Factores que influyen en el rendimiento de Microsoft Entra Connect
Microsoft Entra Connect sincroniza Active Directory con Microsoft Entra ID. Este servidor es un componente crítico para mover sus identidades de usuario a la nube. Los principales factores que afectan al rendimiento de una instancia de Microsoft Entra Connect son:
Factor de diseño | Definición |
---|---|
Topología | La distribución de los puntos de conexión y de los componentes de Microsoft Entra Connect debe administrarse en la red. |
Escala | El número de objetos, como usuarios, grupos y unidades organizativas, que administrará Microsoft Entra Connect. |
Hardware | El hardware (físico o virtual) para Microsoft Entra Connect y la capacidad de rendimiento dependiente de cada componente de hardware, incluida la configuración de la CPU, la memoria, la red y el disco duro. |
Configuración | Cómo procesa Microsoft Entra Connect los directorios y la información. |
Cargar | Frecuencia de cambios de objeto. Las cargas pueden variar durante una hora, día o semana. Dependiendo del componente, es posible que tenga que diseñar para carga máxima o carga media. |
El propósito de este documento es describir los factores que afectan al rendimiento del motor de aprovisionamiento de Microsoft Entra Connect. Las organizaciones grandes o complejas (organizaciones que aprovisionan más de 100 000 objetos) pueden usar las recomendaciones para optimizar su implementación de Microsoft Entra Connect si experimentan alguno de los problemas de rendimiento que se describen aquí. Los demás componentes de Microsoft Entra Connect, como Microsoft Entra Connect Health y los agentes, no se tratan aquí.
Importante
Microsoft no admite la modificación ni el funcionamiento de Microsoft Entra Connect con acciones distintas a estas que se documentan formalmente. Cualquiera de estas acciones pueden provocar un estado incoherente o incompatible de Microsoft Entra Connect Sync. Como resultado, Microsoft no puede proporcionar soporte técnico para estas implementaciones.
Factores de componente de Microsoft Entra Connect
En el siguiente diagrama se muestra una arquitectura de alto nivel del motor de aprovisionamiento que se conecta a un único bosque, aunque también se admiten varios bosques. Esta arquitectura muestra cómo interactúan entre sí los distintos componentes.
El motor de aprovisionamiento se conecta a cada bosque de Active Directory y a Microsoft Entra ID. El proceso de lectura de la información de cada directorio se llama Importar. Exportar hace referencia a la actualización de los directorios desde el motor de aprovisionamiento. La sincronización evalúa las reglas de cómo los objetos fluirán en el motor de aprovisionamiento. Para obtener más información, puede consultar Microsoft Entra Connect Sync: Descripción de la arquitectura.
Microsoft Entra Connect usa los siguientes procesos, reglas y áreas de almacenamiento provisional para permitir la sincronización de Active Directory en Microsoft Entra ID:
- Espacio conector (CS) : los objetos de cada directorio conectado (CD), los directorios reales, se preparan aquí primero antes de que el motor de aprovisionamiento los procese. Microsoft Entra ID tiene su propio CS y cada bosque al que se conecta tiene su propio CS.
- Metaverso (MV) : los objetos que deben sincronizarse se crean aquí basándose en las reglas de sincronización. Los objetos deben existir en el MV antes de que puedan rellenar objetos y atributos en otros directorios conectados. Solo hay un MV.
- Reglas de sincronización: deciden qué objetos se crearán (proyectarán) o conectarán (unirán) a los objetos del MV. Las reglas de sincronización también deciden qué valores de atributo se copiarán o transformarán en y desde los directorios.
- Perfiles de ejecución: agrupa los pasos del proceso de copia de objetos y sus valores de atributo según las reglas de sincronización entre las áreas de almacenamiento provisional y los directorios conectados.
