando suas ferramentas locais de gerenciamento do Active Directory. Para obter mais informações, consulte Sincronização de diretórios e fonte de autoridade.

Todos os clientes do Active Directory do Azure e do Office 365 têm um limite de objeto padrão de 50.000 objetos (usuários, contatos habilitados para email e grupos), por padrão.
Este limite determina quantos objetos você pode criar no seu locatário.
Os objetos podem ser criados usando o DirSync, o PowerShell ou o GRAPH API.

Quando verifica seu primeiro domínio, este limite de objetos é automaticamente aumentado para 300.000 objetos.
É concedido a cada locatário somente um aumento.

ImportantImportante
Se verificou um domínio e precisa sincronizar mais de 300.000 objetos OU se não tem nenhum domínio para verificar e precisa sincronizar mais de 50.000 objetos habilitados para email, você precisará entrar em contato com o Suporte do Active Directory do Azure para solicitar um aumento no seu limite da cota de objetos.

Se seu Active Directory local tiver menos de 50.000 objetos habilitados para email, será possível implantar a sincronização de diretórios com o Microsoft SQL Server 2008 Express.
No entanto, se seu Active Directory local tiver mais de 50.000 objetos habilitados para email, será necessário implantar a sincronização de diretórios com uma instância completa do SQL Server. As instâncias completas do SQL Server necessárias são o Microsoft SQL Server 2008 Standard, o Microsoft SQL Server 2008 R2 ou o Microsoft SQL Server 2012. Para obter mais informações sobre como implantar a sincronização numa versão autônoma do SQL Server, consulte Como instalar a ferramenta de Sincronização de Diretórios no SQL Server.

Esta seção descreve os requisitos do computador para executar o Ferramenta de Sincronização do Directory. O Ferramenta de Sincronização do Directory comunica-se com seus servidores do controlador do domínio. A instalação padrão do Ferramenta de Sincronização do Directory inclui a versão do Microsoft SQL Server 2012 Express SP1.

O computador de sincronização de diretórios deve satisfazer os seguintes requisitos:

  • Deve executar o Windows Server como sistema operacional. As seguintes versões do sistema operacional Windows Server são suportadas:

    • Edição de 64 bits do Windows Server 2008 Standard, Enterprise ou Datacenter com SP1 ou posterior

    • Edição do Windows Server 2008 R2 Standard, Enterprise, ou Datacenter com SP1 ou posterior

    • Windows Server 2012 Standard ou Datacenter

    • Windows Server 2012 R2 Standard ou Datacenter

  • Deve ser ingressado no Active Directory. O computador deve se ingressado na floresta do Active Directory que planeja sincronizar. Para cada cenário avançado de coexistência, este é um requisito porque o servidor DirSync explicitamente enumera e acessa todos os controladores do domínio na floresta para definir permissões para write-back. Este não será o caso se não tiver a Implantação Híbrida habilitada.
    O computador também deve ser capaz de se conectar a todos os outros controladores de domínio para todos os domínios na sua floresta. Uma floresta é um ou mais domínios do Active Directory que compartilham as mesmas definições de classe e atributos, informações do site e replicação e capacidades de pesquisa em toda a floresta.

  • Deve executar o Microsoft .NET Framework 3.5 SP1 e o Microsoft .NET Framework 4.5.1 Se estiver executando o Windows Server 2008, o .NET Framework já estará instalado; se não, será possível baixá-lo nos seguintes locais:

  • Deve ser executado no Windows PowerShell: se estiver executando o Windows Server 2003, será necessário baixar o Windows PowerShell. Se estiver executando o Windows Server 2008, será necessário habilitar o Windows PowerShell. Para obter mais informações, consulte Instalar o Windows PowerShell no computador de sincronização de diretório.

  • Deve estar localizado em um ambiente de acesso controlado. O acesso ao computador que está executando o Ferramenta de Sincronização do Directory deve ser limitado aos usuários quem têm acesso a seus controladores de domínio do Active Directory e outros componentes de rede sensíveis. Somente os usuários ou administradores que tenham as permissões necessárias para fazer alterações nos controladores de domínio no Active Directory devem ter acesso a este computador.

noteObservação
O suporte para o Windows Server 2012 foi adicionado para o servidor executando a ferramenta de Sincronização de Diretórios.

