Compartir a través de

Sincronización de Microsoft Entra Connect: Programador

  • Artículo

En este tema se describe el programador integrado en Microsoft Entra Connect Sync (motor de sincronización).

Esta característica se introdujo con la compilación 1.1.105.0 (publicada en febrero de 2016).

Visión general

Microsoft Entra Connect Sync sincroniza los cambios que se producen en el directorio local mediante un programador. Hay dos procesos de planificación, uno para la sincronización de contraseñas y otro para la sincronización de objetos/atributos y tareas de mantenimiento. En este tema se trata este último.

En versiones anteriores, el programador de objetos y atributos era externo al motor de sincronización. Usó el programador de tareas de Windows o un servicio de Windows independiente para desencadenar el proceso de sincronización. El programador está integrado en las versiones 1.1 del motor de sincronización y sí permiten algunas personalizaciones. La nueva frecuencia de sincronización predeterminada es de 30 minutos.

El programador es responsable de dos tareas:

  • Ciclo de sincronización. Proceso para importar, sincronizar y exportar cambios.
  • Tareas de mantenimiento. Renueve claves y certificados para el restablecimiento de contraseña y el servicio de registro de dispositivos (DRS). Purgar entradas antiguas en el registro de operaciones.

El programador en sí siempre está en funcionamiento, pero se puede configurar para ejecutar solo una o ninguna de estas tareas. Por ejemplo, si necesita tener su propio proceso de ciclo de sincronización, puede deshabilitar esta tarea en el programador, pero seguir ejecutando la tarea de mantenimiento.

Importante

De forma predeterminada, cada 30 minutos se ejecuta un ciclo de sincronización. Si ha modificado el ciclo de sincronización, deberá asegurarse de que se ejecute un ciclo de sincronización al menos una vez cada 7 días.

  • Una sincronización diferencial debe producirse en un plazo de 7 días a partir de la última sincronización diferencial.
  • Una sincronización diferencial (después de una sincronización completa) debe producirse en un plazo de 7 días a partir del momento en que se completó la última sincronización completa.

Si no lo hace, puede producirse problemas de sincronización que requerirán que ejecute una sincronización completa para resolverla. Esto también se aplica a los servidores en modo de almacenamiento provisional.

Configuración del programador

Para ver las opciones de configuración actuales, vaya a PowerShell y ejecute Get-ADSyncScheduler. Muestra algo parecido a esta imagen:

GetSyncScheduler GetSyncScheduler

Si ve El comando o cmdlet de sincronización no está disponible al ejecutar este cmdlet, el módulo de PowerShell no se carga. Este problema podría ocurrir si ejecuta Microsoft Entra Connect en un controlador de dominio o en un servidor con niveles de restricción de PowerShell más altos que la configuración predeterminada. Si ve este error, ejecute Import-Module ADSync para que el cmdlet esté disponible.

  • AllowedSyncCycleInterval. Intervalo de tiempo más corto entre los ciclos de sincronización permitidos por microsoft Entra ID. No se puede sincronizar con más frecuencia que esta configuración y seguir siendo compatible.
  • CurrentlyEffectiveSyncCycleInterval. Programación actualmente en vigor. Tiene el mismo valor que CustomizedSyncInterval (si se establece) si no es más frecuente que AllowedSyncInterval. Si usa una compilación anterior a la 1.1.281 y cambia CustomizedSyncCycleInterval, este cambio surte efecto después del siguiente ciclo de sincronización. A partir de la compilación 1.1.281, el cambio surte efecto inmediatamente.
  • CustomizedSyncCycleInterval. Si desea que el programador se ejecute con cualquier otra frecuencia que no sea la predeterminada de 30 minutos, configure esta configuración. En la imagen anterior, el programador se ha establecido para que se ejecute cada hora, alternativamente. Si establece esta configuración en un valor inferior a AllowedSyncInterval, se usa este último.
  • NextSyncCyclePolicyType. Delta o Initial. Define si la siguiente ejecución solo debe procesar los cambios diferenciales o si la siguiente ejecución debe realizar una importación y sincronización completa. Este último también volvería a procesar las reglas nuevas o modificadas.
  • NextSyncCycleStartTimeInUTC. La próxima vez que el programador inicie el siguiente ciclo de sincronización.
  • PurgeRunHistoryInterval. El tiempo que deben mantenerse los registros de operación. Estos registros se pueden revisar en el administrador de servicios de sincronización. El valor predeterminado es mantener estos registros durante 7 días.
  • SyncCycleEnabled. Indica si el programador ejecuta los procesos de importación, sincronización y exportación como parte de su operación.
  • MaintenanceEnabled. Muestra si el proceso de mantenimiento está habilitado. Actualiza los certificados o claves y purga el registro de operaciones.
  • StagingModeEnabled. Muestra si el modo provisional está habilitado. Si esta configuración está habilitada, suprime las exportaciones de la ejecución, pero sigue ejecutando la importación y la sincronización.
  • SchedulerSuspended. Establecido por Connect durante una actualización para impedir temporalmente la ejecución del programador.

