Compartilhar via

Sincronização do Microsoft Entra Connect: Agendador

  • Artigo

Este tópico descreve o agendador interno no Microsoft Entra Connect Sync (mecanismo de sincronização).

Esse recurso foi introduzido com o build 1.1.105.0 (lançado em fevereiro de 2016).

Visão geral

O Microsoft Entra Connect Sync sincroniza as alterações que ocorrem em seu diretório local usando um agendador. Há dois processos de agendador, um para sincronização de senha e outro para tarefas de sincronização e manutenção de objeto/atributo. Este tópico aborda o último.

Em versões anteriores, o agendador de objetos e atributos era externo ao mecanismo de sincronização. Ele usou o agendador de tarefas do Windows ou um serviço Windows separado para disparar o processo de sincronização. O agendador está incorporado nas versões 1.1 ao mecanismo de sincronização e permite alguma personalização. A nova frequência de sincronização padrão é de 30 minutos.

O agendador é responsável por duas tarefas:

  • Ciclo de sincronização. O processo de importação, sincronização e exportação das alterações.
  • Tarefas de manutenção. Renovar chaves e certificados para a redefinição de senha e o DRS (Serviço de Registro de Dispositivo). Limpar entradas antigas no log de operações.

O agendador em si está sempre em execução, mas pode ser configurado para executar apenas uma ou nenhuma dessas tarefas. Por exemplo, se você precisar ter seu próprio processo de ciclo de sincronização, poderá desabilitar essa tarefa no agendador, mas ainda executar a tarefa de manutenção.

Importante

Por padrão, a cada 30 minutos, um ciclo de sincronização é executado. Se você modificou o ciclo de sincronização, precisará garantir que um ciclo de sincronização seja executado pelo menos uma vez a cada 7 dias.

  • Uma sincronização delta precisa ocorrer dentro de 7 dias a partir da última sincronização delta.
  • Uma sincronização delta (após uma sincronização completa) precisa ocorrer dentro de 7 dias a partir do momento em que a última sincronização completa foi concluída.

A falha ao fazer isso pode causar problemas de sincronização que exigirão que você execute uma sincronização completa para resolver. Isso também se aplica aos servidores no modo de preparo.

Configuração do agendador

Para ver as configurações atuais, acesse o PowerShell e execute Get-ADSyncScheduler. Ele mostra algo parecido com esta imagem:

GetSyncScheduler

Se você vir O comando de sincronização ou o cmdlet não está disponível quando executar esse cmdlet, o módulo do PowerShell não estará carregado. Esse problema poderá ocorrer se você executar o Microsoft Entra Connect em um controlador de domínio ou em um servidor com níveis de restrição mais altos do Que as configurações padrão. Se você vir esse erro, execute Import-Module ADSync para disponibilizar o cmdlet.

  • AllowedSyncCycleInterval. O intervalo de tempo mais curto entre os ciclos de sincronização permitidos pela ID do Microsoft Entra. Não é possível sincronizar com mais frequência do que essa configuração e ainda ter suporte.
  • CurrentlyEffectiveSyncCycleInterval. O agendamento atualmente em vigor. Ele tem o mesmo valor que CustomedSyncInterval (se definido) se não for mais frequente que AllowedSyncInterval. Se você usar um build antes da 1.1.281 e alterar CustomizedSyncCycleInterval, essa alteração entrará em vigor após o próximo ciclo de sincronização. No build 1.1.281, a alteração entra em vigor imediatamente.
  • CustomizedSyncCycleInterval. Se você quiser que o agendador seja executado em qualquer outra frequência que não seja os 30 minutos padrão, defina essa configuração. Na imagem anterior, o agendador está configurado para ser executado a cada hora. Se você definir essa configuração como um valor menor que AllowedSyncInterval, a última será usada.
  • NextSyncCyclePolicyType. Delta ou Inicial. Define se a próxima execução só deve processar alterações delta ou se a próxima execução deve fazer uma importação e sincronização completas. Este último também reprocessaria as regras novas ou alteradas.
  • NextSyncCycleStartTimeInUTC. Da próxima vez, o agendador iniciará o próximo ciclo de sincronização.
  • PurgeRunHistoryInterval. Os logs de operação de tempo devem ser mantidos. Esses logs podem ser revisados no gerenciador de serviços de sincronização. O padrão é manter esses logs por 7 dias.
  • SyncCycleEnabled. Indica se o agendador está executando os processos de importação, sincronização e exportação como parte de sua operação.
  • MaintenanceEnabled. Mostra se o processo de manutenção está habilitado. Ele atualiza os certificados/chaves e limpa o log de operações.
  • StagingModeEnabled. Mostra se o modo de preparo está habilitado. Se essa configuração estiver habilitada, ela suprimirá as exportações da execução, mas ainda executará a importação e a sincronização.
  • SchedulerSuspended. Definido pelo Connect durante uma atualização para impedir temporariamente a execução do agendador.

