Microsoft Entra Connect Sync: Agendador

  • Artigo

Este tópico descreve o agendador interno no Microsoft Entra Connect Sync (mecanismo de sincronização).

Este recurso foi introduzido com a compilação 1.1.105.0 (lançada em fevereiro de 2016).

Descrição geral

O Microsoft Entra Connect Sync sincroniza as alterações que ocorrem no diretório local usando um agendador. Há dois processos de agendamento, um para sincronização de senha e outro para tarefas de sincronização e manutenção de objetos/atributos. Este tópico aborda esta última.

Em versões anteriores, o agendador de objetos e atributos era externo ao mecanismo de sincronização. Ele usou o agendador de tarefas do Windows ou um serviço separado do Windows para disparar o processo de sincronização. O agendador está com as versões 1.1 incorporadas ao mecanismo de sincronização e permite alguma personalização. A nova frequência de sincronização padrão é de 30 minutos.

O agendador é responsável por duas tarefas:

  • Ciclo de sincronização. O processo para importar, sincronizar e exportar alterações.
  • Tarefas de manutenção. Renove chaves e certificados para redefinição de senha e serviço de registro de dispositivo (DRS). Limpe entradas antigas no log de operações.

O agendador em si está sempre em execução, mas pode ser configurado para executar apenas uma ou nenhuma dessas tarefas. Por exemplo, se você precisar ter seu próprio processo de ciclo de sincronização, poderá desabilitar essa tarefa no agendador, mas ainda executar a tarefa de manutenção.

Importante

Por padrão, a cada 30 minutos, um ciclo de sincronização é executado. Se você tiver modificado o ciclo de sincronização, precisará certificar-se de que um ciclo de sincronização seja executado pelo menos uma vez a cada 7 dias.

  • Uma sincronização delta precisa acontecer dentro de 7 dias a partir da última sincronização delta.
  • Uma sincronização delta (após uma sincronização completa) precisa acontecer dentro de 7 dias a partir do momento em que a última sincronização completa foi concluída.

A falha ao fazer isso pode causar problemas de sincronização que exigirão que você execute uma sincronização completa para resolver. Isso também se aplica a servidores no modo de preparo.

Configuração do Agendador

Para ver suas definições de configuração atuais, vá para PowerShell e execute Get-ADSyncScheduler. Mostra-lhe algo como esta imagem:

GetSyncScheduler

Se você vir O comando ou cmdlet sync não está disponível quando você executa esse cmdlet, o módulo PowerShell não será carregado. Esse problema pode acontecer se você executar o Microsoft Entra Connect em um controlador de domínio ou em um servidor com níveis de restrição do PowerShell mais altos do que as configurações padrão. Se você vir esse erro, execute Import-Module ADSync para disponibilizar o cmdlet.

  • AllowedSyncCycleInterval. O menor intervalo de tempo entre os ciclos de sincronização permitido pelo Microsoft Entra ID. Você não pode sincronizar com mais freqüência do que essa configuração e ainda ser suportado.
  • AtualmenteEffectiveSyncCycleInterval. O calendário atualmente em vigor. Ele tem o mesmo valor que CustomizedSyncInterval (se definido) se não for mais frequente do que AllowedSyncInterval. Se você usar uma compilação antes de 1.1.281 e alterar CustomizedSyncCycleInterval, essa alteração entrará em vigor após o próximo ciclo de sincronização. A partir da compilação 1.1.281, a alteração entra em vigor imediatamente.
  • CustomizedSyncCycleInterval. Se desejar que o agendador seja executado em qualquer outra frequência que não os 30 minutos padrão, defina essa configuração. Na imagem acima, o agendador foi configurado para ser executado a cada hora. Se você definir essa configuração para um valor inferior a AllowedSyncInterval, o último será usado.
  • NextSyncCyclePolicyType. Delta ou inicial. Define se a próxima execução deve processar apenas alterações delta ou se a próxima execução deve fazer uma importação e sincronização completas. Este último também reprocessaria quaisquer regras novas ou alteradas.
  • NextSyncCycleStartTimeInUTC. Da próxima vez que o agendador iniciar o próximo ciclo de sincronização.
  • PurgeRunHistoryInterval. Os registros de operação de tempo devem ser mantidos. Esses logs podem ser revisados no gerenciador de serviços de sincronização. O padrão é manter esses logs por 7 dias.
  • SyncCycleEnabled. Indica se o agendador está executando os processos de importação, sincronização e exportação como parte de sua operação.
  • ManutençãoHabilitado. Mostra se o processo de manutenção está ativado. Ele atualiza os certificados/chaves e limpa o log de operações.
  • StagingModeEnabled. Mostra se o modo de preparo está ativado. Se essa configuração estiver habilitada, ela suprimirá as exportações da execução, mas ainda executará importação e sincronização.
  • SchedulerSuspended. Definido por Connect durante uma atualização para bloquear temporariamente a execução do agendador.