Existen diferentes perfiles de ejecución para optimizar el rendimiento del motor de aprovisionamiento. La mayoría de las organizaciones usarán los programas y perfiles de ejecución predeterminados para las operaciones normales, pero es posible que algunas organizaciones tengan que cambiar el programa o desencadenar otros perfiles de ejecución para hacer frente a situaciones poco comunes. Los siguientes perfiles de ejecución están disponibles:
Perfil de sincronización inicial
El perfil de sincronización inicial es el proceso de lectura de los directorios conectados, como un bosque de Active Directory, por primera vez. A continuación, realiza un análisis en todas las entradas de la base de datos del motor de sincronización. El ciclo inicial creará nuevos objetos en Microsoft Entra ID y tardará más tiempo en completarse si los bosques de Active Directory son grandes. La sincronización inicial incluye los pasos siguientes:
- Importación completa en todos los conectores
- Sincronización completa en todos los conectores
- Exportación en todos los conectores
Perfil de sincronización diferencial
Para optimizar el proceso de sincronización, este perfil de ejecución solo procesa los cambios (crea, elimina y actualiza) de objetos en los directorios conectados, desde el último proceso de sincronización. De forma predeterminada, el perfil de sincronización diferencial se ejecuta cada 30 minutos. Las organizaciones deben esforzarse por mantener el tiempo por debajo de los 30 minutos, para asegurarse de que Microsoft Entra ID esté actualizado. Para supervisar el estado de Microsoft Entra Connect, use el agente de supervisión del estado para ver cualquier problema con el proceso. El perfil de sincronización diferencial incluye los siguientes pasos:
- Importación diferencial en todos los conectores
- Sincronización diferencial en todos los conectores
- Exportación en todos los conectores
Un escenario típico de sincronización diferencial de una organización empresarial es:
- ~1 % de los objetos se eliminan
- ~1 % de los objetos se crean
- ~5 % de los objetos se modifican
La frecuencia de cambio puede variar en función de la periodicidad con la que su organización actualiza a los usuarios de Active Directory. Por ejemplo, pueden producirse mayores frecuencias de cambios con el carácter estacional de la contratación y la reducción de la mano de obra.
Perfil de sincronización completo
Si ha realizado uno de los siguientes cambios de configuración, debe ejecutar un ciclo de sincronización completo:
- Incremento del alcance de los objetos o atributos que se van a importar desde los directorios conectados. Por ejemplo, al agregar un dominio o unidad organizativa en el ámbito de importación.
- Modificación de las reglas de sincronización. Por ejemplo, cuando crea una nueva regla para rellenar el cargo de un usuario en Microsoft Entra ID desde extension_attribute3 en Active Directory. Esta actualización requiere que el motor de aprovisionamiento vuelva a examinar todos los usuarios existentes para actualizar sus cargos y aplicar el cambio en el futuro.
Las operaciones siguientes se incluyen en un ciclo de sincronización completa:
- Importación completa en todos los conectores
- Sincronización diferencial o completa en todos los conectores
- Exportación en todos los conectores
Nota:
Se requiere una planeación cuidadosa cuando se realizan actualizaciones en masa de muchos objetos en Active Directory o Microsoft Entra ID. Las actualizaciones en masa harán que el proceso de sincronización diferencial tarde más tiempo al importar, ya que muchos objetos se cambiaron. Pueden producirse importaciones largas incluso si la actualización en masa no afecta al proceso de sincronización. Por ejemplo, asignar licencias a muchos usuarios en Microsoft Entra ID dará lugar a un largo ciclo de importación desde Microsoft Entra ID, pero no resultará en ningún cambio de atributo en Active Directory.
Synchronization
El tiempo de ejecución del proceso de sincronización tiene las siguientes características de rendimiento:
- La sincronización tiene un único subproceso, lo que significa que el motor de aprovisionamiento no realiza ningún procesamiento paralelo de perfiles de ejecución de los objetos, atributos o directorios conectados.
- El tiempo de importación crece linealmente con el número de objetos que se sincronizan. Por ejemplo, si 10 000 objetos tardan 10 minutos en importarse, 20 000 objetos tardarán, aproximadamente, 20 minutos en el mismo servidor.
- La exportación también es lineal.
- La sincronización crece exponencialmente según el número de objetos con referencias a otros objetos. La pertenencia a grupos y los grupos anidados son lo que más afecta al rendimiento, ya que sus miembros se refieren a objetos de usuario o a otros grupos. Estas referencias deben encontrarse y referenciarse con objetos reales en el MV para completar el ciclo de sincronización.
- El cambio de un miembro del grupo dará lugar a una nueva evaluación de todos los miembros del grupo. Por ejemplo, si tiene un grupo con 50 000 miembros y solo actualiza 1 miembro, se desencadenará una sincronización de todos los 50 000 miembros.
Filtros
El tamaño de la topología de Active Directory que quiere importar es el número uno de los factores que afectan al rendimiento y al tiempo total que tardarán los componentes internos del motor de aprovisionamiento.
Filtrado: debe usarse para reducir los objetos que se van a sincronizar. Impedirá que se procesen y exporten objetos innecesarios a Microsoft Entra ID. En orden de preferencia, las siguientes técnicas de filtrado están disponibles:
- Filtrado basado en dominio: use esta opción para seleccionar los dominios específicos que quiere sincronizar con Microsoft Entra ID. También puede agregar y quitar dominios de la configuración del motor de sincronización al realizar cambios en la infraestructura local después de instalar Microsoft Entra Connect Sync.