Você pode alterar algumas dessas configurações com Set-ADSyncScheduler. Os seguintes parâmetros podem ser modificados:

  • IntervaloDoCicloDeSincronizaçãoPersonalizado
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • CicloDeSincronizaçãoHabilitado
  • MaintenanceEnabled

Em compilações anteriores do Microsoft Entra Connect, isStagingModeEnabled foi exposto em Set-ADSyncScheduler. Não há suporte para a definição dessa propriedade. A propriedade SchedulerSuspended só deve ser modificada pelo Connect. Não há suporte para a definição dela diretamente com o PowerShell.

A configuração do agendador é armazenada na ID do Microsoft Entra. Se você tiver um servidor de preparo, qualquer alteração no servidor primário também afetará o servidor de preparo (exceto IsStagingModeEnabled).

CustomizedSyncCycleInterval

Sintaxe: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dias, HH - horas, mm - minutos, ss - segundos

Exemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Altera o agendador para ser executado a cada 3 horas.

Exemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Altera o Agendador para executar diariamente.

Desabilitar o agendador

Se você precisar fazer alterações de configuração, desabilite o agendador. Por exemplo, quando você configura a filtragem ou faz alterações nas regras de sincronização.

Para desabilitar o agendador, execute Set-ADSyncScheduler -SyncCycleEnabled $false.

Desabilitar o agendador

Ao fazer alterações, não se esqueça de habilitar o agendador novamente com Set-ADSyncScheduler -SyncCycleEnabled $true.

Iniciar o agendador

O agendador é executado por padrão a cada 30 minutos. Em alguns casos, talvez você queira executar um ciclo de sincronização entre os ciclos agendados ou precisar executar um tipo diferente.

Ciclo de sincronização delta

Um ciclo de sincronização delta inclui as seguintes etapas:

  • Importação delta em todos os conectores
  • Sincronização delta em todos os Conectores
  • Exportação em todos os conectores

Ciclo de sincronização completo

Um ciclo de sincronização completo inclui as seguintes etapas:

  • Importação completa em todos os conectores
  • Sincronização completa em todos os conectores
  • Exportação em todos os conectores

Pode ser que você tenha uma alteração urgente que deve ser sincronizada imediatamente, e é por isso que você precisa executar manualmente um ciclo.

Se você precisar executar manualmente um ciclo de sincronização, execute Start-ADSyncSyncCycle -PolicyType Deltado PowerShell.

Para iniciar um ciclo de sincronização completo, execute Start-ADSyncSyncCycle -PolicyType Initial de um prompt do PowerShell.

Executar um ciclo de sincronização completo pode ser muito demorado, leia a próxima seção para ler como otimizar esse processo.

Etapas de sincronização necessárias para diferentes alterações de configuração

Diferentes alterações de configuração exigem diferentes etapas de sincronização para garantir que as alterações sejam aplicadas corretamente a todos os objetos.

  • Adição de mais objetos ou atributos a serem importados de um diretório de origem (adicionando/modificando as regras de sincronização)
    • Uma importação completa é necessária no Conector para esse diretório de origem
  • Fez alterações nas regras de sincronização
    • Uma Sincronização Completa é necessária no Conector para as regras de sincronização alteradas
  • Alterou a filtragem para incluir um número diferente de objetos
    • Uma importação completa é necessária no Conector para cada um dos Conectores do AD. A exceção será se você estiver usando a filtragem baseada em atributo com base em atributos que já estão sendo importados para o mecanismo de sincronização

Personalizando um ciclo de sincronização, execute a combinação certa de Delta e etapas completas de sincronização

