Preparar o Ative Directory local para sincronização de diretórios

Concluído

Antes de a equipe de TI da Contoso implantar o Microsoft Entra Connect, é essencial que eles verifiquem o AD DS local e as tecnologias relacionadas em busca de possíveis problemas, e quaisquer problemas descobertos serão corrigidos. Isso é especialmente importante se eles implementarem a sincronização de diretórios como um serviço de identidade para o Microsoft 365.

Verificações pré-implantação

As verificações pré-implantação devem incluir:

  • Analisar o ambiente local em busca de caracteres inválidos em atributos de objeto do AD DS e de UPNs (nomes principais de usuário) incorretos.
  • Executar a descoberta de e-mail de domínio e contagens de usuários.
  • Identificação de níveis funcionais de domínio e extensões de esquema e identificação de atributos personalizados em uso.
  • Identificação de servidores proxy usados para Microsoft Exchange ou Skype for Business, se você implantar o Microsoft Entra Connect como parte de uma implantação do Microsoft 365.
  • Identificando domínios do Microsoft SharePoint, se você implantar o Microsoft Entra Connect como parte de uma implantação do Microsoft 365.
  • Avaliação da prontidão do cliente para SSO.
  • Gravação do uso da porta de rede e registros DNS relacionados ao Office 365 (se você implantar o Microsoft Entra Connect como parte de uma implantação do Office 365).

Depois de concluir essas verificações, as principais tarefas de correção incluem:

  • Remoção de duplicados proxyAddress e userPrincipalName atributos.
  • Atualização de atributos em branco e inválidos userPrincipalName e substituição por atributos válidos userPrincipalName .
  • Remoção de caracteres inválidos nos seguintes atributos: givenName, surname (sn), sAMAccountName, displayName, mail, proxyAddresses, mailNicknamee userPrincipalName.

UPNs que são usados para SSO podem conter letras, números, pontos, traços e sublinhados; Nenhum outro tipo de caractere é permitido.

Se você estiver implantando o Microsoft 365 e sua implantação incluir planos para SSO, você deve garantir que os nomes UPN atendam a esse requisito antes que o SSO seja implementado. Os domínios usados para SSO e sincronização de diretórios devem ser roteáveis, o que significa que você não pode usar nomes de domínio locais, como Contoso.local.

Ferramentas de verificação de integridade do Ative Directory

Para que a sincronização de diretórios funcione corretamente, você deve garantir que o Ative Directory local esteja bem preparado e livre de erros. Você pode usar as seguintes ferramentas de verificação de integridade do AD DS para identificar e corrigir problemas.

Ferramenta IdFix

A ferramenta IdFix do Microsoft 365 permite identificar e corrigir a maioria dos erros de sincronização de objetos no Ative Directory, incluindo problemas comuns como duplicados ou malformados proxyAddresses e userPrincipalName.

Você pode selecionar as UOs que deseja que o IdFix verifique e pode corrigir erros comuns dentro da própria ferramenta. Erros comuns podem incluir problemas como caracteres inválidos que podem ter sido introduzidos durante as importações de usuário com script para atributos como proxyAddresses e mailNickname.

Para nomes distintos que contêm erros de formato e duplicados, o IdFix pode não ser capaz de sugerir uma correção automática. Esses erros podem ser corrigidos fora do IdFix ou podem ser corrigidos manualmente dentro do IdFix.

ADModify.NET ferramenta

Para erros como problemas de formato, você pode fazer alterações em atributos específicos objeto por objeto usando ADSIEdit ou Modo Avançado em Usuários e Computadores do Ative Directory. No entanto, para fazer alterações de atributo em vários objetos, ADModify.NET é uma ferramenta melhor. Isso ocorre porque a operação de modo de lote fornecida por ADModify.NET é particularmente útil para fazer alterações em atributos como UPNs em UOs ou domínios.

Leitura adicional

Para saber mais, consulte o seguinte documento.