- Filtrado de la unidad organizativa (UO): usa las UO para dirigirse a objetos específicos en dominios de Active Directory para el aprovisionamiento en Microsoft Entra ID. El filtrado por unidad organizativa es el segundo mecanismo de filtrado que se recomienda, porque utiliza consultas de ámbito LDAP sencillas para importar un subconjunto más pequeño de objetos de Active Directory.
- Filtrado de atributos por objeto: usa los valores de atributo de los objetos para decidir si aprovisionar un determinado objeto de Active Directory en Microsoft Entra ID. El filtrado de atributos es excelente para ajustar los filtros cuando el filtrado por dominio y por unidad organizativa no cumple los requisitos específicos de filtrado. El filtrado de atributos no reduce el tiempo de importación, pero puede reducir el tiempo de sincronización y exportación.
- Filtrado basado en grupos: usa la pertenencia a grupos para decidir qué objetos deben aprovisionarse en Microsoft Entra ID. El filtrado basado en grupos solo es adecuado para situaciones de prueba y no se recomienda para entornos de producción, debido a la sobrecarga adicional necesaria para comprobar la pertenencia a grupos durante el ciclo de sincronización.
Muchos objetos de desconector persistentes en el CS de Active Directory pueden provocar tiempos de sincronización más largos, porque el motor de aprovisionamiento debe reevaluar cada objeto de desconector para una posible conexión en el ciclo de sincronización. Para solucionar este problema, considere una de las siguientes recomendaciones:
- Coloque los objetos de desconector fuera del ámbito de importación mediante el filtrado de unidad organizativa o dominio.
- Proyecte o combine los objetos al MV y establezca el atributo cloudFiltered en True, para evitar el aprovisionamiento de estos objetos en el CS de Microsoft Entra.
Nota:
Los usuarios pueden confundirse o pueden surgir problemas con los permisos de las aplicaciones cuando se filtran demasiados objetos. Por ejemplo, en una implementación en línea híbrida de Exchange, los usuarios con buzones locales verán más usuarios en su lista global de direcciones que aquellos con buzones de Exchange en línea. En otros casos, puede que un usuario quiera conceder acceso en una aplicación en la nube a otro usuario que no forma parte del ámbito del conjunto filtrado de objetos.
Flujos de atributo
Flujos de atributo es el proceso para copiar o transformar los valores de atributo de objetos de un directorio conectado a otro directorio conectado. Se definen como parte de las reglas de sincronización. Por ejemplo, cuando se cambia el número de teléfono de un usuario en Active Directory, se actualizará el número de teléfono en Microsoft Entra ID. Las organizaciones pueden modificar los flujos de atributo para adaptarse a distintos requisitos. Se recomienda copiar los flujos de atributo existentes antes de modificarlos.
Los redireccionamientos simples, como el flujo de un valor de atributo a un atributo diferente, no tienen un impacto en el rendimiento material. Un ejemplo de una redirección es el flujo de un número de móvil en Active Directory al número de teléfono de la oficina en Microsoft Entra ID.
La transformación de los valores de atributo puede tener un impacto en el rendimiento del proceso de sincronización. La transformación de los valores de atributo incluyen modificar, volver a formatear, concatenar o restar valores de atributos.
Las organizaciones pueden impedir que ciertos atributos fluyan a Microsoft Entra ID, pero no influirán en el rendimiento del motor de aprovisionamiento.
Nota:
No elimine los flujos de atributos no deseados de las reglas de sincronización. Se recomienda deshabilitarlos, porque las reglas eliminadas vuelven a crearse durante las actualizaciones de Microsoft Entra Connect.
Factores de dependencia de Microsoft Entra Connect
El rendimiento de Microsoft Entra Connect depende del rendimiento de los directorios conectados a los que exporta y desde los que importa. Por ejemplo, el tamaño de Active Directory que es necesario importar o la latencia de red al servicio de Microsoft Entra. La base de datos SQL que usa el motor de aprovisionamiento también afecta al rendimiento general del ciclo de sincronización.
Factores de Active Directory
Como se mencionó anteriormente, el número de objetos que se van a importar afecta significativamente al rendimiento. El hardware y los requisitos previos para Microsoft Entra Connect describen los niveles de hardware específicos en función del tamaño de la implementación. Microsoft Entra Connect solo admite topologías específicas, como se describe en Topologías para Microsoft Entra Connect. No hay ninguna recomendación ni optimización de rendimiento para topologías no admitidas.
