Administración de la sincronización de Active Directory en Project Server 2007
Actualizado: agosto de 2008
Última modificación del tema: 2015-02-27
Los usuarios y recursos de Project Server pueden sincronizarse con los usuarios del servicio de directorio de Active Directory en varios dominios y bosques. Esta característica ayuda a los administradores a realizar tareas tediosas, tales como agregar manualmente grandes cantidades de usuarios, actualizar metadatos de usuarios como las direcciones de correo electrónico y desactivar usuarios que ya no necesitan acceso al sistema. La sincronización de Active Directory puede realizarse manualmente o con una programación automatizada. Cuando se produce la sincronización de Active Directory, únicamente se modifican los datos de Project Server. Los datos de Active Directory no se modifican, solamente se realizan consultas sobre los mismos.
Propiedades de usuario o recurso de Project Server actualizadas durante la sincronización
Cuando se produce la sincronización, Project Server 2007 actualiza las siguientes propiedades de usuario o recurso de Project Server con campos de metadatos de usuarios de Active Directory específicos:
Propiedad de usuario de Active Directory | Propiedad de usuario o recurso de Project Server |
---|---|
ADGUID (UserObject.objectGUID) |
Se almacena en la base de datos publicada de Project Server (campo WRES_AD_GUID en la tabla MSP_RESOURCES). Esta propiedad no es visible en la interfaz de usuario de Project Web Access. |
Cuenta de usuario de Windows (domain\sAMAccountName) |
Cuenta de usuario de Windows |
Nombre para mostrar (UserObject.displayName) |
Nombre para mostrar/Nombre de recurso |
Dirección de correo electrónico (UserObject.mail) |
Dirección de correo electrónico |
Departamento (UserObject.department) |
Grupo (solamente propiedad de recurso)
|
Puede personalizar la sincronización de Active Directory para realizar asignaciones a campos de metadatos adicionales con controladores de servidor. Para obtener más información acerca de los controladores de servidor, vea el artículo acerca de cómo escribir y depurar controladores de eventos para Project Server 2007 (en inglés) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0xC0A) (en inglés) en MSDN Library Online.
Se podrían asignar campos de Active Directory adicionales a campos personalizados de recursos a través de la utilidad de sincronización de AD/recursos de Project Server 2007 (en inglés) (https://go.microsoft.com/fwlink/?linkid=126634\&clcid=0xC0A) (en inglés) disponible a través de CodePlex.
[!NOTA] Microsoft no controla, revisa, promociona ni distribuye los proyectos de terceros en el sitio de CodePlex. Use estos proyectos bajo su responsabilidad. Microsoft hospeda el sitio de CodePlex únicamente como un sitio de almacenamiento web como un servicio a la comunidad de programadores.
Procedimientos recomendados para la sincronización de Active Directory
A continuación, se describen los procedimientos que recomienda Microsoft al administrar la sincronización de Active Directory en Project Server 2007:
Cree grupos específicos de Active Directory que se correspondan con cada grupo de seguridad de Project Server y el fondo de recursos de empresa de Project Server. Por ejemplo, asigne a los nuevos grupos de Active Directory nombres tales como “Project Server — ERP”, “Project Server — Jefes de proyectos”, “Project Server — Ejecutivos”. A continuación, anide los grupos de Active Directory existentes dentro de estos grupos para mejorar la organización.
Sincronice siempre en primer lugar el fondo de recursos de empresa y, a continuación, sincronice los grupos de seguridad de Project Server. De este modo se garantiza que las propiedades de los recursos de la empresa se configuren correctamente.
Programe la sincronización de la forma que mejor se ajuste a las necesidades empresariales. Si con frecuencia se agregan nuevos usuarios o si los usuarios cambian de puesto en la organización, es posible que desee programar la sincronización para que se realice diariamente. Si no es así, puede que desee programarla para que se realice semanalmente. Como procedimiento recomendado, siempre programe la sincronización para que se lleve a cabo en horas fuera del horario laboral o de poca actividad. Se recomienda hacerlo así porque al realizar la sincronización, ésta provoca una resincronización de permisos con Windows SharePoint Services, lo que hace que todos los usuarios pierdan temporalmente el acceso al sitio.
Para solucionar los problemas de sincronización, examine el registro de eventos de la aplicación en el servidor de aplicaciones de la granja de servidores. También se pueden usar los registros del Servicio de creación de registros unificado (ULS) para obtener más detalles acerca de los problemas de sincronización de Active Directory (por ejemplo, el registro de ULS contendrá entradas DEADLOCK si se ha producido un bloqueo de usuario, vea la nota de precaución que sigue a la entrada). Se puede configurar el registro de ULS en el sitio web de Administración central de SharePoint para proporcionar más información acerca de los eventos de Active Directory que intenta capturar. Esta configuración se puede establecer en la ficha Operaciones de la página Registro de diagnósticos. En esta página, se puede configurar el registro de ULS para capturar solo la información de sincronización de Active Directory estableciendo Seleccionar una categoría como la categoría Sincronización de Active Directory de Project Server. Asimismo, establezca Evento menos crítico que desea incorporar al registro de seguimiento como Detallado. Para obtener más información acerca de la configuración de las opciones de registro, vea Configuración del registro de diagnóstico (Project Server).
