Office365 – (05) Entorno hibrido: Sincronizar Active Directory con Azure AD Connector

01.- Configurar Active directory Sinchronization (no necesario)

Este paso es solo si tenemos un Active Directory en nuestra organización y queremos una implementación Hybrida, o una migración Cutover o Staged de nuestra organización. Si somos una empresa pequeña que no tenemos AD, pueso no es necesarios

Este paso de configurar la sincronización no es realmente necesario, porque AD Azure connector del paso 3 que haremos mas adelante nos lo va a habilitar automáticamente, asi que no hace falta


El Directory Sync status debería estar puesto en “Deactivate” y activarlo nosotros. Ya digo. NO es necesario este paso


02..- Install and Run the IdFix Tool

Lo primero es descargar la utilidad IdFix Tool, que lo que hace es identificar en nuestro AD, si hay UPN duplicados, Missing Display Names, etc…, es decir, objetos de AD que pueden causar problemas con la sincronización con Office 365

Lo descargamos de IdFix DirSync Error Remediation Tool. Descomprimimos el Zip i lo ejecutamos

Nos vamos a Query

Si todo está correcto y no sale ningún error. Perfecto podemos sincronizar el directorio activo

Si hay errores podemos editar, eliminar, etc…

 

03.- Instalar Azure Active Directory Connect

“Azure Active Directory Connect” (AAD Connect) es la herramienta que instala en el dominioo On-Premise, y ayuda a conectar nuestro Active Directory On-Premises con Office 365 directory service. Sustituye a la antigua DirSync y AADSync tools

Si vamos a implementar una configuración Hibrida, recomendamos empezar con AAD Connect (Azure AD Connect)

 

Prerequisitos

El DC debe ejecutar W2008 o superior con al menos un nivel funcional de W2003. El servidor donde se instala debe ser un w2008 y puede instalarse en un Domain Controller

Nos descargamos el Azure AD Connect desde Microsoft Download Center y lo ejecutamos

Next

Usamos Express

Nos pide las credenciales de nuestro Tenant de Office 365, por ejemplo admin@josemctonline.onmicrosoft.com. Como cambiamos la cuenta a admin@josemctonline.com también nos valdría. Intenta la conexión

Ahora nos pide las credenciales del nuestro dominio on-premises

Como vemos tenemos en nuestro AD un sufijo UPN (josemctonline.net) pero como no está añadido en office 365 nos da el warning.

Lo he puesto a modo de documentación. De ahí la importancia de que el sufijo UPN de nuestro AD sea igual que el de Office 365.

Si nuestro dominio fuese no routable (josemctonline.lab) tendíamos que añadir un sufijo UPN routable, que coincidiera con el de Office 365 (tendríamos que cambiar por script el UPN suffix a todos los usuarios de mi dominio

Lo eliminamos de “AD Domains and trust” ya que nuestro dominio on-premise es routable.

Si hacemos “un-check” de “start the synchronization process..” se configura la sincronización pero deja la tarea deshabilitada. No empezará la sincronización hasta que la habilitemos manualmente en Task Scheduler

  • Opcionalmente podemos configurar los servicios de sincronización para “Exchange hybrid Deployment”. Si no planeamos tener Exchange mailboxes tanto on-premise como en el Office 365 no lo necesitamos. Nosotros Si lo vamos a querer

OJO: si no queremos que nos sincronice de golpe todo el AD, y queremos que nos sincronice solo una OU, debemos desactivar “Start the sinchronization poecess…” y configurar AAD para decirle que queremos sincronizar (ver paso4)

Vamos a sincronizar todo y luego veremos cómo configurar AAD connect para elegir lo que queremos sincronizar

Empieza la configuracion SQL y sincronización)

Todo correcto (https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-whats-next/)

Se nos habrá sincronizado nuestro directorio activo. Aquí aparecen los usuarios del AD, aun no hemos configurado correos. Aparecerán como que no tienen buzon

 