Para evitar a execução de um ciclo de sincronização completo, você pode marcar conectores específicos para executar uma etapa completa usando os cmdlets a seguir.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Exemplo: se você fez alterações nas regras de sincronização do Conector "AD Forest A" que não exigem novos atributos importados, execute os seguintes cmdlets para iniciar um ciclo de sincronização delta que também inclua uma etapa de Sincronização Completa para esse Conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Exemplo: se você fez alterações nas regras de sincronização do Conector "AD Forest A" para que agora exijam a importação de um novo atributo, você deve executar os seguintes cmdlets para executar um ciclo de sincronização delta que também realiza uma etapa de Importação Completa e Sincronização Completa para esse Conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Parar o agendador

Se o agendador estiver executando um ciclo de sincronização no momento, talvez seja necessário pará-lo. Por exemplo, se você iniciar o assistente de instalação e receber este erro:

Captura de tela mostra Não é possível alterar a mensagem de erro de configuração.

Quando um ciclo de sincronização está em execução, você não pode fazer alterações de configuração. Você pode aguardar até que o agendador conclua o processo, mas também pode pará-lo para poder fazer suas alterações imediatamente. Interromper o ciclo atual não é prejudicial e as alterações pendentes são processadas com a próxima execução.

  1. Comece instruindo o agendador para interromper o ciclo atual com o cmdlet do PowerShell Stop-ADSyncSyncCycle.

  2. Se você usar uma versão anterior à 1.1.281, parando em seguida, o agendador não interromperá a tarefa atual do conector atual. Para forçar o Conector a parar, execute as seguintes ações:

    Captura de tela mostra o Gerenciador de Serviços de Sincronização com Conectores selecionados e um conector em execução realçado com a ação Parar selecionada.

    • Inicie o Serviço de Sincronização no menu Iniciar. Vá para Conectores, realce o Conector com o estado Executando e selecione Parar em Ações.

O agendador ainda está ativo e será iniciado novamente na próxima oportunidade.

Agendador personalizado

Os cmdlets documentados nesta seção só estão disponíveis no build 1.1.130.0 e posteriores.

Se o agendador interno não atender aos seus requisitos, você poderá agendar os Conectores usando o PowerShell.

Invoke-ADSyncRunProfile

Você pode iniciar um perfil para um Conector dessa maneira:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Os nomes a serem usados como Nomes de conector e Nomes de Perfil de Execução podem ser encontrados na Interface do Usuário do Synchronization Service Manager.

Invocar Perfil de Execução

O cmdlet Invoke-ADSyncRunProfile é síncrono, ou seja, ele não retorna o controle até que o Conector conclua a operação com êxito ou com um erro.

Quando você agenda seus conectores, a recomendação é que você os agende na seguinte ordem:

  1. (Completo/Delta) Importar de diretórios locais, como o Active Directory
  2. (Completo/Delta) Importar do Microsoft Entra ID
  3. (Completo/Delta) Sincronização de diretórios locais, como o Active Directory
  4. (Full/Delta) Sincronização do ID do Microsoft Entra
  5. Exportar para o Microsoft Entra ID
  6. Exportar para diretórios locais, como o Active Directory

Essa ordem é como o agendador interno executa os conectores.

Get-ADSyncConnectorRunStatus

Você também pode monitorar o mecanismo de sincronização para ver se ele está ocupado ou ocioso. Esse cmdlet retornará um resultado vazio se o mecanismo de sincronização estiver ocioso e não estiver executando um Conector. Se um Conector estiver em execução, ele retornará o nome do Conector.

Get-ADSyncConnectorRunStatus

Status de Execução do Conector Status de execução do conector
Na imagem acima, a primeira linha é de um estado em que o mecanismo de sincronização está ocioso. A segunda linha de quando o Conector do Microsoft Entra está em execução.

Agendador e o assistente de instalação

Se você iniciar o assistente de instalação, o agendador será temporariamente suspenso. Esse comportamento ocorre porque supõe-se que você faça alterações de configuração e essas configurações não poderão ser aplicadas se o mecanismo de sincronização estiver em execução ativamente. Por esse motivo, não deixe o assistente de instalação aberto, pois ele impede que o mecanismo de sincronização execute nenhuma ação de sincronização.

Próximas etapas

Saiba mais sobre a configuração do Microsoft Entra Connect Sync .

Saiba mais sobre Integrando suas identidades locais com o Microsoft Entra ID.