Precaución: Bajo ciertas circunstancias, la sincronización de usuarios y áreas de trabajo de Project Server con Active Directory puede provocar una situación de “bloqueo” en la que todos los usuarios tienen bloqueado el acceso a un sitio de PWA o a las respectivas áreas de trabajo. Esto hace que los trabajos de sincronización de usuarios generen errores y que los permisos de sitios se sincronicen parcialmente o que no se sincronicen en absoluto. Es posible que los usuarios no puedan iniciar una sesión en PWA o en sus áreas de trabajo.
Un bloqueo puede producirse si el proceso de sincronización de usuarios tarda demasiado tiempo en completarse. Esto se debe a que el trabajo de sincronización itera entre muchos usuarios y áreas de trabajo, por ejemplo, cuando se realizan grandes cambios de pertenencias a grupos. Un trabajo de sincronización pendiente en la cola durante mucho tiempo aumenta la posibilidad de que otros trabajos se inicien de forma accidental, lo que también puede provocar un bloqueo.
Para reducir las posibilidades de que se produzca un bloqueo, puede hacer lo siguiente:Antes de realizar grandes cambios de pertenencias a grupos, compruebe que no hay ningún trabajo llamado “Sincronización de usuario para sitio raíz de aplicación de Project Web Access y áreas de trabajo de Project WSS” actualmente en proceso o en cola en espera de ser procesado.
Ejecute la herramienta para la sincronización de áreas de trabajo de Project Server (en inglés) en el sitio de CodePlex (https://go.microsoft.com/fwlink/?linkid=147394&clcid=0xC0A) (en inglés). La herramienta controla lo que se debe sincronizar cuando se inicia el trabajo (PWA y áreas de trabajo, solo áreas de trabajo, solo PWA o ninguna sincronización para PWA o áreas de trabajo) y permite al administrador realizar la sincronización de usuarios durante horas fuera del horario laboral o de poca actividad cuando la sobrecarga del servidor es menor.
Tenga en cuenta que la herramienta para la sincronización de áreas de trabajo de Project Server no acelera el proceso de sincronización más de lo normal. Sin embargo, poder sincronizar los usuarios cuando la sobrecarga del servidor es menor reduce la posibilidad de errores en la sincronización.
Asegúrese de que la cuenta especificada para el proveedor de servicios compartidos de la aplicación de Project Server tenga el permiso para leer en todos los dominios y bosques de Active Directory usados en la sincronización. Tenga en cuenta que todas las sincronizaciones de Active Directory usan esta cuenta, incluso si se ejecutan manualmente a través de una cuenta de usuario distinta.
Los caracteres separadores de listas especificados por el servidor en un nombre para mostrar de Active Directory se puede reemplazar en Project Web Access mediante el proceso de sincronización. En Office Project Server 2007, el carácter separador de listas es una coma. Por lo tanto, si un nombre para mostrar de Active Directory contiene una coma, se reemplazará por un punto y coma. Esto puede ser un problema en escenarios en los que el carácter de coma se usa de forma habitual en nombres para mostrar.
Si se usan campos personalizados de recursos, compruebe que los campos no están establecidos como "obligatorios". Si los campos se han establecido como obligatorios y no contienen ningún valor, la sincronización de Active Directory podría causar un error, ya que no sabe qué valor colocar en el campo obligatorio. Se puede deshabilitar la opción "obligatorio" para los campos. O también puede implementar un controlador de eventos del servidor para rellenar campos personalizados obligatorios durante la sincronización. Para obtener más información acerca de los controladores de servidor, vea el artículo acerca de cómo escribir y depurar controladores de eventos para Project Server 2007 (en inglés) (https://go.microsoft.com/fwlink/?linkid=126633\&clcid=0xC0A) (en inglés) en MSDN Library Online.
Cuando se agregan usuarios a Project Server a través de Project Web Access, asegúrese de que usa el mismo nombre para mostrar (ObjetoUsuario.NombreParaMostrar) para el usuario que el usado para el usuario en Active Directory. Si la sincronización de Active Directory se ejecuta y el nombre para mostrar no coincide, el conflicto con los nombres para mostrar presentará errores parciales y la cuenta no se actualizará.
Requisitos de tareas
Es necesario lo siguiente para realizar los procedimientos de esta tarea:
Acceso a Project Server a través de Project Web Access con una cuenta que posea la configuración global Administrar configuración de Active Directory y Administrar usuarios y grupos.
Acceso de lectura (para la cuenta del servicio de SSP de la instancia de Project Server) para todos los grupos y cuentas de usuario de Active Directory que hayan tomado parte en la sincronización. Puede comprobar esta cuenta en las propiedades del SSP en la página Administración de servicios compartidos del sitio web de Administración central de SharePoint.
[!NOTA] Si desea obtener más información acerca de la cuenta del servicio de SSP, vea Planeación de cuentas administrativas y de servicio (Project Server).
Para administrar la sincronización de Active Directory en Project Server 2007, puede realizar los siguientes procedimientos. La sincronización de Active Directory puede configurarse para el fondo de recursos de la empresa o para grupos de seguridad de Project Server. Los dos procedimientos no son dependientes entre sí.