OTROS PASOS ADICIONALES

04.- Configurar Azure Active Directory Connect

Si quiero customizar my AAD Connect antes de la sincronización, debo hacer logoff y logonn del servidor donde tengo instalado AAD Connect y abrir el Synchronization Service Manager

Vamos a actions > connectors > seleccionamos el dominio > propiedades

Vamos a “configure Directory partitions > containers

Ponemos las credenciales (quitamos lo de MSOL_61b…) y ponemos al administrador del dominio

Por defecto todos los containers de AD se seleccionan en la sincronización, desactivaría todo y activaría solo los usuarios de Holanda

à

05.- Habilitar/configurar el “Synchronization schedule”

Si recordamos, en la instalación de AAD Connect, al final nos decía si queríamos sincronizar tras la instalación de la aplicación. Solo necesitamos habilitarlo

Podemos cambiar la frecuencia

En W2012R2 tenemos Get-ADSyncScheduler

  • Import-mudule ADSync
  • Get-ADSyncScheduler

  • AllowedSyncCycleInterval. The most frequently Azure AD will allow synchronizations to occur. You cannot synchronize more frequently than this and still be supported.
  • CurrentlyEffectiveSyncCycleInterval. The schedule currently in effect. It will have the same value as CustomizedSyncInterval (if set) if it is not more frequent than AllowedSyncInterval. If you change CustomizedSyncCycleInterval, this will take effect after next synchronization cycle.
  • CustomizedSyncCycleInterval. If you want the scheduler to run at any other frequency than the default 30 minutes, you will configure this setting. In the picture above the scheduler has been set to run every hour instead. If you set this to a value lower than AllowedSyncInterval, the latter will be used.
  • NextSyncCyclePolicyType. Either Delta or Initial. Defines if the next run should only process delta changes, or if the next run should do a full import and sync, which would also reprocess any new or changed rules.
  • NextSyncCycleStartTimeInUTC. Next time the scheduler will start the next sync cycle.
  • PurgeRunHistoryInterval. The time operation logs should be kept. These can be reviewed in the synchronization service manager. The default is to keep these for 7 days.
  • SyncCycleEnabled. Indicates if the scheduler is running the import, sync, and export processes as part of its operation.
  • MaintenanceEnabled. Shows if the maintenance process is enabled. It will update the certificates/keys and purge the operations log.
  • IsStagingModeEnabled. Shows if staging mode is enabled.

Arrancar un Scheduler

El Scheduler corre cada 3 horas, y puede ser que necesitemos ejecutar un Sync Cicle inmediatamente. Hay 2 tipos

Delta sync cicle

  • Delta import on all Connectors
  • Delta Sync on all Connectors
  • Export on all Connectors

Si tuviéramos un cambio urgente que debe ser sincronizado inmediatamente, es decir, correr manualmente un ciclo

  • Start-ADSyncSyncCycle -PolicyType Delta

Delta Sync cicle

  • Added more objects or attributes to be imported from a source directory
  • Made changes to the Synchronization rules
  • Changed filtering so a different number of objects should be included

Si hemos hecho alguno de estos cambios, necesitamos ejecutar un Full Sync Cicle para que se consolide el connector Space

  • Full Import on all Connectors
  • Full Sync on all Connectors
  • Export on all Connectors

El comando es

  • Start-ADSyncSyncCycle -PolicyType initial

Primero empieza en nuestro AD y luego en el de Azure

 

Parar el Scheduler

Si un ciclo está corriendo no se puede hacer cambios en la configuración hasta que termina, pero podemos pararlo inmediatamente. No es peligroso y cualquier cambio no procesado se hará en el próximo Run

  • Stop-ADSyncSyncCycle

Parar el scheduler no para el actual connector de su tarea, para forzarlo a parar

Tras un rato vemos que ha sincronizado, SOLO las cuentas de usuario, nada de mover buzones ni nada. Solo están los usuarios con sus atributos

Be the first to comment

Leave a Reply