ImportantImportante
É possível instalar somente um computador executando a ferramenta de Sincronização de Diretórios entre um Active Directory local e um locatário do Office 365.

A tabela a seguir lista os requisitos dos controladores de domínio implantados em suas florestas do Active Directory que comunicam com o ambiente do Office 365.

 

Componente Requisitos

Floresta do Active Directory

  • Modo funcional da floresta do Windows Server 2003 ou superior

Controlador de domínio

  • Windows Server 2003 Standard Edition ou Enterprise Enterprise com Service Pack 1 (SP1) de 32 bits ou 64 bits

  • Edição de 32 bits ou 64 bits do Windows Server 2008 Standard ou Enterprise, Windows Server 2008 R2 Standard ou Enterprise ou Windows Server 2008 Datacenter ou Windows Server 2008 R2 Datacenter.

  • Windows Server 2012 Standard ou Datacenter.

ImportantImportante
Em cada site do Active Directory onde você planeje instalar os servidores híbridos do Exchange 2010 SP2, você deve ter pelo menos um servidor de catálogo global configurado.

Quando você instale o Ferramenta de Sincronização do Directory, o assistente de Configuração cria uma conta de serviço que será usada para ler no seu Active Directory local e gravar no AD do Azure. O assistente cria essa conta usando suas permissões de administração do Active Directory locais e suas permissões de administração da nuvem, que você fornece como parte da instalação.

Para executar o Ferramenta de Sincronização do Directory, você deve ter permissões de administrador para o seguinte:

  • O computador executar o Ferramenta de Sincronização do Directory.

  • O Active Directory local da sua empresa.

  • A conta de administrador da nuvem da Microsoft da sua empresa. (Consulte Credenciais do Azure AD)

Na primeira vez que o Ferramenta de Sincronização do Directory é executado, ele copia todos os objetos relevantes (contas de usuário e grupos de segurança) no AD do Azure. Antes de realizar esta operação, você deve saber o número de objetos que serão copiados, para que possa planejar antecipadamente o efeito que esta operação terá no tempo de resposta da sua rede e nos computadores que estão executando o Microsoft Exchange Server.

noteObservação
O serviço do AD do Azure suporta a sincronização até 50.000 objetos habilitados para email. Para sincronizar mais de 50.000 objetos habilitados para email, entre em contato com o Suporte.

TipDica
Usando o Office 365? Os objetos que foram sincronizados do serviço do diretório local aparecem imediatamente na Lista de Endereços Globais (GAL); no entanto, estes objetos podem levar até 24 horas a aparecerem no Catálogo de Endereços Offline (OAB) e no Lync online.

Para configurar a sincronização do diretório, você deve atribuir um computador como seu computador de sincronização de diretório e, em seguida, instalar o Ferramenta de Sincronização do Directory naquele computador.

O desempenho do Ferramenta de Sincronização do Directory é dependente do tamanho e da complexidade do Active Directory do cliente, bem como do hardware que está executando a ferramenta de sincronização de diretórios. Executar a ferramenta de sincronização de diretório em hardware insuficiente impactará no desempenho da ferramenta, resultando em aumento de latência ou até falhas em propagar os dados locais para a nuvem.

Em caso de implantações do Active Directory com mais de 50.000 objetos habilitados para email, recomendamos que implante a ferramenta de sincronização de diretórios com uma instância completa do SQL (uma implantação de qualquer Express SKU que não seja SQL como o SQL Server Standard, Enterprise ou DataCenter). Os clientes com menos de 50.000 objetos habilitados para email também podem escolher usar uma instância completa do SQL; no entanto, o SQL Express instalado por padrão com o Ferramenta de Sincronização do Directory será suficiente.

A tabela a seguir mostra os requisitos de hardware mínimos recomendados para o computador de sincronização de diretórios em relação a quantos objetos você tem no seu Active Directory local.

 

Número de objetos no Active Directory CPU Memória Tamanho do disco rígido

Menos que 10.000

1,6 GHz

4 GB

70 GB

10,000–50,000

1,6 GHz

4 GB

70 GB

50,000–100,000

Requer um SQL Server completo

1,6 GHz

16 GB

100 GB

100,000–300,000

Requer um SQL Server completo

1,6 GHz

32 GB

300 GB

300,000–600,000

Requer um SQL Server completo

1,6 GHz

32 GB

450 GB

Mais de 600.000

Requer um SQL Server completo

1,6 GHz

32 GB

500 GB

Vários processos dentro do Ferramenta de Sincronização do Directory consumirão espaço no disco rígido. O espaço no disco consumiu os aumentos do Ferramenta de Sincronização do Directory com base em vários fatores, incluindo o tamanho e a complexidade da infraestrutura do Active Directory de onde o Ferramenta de Sincronização do Directory está sendo sincronizado.