Você pode alterar algumas dessas configurações com Set-ADSyncScheduler. Os seguintes parâmetros podem ser modificados:

  • CustomizedSyncCycleInterval
  • PróximoSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • ManutençãoAtivada

Em compilações anteriores do Microsoft Entra Connect, isStagingModeEnabled foi exposto em Set-ADSyncScheduler. Não há suporte para definir essa propriedade. A propriedade SchedulerSuspended só deve ser modificada por Connect. Não há suporte para definir isso diretamente com o PowerShell.

A configuração do agendador é armazenada no Microsoft Entra ID. Se você tiver um servidor de preparo, qualquer alteração no servidor primário também afetará o servidor de preparo (exceto IsStagingModeEnabled).

CustomizedSyncCycleInterval

Sintaxe: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dias, HH - horas, mm - minutos, ss - segundos

Exemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Altera o agendador para ser executado a cada 3 horas.

Exemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
As alterações alteram o agendador para ser executado diariamente.

Desativar o agendador

Se você precisar fazer alterações de configuração, então você deseja desativar o agendador. Por exemplo, quando você configura a filtragem ou faz alterações nas regras de sincronização.

Para desativar o agendador, execute Set-ADSyncScheduler -SyncCycleEnabled $false.

Disable the scheduler

Quando tiver feito as alterações, não se esqueça de ativar o agendador novamente com Set-ADSyncScheduler -SyncCycleEnabled $true.

Iniciar o agendador

O agendador é, por padrão, executado a cada 30 minutos. Em alguns casos, talvez você queira executar um ciclo de sincronização entre os ciclos agendados ou precise executar um tipo diferente.

Ciclo de sincronização delta

Um ciclo de sincronização delta inclui as seguintes etapas:

  • Importação delta em todos os conectores
  • Sincronização delta em todos os conectores
  • Exportar em todos os conectores

Ciclo de sincronização completo

Um ciclo de sincronização completo inclui as seguintes etapas:

  • Importação completa em todos os conectores
  • Sincronização completa em todos os conectores
  • Exportar em todos os conectores

Pode ser que você tenha uma alteração urgente que deve ser sincronizada imediatamente, e é por isso que você precisa executar manualmente um ciclo.

Se você precisar executar manualmente um ciclo de sincronização, execute o .Start-ADSyncSyncCycle -PolicyType Delta

Para iniciar um ciclo de sincronização completo, execute Start-ADSyncSyncCycle -PolicyType Initial a partir de um prompt do PowerShell.

Executar um ciclo de sincronização completo pode ser muito demorado, leia a próxima seção para ler como otimizar esse processo.

Etapas de sincronização necessárias para diferentes alterações de configuração

Alterações de configuração diferentes exigem etapas de sincronização diferentes para garantir que as alterações sejam aplicadas corretamente a todos os objetos.

  • Adicionado mais objetos ou atributos a serem importados de um diretório de origem (adicionando/modificando as regras de sincronização)
    • Uma importação completa é necessária no conector para esse diretório de origem
  • Alterações feitas nas regras de sincronização
    • É necessária uma Sincronização Completa no Conector para as regras de Sincronização alteradas
  • Filtragem alterada para que um número diferente de objetos seja incluído
    • Uma Importação Completa é necessária no Conector para cada Conector do AD, a menos que você esteja usando a filtragem baseada em atributos com base em atributos que já estão sendo importados para o mecanismo de sincronização

Personalizando um ciclo de sincronização, execute a combinação certa de etapas de sincronização Delta e Completa

