Preparación de la instancia local de Active Directory para la sincronización de directorios

  • 5 minutos

Antes de que el personal de TI de Contoso implemente Microsoft Entra Connect, es fundamental que comprueben la instancia local de AD DS y las tecnologías relacionadas en busca de posibles incidencias, y que se corrijan las descubiertas. Esto es especialmente importante si implementa la sincronización de directorios como un servicio de identidad para Microsoft 365.

Comprobaciones previas a la implementación

Las comprobaciones previas a la implementación deben incluir lo siguiente:

  • Analizar el entorno local en busca de caracteres no válidos en atributos de objeto de AD DS y de nombres principales de usuario (UPN) incorrectos.
  • Realizar la detección de correo electrónico de dominio y los recuentos de usuarios.
  • Identificar niveles funcionales de dominio y extensiones de esquema, e identificar atributos personalizados en uso.
  • Identificar servidores proxy usados para Microsoft Exchange o Skype Empresarial, si implementa Microsoft Entra Connect como parte de una implementación de Microsoft 365.
  • Identificar dominios de Microsoft SharePoint, si implementa Microsoft Entra Connect como parte de una implementación de Microsoft 365.
  • Evaluar el cliente para la preparación de SSO.
  • Registrar el uso del puerto de red y los registros DNS relacionados con Office 365 (si implementa Microsoft Entra Connect como parte de una implementación de Office 365).

Después de completar estas comprobaciones, las tareas claves de corrección incluyen lo siguiente:

  • Quitar los atributos proxyAddress y userPrincipalName duplicados.
  • Actualizar los atributos userPrincipalName en blanco y no válidos, y reemplazarlos por atributos userPrincipalName válidos.
  • Quitar los caracteres no válidos en los atributos siguientes: givenName, surname (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNickname y userPrincipalName.

Los UPN que se usan para SSO pueden contener letras, números, puntos, guiones y guiones bajos; no se permiten otros tipos de caracteres.

Si va a implementar Microsoft 365 y la implementación incluye planes de SSO, debe asegurarse de que los nombres UPN cumplan este requisito antes de que se implemente SSO. Los dominios usados para SSO y la sincronización de directorios deben ser enrutables, que significa que no se pueden usar nombres de dominio locales, como Contoso.local.

Herramientas de comprobación de estado de Active Directory

Para que la sincronización de directorios funcione correctamente, debe asegurarse de que la instancia de Active Directory local esté bien preparada y libre de errores. Puede usar las herramientas siguientes de comprobación de estado de AD DS para identificar y corregir las incidencias.

Herramienta IdFix

La herramienta IdFix de Microsoft 365 permite identificar y corregir la mayoría de los errores de sincronización de objetos en Active Directory, incluidas las incidencias comunes, como proxyAddresses y userPrincipalName duplicados o con formato incorrecto.

Puede seleccionar las unidades organizativas que quiera que IdFix busque y corregir los errores comunes en la propia herramienta. Los errores comunes pueden incluir problemas como, por ejemplo, caracteres no válidos que podrían haberse introducido durante las importaciones de usuarios con scripts en atributos tales como proxyAddresses y mailNickname.

En el caso de los nombres distintivos que contienen errores de formato y duplicados, IdFix podría no saber sugerir una corrección automática. Estos errores se pueden corregir fuera de IdFix o de forma manual en IdFix.

Herramienta ADModify.NET

En el caso de errores como, por ejemplo, incidencias de formato, puede realizar cambios en los atributos específicos, objeto a objeto, mediante el uso del Modo ADSIEdit o avanzado en los usuarios y equipos de Active Directory. Sin embargo, para realizar cambios en los atributos en varios objetos, ADModify.NET es una herramienta mejor. Esto se debe a que la operación de modo por lotes que proporciona ADModify.NET es especialmente útil para realizar cambios en atributos, como UPN en unidades organizativas o dominios.

Otras lecturas

Para obtener más información, consulte el documento siguiente.