As capacidades do Disco Rígido listadas na tabela anterior estimam o espaço total no disco requerido para sincronizar o Active Directory para os tamanhos mencionados.

Por padrão, o Ferramenta de Sincronização do Directory instalará a edição Express do Microsoft SQL Server 2008 R2. Os arquivos de dados são armazenados no mesmo diretório que os arquivos do Microsoft Online Directory Sync Product (o caminho especificado durante a instalação do Ferramenta de Sincronização do Directory – C:\Arquivos de Programas\Microsoft Online Directory Sync). A localização destes arquivos do banco de dados não é configurável para a edição Express do SQL Server 2008 R2.

O Ferramenta de Sincronização do Directory não exige nem requer uma configuração do disco rígido específica para clientes que usam uma Instância do SQL Server existente. No entanto, as máquinas com as configurações de disco otimizadas para SQL terão um desempenho geral melhor do processo de sincronização de diretórios.

Para entrar nos serviços online da Microsoft, os usuários devem fornecer credenciais na forma de uma combinação de nome de usuário e senha.
Um formato possível para um nome de usuário é o atributo de nome do usuário local (UPN) no local que também é conhecido como nome de logon do usuário.
Usar o UPN no local requer o atributo UPN para usar um domínio publicamente roteável.
No entanto, existem casos em que o domínio no local não é roteável.
Isto é, por exemplo, verdadeiro para os domínios de nível único, tais como ".local" ou ".intranet".

Um método para abordar isto é a adição de um sufixo UPN alternativo para o Active Directory.
Abaixo, você pode encontrar instruções de como adicionar um sufixo alternativo.

Alternativamente, você também pode configurar uma ID de logon alternativo, que representa o método recomendado.
Para obter mais detalhes, consulte Usando IDs de logon alternativo com o Active Directory do Azure.

Você deve adicionar um sufixo UPN alternativo para associar as credenciais corporativas do usuário ao ambiente do Office 365. Um sufixo UPN é a parte do UPN à direita do caractere @. Os UPNs que são usados para logon único podem conter letras, números, pontos, traços e sublinhados, mas não outro tipo de caracteres.

  1. Clique em Iniciar, Ferramentas Administrativas e, em seguida, clique em Domínios e Relações de Confiança do Active Directory.

  2. Fazer logon em um controlador de domínio do Active Directory da sua organização

  3. Na árvore da console, clique com o botão direito do mouse em Domínios e Relações de Confiança do Active Directory e, em seguida, clique em Propriedades.

  4. Selecione a guia Sufixos UPN, digite um sufixo UPN alternativo para a floresta e clique em Adicionar.

  5. Repita a etapa 3 para adicionar um sufixo UPN alternativo

Se ainda não configurou a sincronização do Active Directory, é possível ignorar esta tarefa e continuar com a próxima seção.

Se já configurou a sincronização do Active Directory, o UPN do usuário para o Office 365 pode não corresponder ao UPN local do usuário definido no Active Directory. Isto pode ocorrer quando uma licença foi atribuída a um usuário antes do domínio ter sido verificado.

Para solucionar este problema, use o Windows PowerShell para atualizar os UPNs dos usuários para garantir que seus UPNs do Office 365 correspondam a seus nomes e domínios de usuário corporativos.

Depois de configurar opcionalmente o logon único e preparar seu computador de sincronização do diretório, você estará pronto para Ativar sincronização de diretórios.

noteObservação
Se tiver alguma pergunta relacionada ao conteúdo deste artigo ou se desejar fazer algum comentário geral, publique uma mensagem no Azure Active Directory Discussion Forum.

Consulte também

Conceitos

Preparar-se para o logon único
Credenciais do Azure AD

Outros recursos

Práticas recomendadas para implantar e gerenciar a Ferramenta de Sincronização do Active Directory do Azure
Lista de atributos que são sincronizados pela Ferramenta de Sincronização do Active Directory do Azure

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft