Información general sobre el escenario de sincronización de Azure Active Directory
Actualizado: 22 de julio de 2015
Importante
Este tema se archivará pronto.
Hay un nuevo producto denominado "Azure Active Directory Conectar" que reemplaza AADSync y DirSync.
Azure AD Connect incorpora los componentes y la funcionalidad publicados previamente como Dirsync y Sincronización de AAD.
En algún momento en el futuro, la compatibilidad con Dirsync y Sincronización de AAD finalizará.
Estas herramientas ya no se actualizan individualmente con mejoras de características y todas las mejoras futuras se incluirán en las actualizaciones de Azure AD Conectar.
Muchas organizaciones tienen entornos que incluyen varios bosques locales de Active Directory. Hay varias razones para tener implementado más de un bosque local de Active Directory. Los ejemplos típicos son diseños con bosques Account-Resource, bosques relacionados con fusiones y adquisiciones o bosques usados para externalizar datos.
Microsoft proporciona con DirSync una solución para escenarios de un solo bosque, y con FIM una solución para escenarios con varios bosques.
Sin embargo, la configuración de FIM puede ser complicada y consumir bastante tiempo.
AADSync le permite simplificar considerablemente la configuración y hacerla más predictiva.
En la configuración predeterminada proporcionada por AADSync, se da por supuesto lo siguiente:
Los usuarios tienen una sola cuenta habilitada, y el bosque donde se encuentra dicha cuenta se usa para federar al usuario.
Los usuarios tienen solo un buzón.
El bosque que hospeda el buzón de un usuario tiene la mejor calidad de datos para los atributos visibles en la Lista global de direcciones (GAL) de Exchange.
Si no hay ningún buzón en el usuario, puede usarse cualquiera de los bosques para aportar estos valores de atributo.
El objetivo de este tema consiste en abordar algunos escenarios habituales y ver cómo se representan en el servicio de sincronización de AADSync:
Tecnologías independientes
Malla completa con GALSync opcional
Bosque Account-Resource
Nota
Estos escenarios se asignan directamente a la página de opciones de unión en la guía de instalación.
Para obtener más información, consulte Unión a la cuenta.
Tecnologías independientes
En este entorno, todos los bosques locales se tratan como entidades independientes, y ningún usuario está presente en otro bosque. Cada bosque tiene su propia organización de Exchange y no hay GALSync entre los bosques. Esto podría darse tras una fusión o una adquisición o en una organización donde cada unidad de negocio opere aislada de las demás.
En esta imagen, cada objeto de cada bosque se representará una vez en el metaverso y se agregará en el directorio AAD de destino.
Esto produciría el mismo resultado final que si se tuviera un servidor DirSync conectado a cada bosque AD de origen.
Malla completa con GALSync opcional
Una topología de malla completa permite que los usuarios y los recursos se ubiquen en cualquier bosque, y generalmente existe una confianza bidireccional entre los bosques.
Si Exchange está presente en más de un bosque, podría haber opcionalmente una solución GALSync que represente a un usuario de un bosque como el contacto de cada uno de los demás bosques.
En este caso, los objetos de identidad suelen unirse con el atributo de correo. Como resultado, un usuario con un buzón de correo en un bosque se une con los contactos de los demás bosques. Pueden encontrarse grupos de distribución y de seguridad en cada bosque, que pueden contener una combinación de usuarios, contactos y FSP (principales de seguridad externos).
En la imagen siguiente se representa este escenario.
Bosque Account-Resource
En una topología de bosque Account-Resource, hay uno o más bosques de cuenta con cuentas de usuario activas. Este escenario incluye un bosque que confía en todos los bosques de cuenta. Dicho bosque suele tener un esquema de AD ampliado con Exchange y Lync. Todos los servicios de Exchange y Lync, así como otros servicios compartidos, se encuentran en este bosque. Los usuarios tienen una cuenta de usuario deshabilitada en este bosque y el buzón de correo está vinculado al bosque de cuenta.
La imagen siguiente describe este escenario con una sola cuenta.