Puede cambiar algunas de estas opciones de configuración con Set-ADSyncScheduler. Se pueden modificar los parámetros siguientes:

  • IntervaloDeCicloDeSincronizaciónPersonalizado
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • CicloDeSincronizaciónHabilitado
  • MaintenanceEnabled

En compilaciones anteriores de Microsoft Entra Connect,isStagingModeEnabled se expuso en Set-ADSyncScheduler. No se puede establecer esta propiedad. Connect solo debe modificar la propiedad SchedulerSuspended. No se puede establecer esto con PowerShell directamente.

La configuración del programador se almacena en microsoft Entra ID. Si tiene un servidor de almacenamiento provisional, cualquier cambio en el servidor principal también afecta al servidor de almacenamiento provisional (excepto IsStagingModeEnabled).

IntervaloDeCicloDeSincronizaciónPersonalizado

Sintaxis: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - días, HH - horas, mm - minutos, ss - segundos

Ejemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Cambia el programador para que se ejecute cada 3 horas.

Ejemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Cambia el programador para ejecutarse a diario.

Deshabilitar el programador

Si necesita realizar cambios de configuración, desea deshabilitar el programador. Por ejemplo, cuando configura el filtrado o realiza cambios en las reglas de sincronización.

Para deshabilitar el programador, ejecute Set-ADSyncScheduler -SyncCycleEnabled $false.

Deshabilitación del programador el planificador

Cuando realice cambios, no olvide volver a habilitar el programador con Set-ADSyncScheduler -SyncCycleEnabled $true.

Iniciar el programador

El programador se ejecuta de forma predeterminada cada 30 minutos. En algunos casos, es posible que desee ejecutar un ciclo de sincronización entre los ciclos programados o debe ejecutar otro tipo.

Ciclo de sincronización delta

Un ciclo de sincronización delta incluye los pasos siguientes:

  • Importación diferencial en todos los conectores
  • Sincronización delta en todos los conectores
  • Exportación en todos los conectores

Ciclo de sincronización completa

Un ciclo de sincronización completo incluye los pasos siguientes:

  • Importación completa en todos los conectores
  • Sincronización completa en todos los conectores
  • Exportación en todos los conectores

Podría ser que tenga un cambio urgente que se debe sincronizar inmediatamente, por lo que debe ejecutar manualmente un ciclo.

Si necesita ejecutar manualmente un ciclo de sincronización, desde PowerShell ejecute Start-ADSyncSyncCycle -PolicyType Delta.

Para iniciar un ciclo de sincronización completo, ejecute Start-ADSyncSyncCycle -PolicyType Initial desde un símbolo del sistema de PowerShell.

La ejecución de un ciclo de sincronización completo puede llevar mucho tiempo, lea la sección siguiente para leer cómo optimizar este proceso.

Pasos de sincronización necesarios para distintos cambios de configuración

Los distintos cambios de configuración requieren distintos pasos de sincronización para asegurarse de que los cambios se aplican correctamente a todos los objetos.

  • Se agregaron más objetos o atributos que se importarán desde un directorio de origen (agregando o modificando las reglas de sincronización).
    • Se requiere una importación completa en el conector para ese directorio de origen.
  • Cambios realizados en las reglas de sincronización
    • Se requiere una sincronización completa en el conector para las reglas de sincronización modificadas.
  • Cambió el filtrado para que se incluya un número diferente de objetos
    • Es necesario realizar una importación completa en el conector de cada conector de AD. La excepción es si usa el filtrado basado en atributos en función de los atributos que ya se importan en el motor de sincronización.

La personalización de un ciclo de sincronización ejecuta la combinación correcta de pasos de sincronización diferencial y completa.