Asegúrese de que el servidor de Microsoft Entra Connect cumple los requisitos de hardware según el tamaño de la instancia de Active Directory que quiere importar. Una conectividad de red incorrecta o lenta entre el servidor de Microsoft Entra Connect y los controladores de dominio de Active Directory puede ralentizar la importación.
Factores de Microsoft Entra ID
Microsoft Entra ID usa la limitación para proteger el servicio en la nube frente a ataques por denegación de servicio (DoS). Actualmente, Microsoft Entra ID tiene un límite de 7000 escrituras por cada 5 minutos (84 000 por hora). Por ejemplo, se pueden limitar las operaciones siguientes:
- Exportar Microsoft Entra Connect a Microsoft Entra ID.
- Las aplicaciones o scripts de PowerShell que actualizan directamente Microsoft Entra ID, incluso en segundo plano, como los grupos de pertenencia dinámica.
- Usuarios que actualizan sus propios registros de identidad, como registrarse para MFA o SSPR (restablecimiento de la contraseña de autoservicio).
- Operaciones dentro de la interfaz gráfica de usuario.
Plan para las tareas de implementación y mantenimiento, para asegurarse de que el ciclo de Microsoft Entra Connect Sync no se ve afectado por la limitación. Por ejemplo, si realizas muchas contrataciones a la vez y creas miles de identidades de usuario, esto puede dar lugar a actualizaciones en grupos de pertenencia dinámica, asignaciones de licencias y registros de restablecimiento de contraseñas de autoservicio. Es mejor distribuir estas escrituras a lo largo de varias horas o días.
Factores de la base de datos SQL
El tamaño de la topología de Active Directory de origen influirá en el rendimiento de la base de datos SQL. Sigue los requisitos de hardware de la base de datos de SQL Server y ten en cuenta las siguientes recomendaciones:
- Las organizaciones con más de 100 000 usuarios pueden reducir las latencias de red mediante la implantación de la base de datos SQL y el motor de aprovisionamiento en el mismo servidor.
- El protocolo de canalizaciones con nombre de SQL no se admite, ya que presenta retrasos significativos en el ciclo de sincronización y debe deshabilitarse en el Administrador de configuración de SQL Server en SQL Native Clients y la red SQL Server. Ten en cuenta que cambiar la configuración de canalizaciones con nombre solo surte efecto después de reiniciar la base de datos y los servicios ADSync.
- Debido a los altos requisitos de entrada y salida (E/S) del disco del proceso de sincronización, use las unidades de estado sólido (SSD) para la base de datos SQL del motor de aprovisionamiento para obtener mejores resultados y, si no es posible, considere las configuraciones RAID 1 o RAID 0.
- No realices ninguna sincronización completa de manera preventiva; ya que genera una renovación innecesaria y tiempos de respuesta más lentos.
Conclusión
Para optimizar el rendimiento de la implementación de Microsoft Entra Connect, ten en cuenta las siguientes recomendaciones:
- Usa la configuración de hardware recomendada según el tamaño de la implementación para el servidor de Microsoft Entra Connect.
- Al actualizar Microsoft Entra Connect en implementaciones a gran escala, considera el uso del método de migración oscilante, para asegurarte de que tienes el menor tiempo de inactividad y la mejor fiabilidad.
- Usa SSD para la base de datos SQL para obtener el mejor rendimiento de escritura.
- No se recomienda realizar una copia de seguridad de la base de datos de ADSync mediante Azure Backup.
- Filtra el ámbito de Active Directory para incluir solo los objetos que se deben aprovisionar en Microsoft Entra ID, mediante el filtrado de atributos, unidades organizativas o dominios.
- Si necesitas cambiar las reglas de flujo de atributo predeterminadas, en primer lugar copia la regla y, después, cambia la copia y deshabilita la regla original. No olvides volver a ejecutar una sincronización completa.
- Planea el tiempo adecuado para el perfil de ejecución de sincronización completa inicial.
- Esfuérzate en completar el ciclo de sincronización diferencial en 30 minutos. Si el perfil de sincronización diferencial no se completa en 30 minutos, modifica la frecuencia de sincronización predeterminada para incluir un ciclo de sincronización diferencial completo.
- Supervisa el estado de Microsoft Entra Connect Sync en Microsoft Entra ID.
Pasos siguientes
Más información sobre la Integración de las identidades locales con Microsoft Entra ID.