Para evitar a execução de um ciclo de sincronização completo, você pode marcar conectores específicos para executar uma etapa completa usando os cmdlets a seguir.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Exemplo: Se você fez alterações nas regras de sincronização do Conector "Floresta AD A" que não exigem que nenhum novo atributo seja importado, execute os cmdlets a seguir para executar um ciclo de sincronização delta, que também fez uma etapa de Sincronização Completa para esse Conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Exemplo: Se você fez alterações nas regras de sincronização do Conector "Floresta A do AD" para que elas agora exijam que um novo atributo seja importado, execute os cmdlets a seguir para executar um ciclo de sincronização delta que também fez uma etapa de Importação Completa, Sincronização Completa para esse Conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Pare o agendador

Se o agendador estiver executando um ciclo de sincronização no momento, talvez seja necessário interrompê-lo. Por exemplo, se você iniciar o assistente de instalação e receber este erro:

Screenshot shows Cannot change configuration error message.

Quando um ciclo de sincronização está em execução, não é possível fazer alterações de configuração. Você pode esperar até que o agendador tenha concluído o processo, mas você também pode pará-lo para que você possa fazer suas alterações imediatamente. Parar o ciclo atual não é prejudicial e as alterações pendentes são processadas com a próxima execução.

  1. Comece dizendo ao agendador para interromper seu ciclo atual com o cmdlet Stop-ADSyncSyncCycledo PowerShell.

  2. Se você usar uma compilação antes de 1.1.281, parar o agendador não interrompe o conector atual de sua tarefa atual. Para forçar o conector a parar, execute as seguintes ações:

    Screenshot shows Synchronization Service Manager with Connectors selected and a running connector highlighted with the Stop action selected.

    • Inicie o Serviço de Sincronização no menu Iniciar. Vá para Conectores, realce o Conector com o estado Em Execução e selecione Parar nas Ações.

O agendador ainda está ativo e recomeça na próxima oportunidade.

Agendador personalizado

Os cmdlets documentados nesta seção só estão disponíveis na compilação 1.1.130.0 e posterior.

Se o agendador interno não atender aos seus requisitos, você poderá agendar os Conectores usando o PowerShell.

Invoke-ADSyncRunProfile

Você pode iniciar um perfil para um conector desta maneira:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Os nomes a serem usados para nomes de conector e nomes de perfil de execução podem ser encontrados na interface do usuário do Gerenciador do Serviço de Sincronização.

Invoke Run Profile

O Invoke-ADSyncRunProfile cmdlet é síncrono, ou seja, não retorna o controle até que o Connector tenha concluído a operação, com êxito ou com um erro.

Ao agendar seus conectores, a recomendação é agendá-los na seguinte ordem:

  1. (Completo/Delta) Importar de diretórios locais, como o Ative Directory
  2. (Completo/Delta) Importar do Microsoft Entra ID
  3. (Completo/Delta) Sincronização de diretórios locais, como o Ative Directory
  4. (Completo/Delta) Sincronização a partir do Microsoft Entra ID
  5. Exportar para o Microsoft Entra ID
  6. Exportar para diretórios locais, como o Ative Directory

Esta ordem é como o agendador interno executa os conectores.

Get-ADSyncConnectorRunStatus

Você também pode monitorar o mecanismo de sincronização para ver se ele está ocupado ou ocioso. Esse cmdlet retornará um resultado vazio se o mecanismo de sincronização estiver ocioso e não estiver executando um Connector. Se um Conector estiver em execução, ele retornará o nome do Conector.

Get-ADSyncConnectorRunStatus

Connector Run Status
Na imagem acima, a primeira linha é de um estado onde o mecanismo de sincronização está ocioso. A segunda linha de quando o Microsoft Entra Connector está em execução.

Agendador e assistente de instalação

Se você iniciar o assistente de instalação, o agendador será suspenso temporariamente. Esse comportamento ocorre porque se presume que você faz alterações de configuração e essas configurações não podem ser aplicadas se o mecanismo de sincronização estiver em execução ativa. Por esse motivo, não deixe o assistente de instalação aberto, pois ele impede que o mecanismo de sincronização execute quaisquer ações de sincronização.

Próximos passos

Saiba mais sobre a configuração do Microsoft Entra Connect Sync .

Saiba mais sobre como integrar suas identidades locais com a ID do Microsoft Entra.