Preparar o Active Directory local para sincronização de diretório
Antes que a equipe de TI da Contoso implante Microsoft Entra Connect, é essencial que ela verifique o AD DS local e as tecnologias relacionadas quanto a possíveis problemas e corrija todos os problemas encontrados. Isso é especialmente importante se ela implementar a sincronização de diretório como um serviço de identidade para Microsoft 365.
Verificações de pré-implantação
As verificações pré-implantação devem incluir:
- Analisar o ambiente local quanto a caracteres inválidos em atributos de objeto do AD DS e a UPNs (nomes de entidade de usuário) incorretos.
- Executar descoberta de email de domínio e contagens de usuário.
- Identificar níveis funcionais de domínio e extensões de esquema e identificação de atributos personalizados em uso.
- Identifique servidores proxy usados para o Microsoft Exchange ou Skype for Business, se você implantar o Microsoft Entra Connect como parte de uma implantação do Microsoft 365.
- Identifique domínios do Microsoft SharePoint, se você implantar Microsoft Entra Connect como parte de uma implantação do Microsoft 365.
- Avaliar o cliente para preparação de SSO.
- Registre o uso de porta de rede e os registros DNS relacionados ao Office 365 (se você implantar o Microsoft Entra Connect como parte de uma implantação do Office 365).
Depois de concluir essas verificações, as principais tarefas de correção incluem:
- Remover atributos
proxyAddresseuserPrincipalNameduplicados. - Atualizar atributos em branco e inválidos
userPrincipalNamee substituir por atributosuserPrincipalNameválidos. - Remover caracteres inválidos nos seguintes atributos:
givenName,surname (sn),sAMAccountName,displayName,mail,proxyAddresses,mailNicknameeuserPrincipalName.
Os UPNs que são usados para SSO podem conter letras, números, pontos, traços e sublinhados; nenhum outro tipo de caractere é permitido.
Se você estiver implantando o Microsoft 365 e sua implantação incluir planos para SSO, deverá garantir que os nomes UPN cumprem esse requisito antes da distribuição de SSO. Domínios usados para SSO e sincronização de diretório devem ser roteáveis, o que significa que você não pode usar nomes de domínio locais, como Contoso.local.
Ferramentas de verificação de integridade do Active Directory
Para que a sincronização de diretório funcione corretamente, você deve garantir que o Active Directory local esteja com bom preparo e livre de erros. Você pode usar as ferramentas a seguir de verificação de integridade do AD DS para identificar e corrigir problemas.
Ferramenta IdFix
A ferramenta Microsoft 365 IdFix permite que você identifique e corrija a maioria dos erros de sincronização de objetos no Active Directory, incluindo problemas comuns, como proxyAddresses e userPrincipalName duplicados ou malformados.
Você pode selecionar as UOs que deseja que o IdFix verifique e corrigir erros comuns dentro da própria ferramenta. Erros comuns podem incluir problemas como caracteres inválidos que podem ter sido introduzidos durante importações de usuário com script para atributos como proxyAddresses e mailNickname.
Para nomes distintos que contêm erros de formato e duplicados, o IdFix pode não ser capaz de sugerir uma correção automática. Esses erros podem ser corrigidos fora do IdFix ou remediados manualmente dentro do IdFix.
Ferramenta ADModify.NET
Para erros como problemas de formato, você pode fazer alterações em atributos específicos objeto por objeto usando o modo ADSIEdit ou avançado em usuários e computadores do Active Directory. No entanto, para fazer alterações de atributo em vários objetos, ADModify.NET é uma ferramenta melhor. Isso ocorre porque a operação no modo de lote fornecida pelo ADModify.NET é particularmente útil para fazer alterações a atributos como UPNs em UOs ou domínios.
Leituras adicionais
Para saber mais, examine o documento a seguir.