Para evitar ejecutar un ciclo de sincronización completo, puede marcar conectores específicos para ejecutar un paso completo mediante los siguientes cmdlets.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Ejemplo: Si realizó cambios en las reglas de sincronización del conector "AD Forest A" que no requieren ningún atributo importado nuevo, ejecutaría los siguientes cmdlets para ejecutar un ciclo de sincronización diferencial que también realizó un paso de sincronización completa para ese conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Ejemplo: Si realizó cambios en las reglas de sincronización del conector "AD Forest A" para que ahora requieran que se importe un nuevo atributo, ejecutaría los siguientes cmdlets para llevar a cabo un ciclo de sincronización delta que también ejecuta un paso de Importación completa y Sincronización completa para ese conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Detener el programador

Si el programador está ejecutando actualmente un ciclo de sincronización, es posible que tenga que detenerlo. Por ejemplo, si inicia el asistente para la instalación y recibe este error:

Captura de pantalla que muestra no se puede cambiar el mensaje de error de configuración.

Cuando se ejecuta un ciclo de sincronización, no se pueden realizar cambios de configuración. Puede esperar hasta que el programador finalice el proceso, pero también puede detenerlo para que pueda realizar los cambios inmediatamente. Detener el ciclo actual no es perjudicial y los cambios pendientes se procesan con la siguiente ejecución.

  1. Para empezar, indique al programador que detenga su ciclo actual con el cmdlet de PowerShell Stop-ADSyncSyncCycle.

  2. Si utiliza una compilación anterior a la versión 1.1.281, detener el planificador no detiene al conector actual de su tarea en curso. Para forzar que el conector se detenga, realice las siguientes acciones:

    Captura de pantalla que muestra Synchronization Service Manager con conectores seleccionados y un conector en ejecución resaltado con la acción Detener seleccionada.

    • Inicie el Servicio de sincronización desde el menú Inicio. Vaya a Conectores, resalte el conector con el estado En ejecución y seleccione Detener en la lista de acciones.

El programador todavía permanece activo y se inicia de nuevo en la siguiente oportunidad.

Programador personalizado

Los cmdlets documentados en esta sección solo están disponibles en la compilación 1.1.130.0 y versiones posteriores.

Si el programador integrado no cumple sus requisitos, puede programar los conectores mediante PowerShell.

Invoke-ADSyncRunProfile

Puede crear un perfil para un Conector de esta manera:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Los nombres a utilizar para los nombres de conector y los nombres de perfil de ejecución se pueden encontrar en la interfaz de usuario del Synchronization Service Manager .

invocar perfil de ejecución

El cmdlet Invoke-ADSyncRunProfile es sincrónico, es decir, no devuelve el control hasta que el conector completa la operación, ya sea correctamente o con un error.

Al programar los conectores, se recomienda programarlos en el orden siguiente:

  1. (Full/Delta) Importación desde directorios locales, como Active Directory
  2. (Full/Delta) Importar desde Microsoft Entra ID
  3. (Full/Delta) Sincronización desde directorios locales, como Active Directory
  4. Sincronización completa/delta desde Microsoft Entra ID
  5. Exportar a Microsoft Entra ID
  6. Exportación a directorios locales, como Active Directory

Este orden es en el que el programador integrado ejecuta los conectores.

Get-ADSyncConnectorRunStatus

También puede supervisar el motor de sincronización para ver si está ocupado o inactivo. Este cmdlet devuelve un resultado vacío si el motor de sincronización está inactivo y no ejecuta un conector. Si se está ejecutando un conector, devuelve el nombre del conector.

Get-ADSyncConnectorRunStatus

Estado de ejecución del conector Estado de la ejecución de conector
En la imagen anterior, la primera línea procede de un estado en el que el motor de sincronización está inactivo. La segunda línea es de cuando se ejecuta el conector de Microsoft Entra.

Asistente para programación e instalación

Si inicia el Asistente para instalación, el programador se suspende temporalmente. Este comportamiento se debe a que se supone que realiza cambios de configuración y esta configuración no se puede aplicar si el motor de sincronización se está ejecutando activamente. Por este motivo, no deje abierto el Asistente para la instalación, ya que impide que el motor de sincronización realice ninguna acción de sincronización.

Pasos siguientes

Infórmese más sobre la configuración de Microsoft Entra Connect Sync.

Obtenga más información sobre Integrar sus identidades locales con Microsoft Entra ID.