Sincronização do Microsoft Entra Connect: Agendador

Este tópico descreve o agendador interno na sincronização do Microsoft Entra Connect (mecanismo de sincronização).

Esse recurso foi introduzido com a compilação 1.1.105.0 (lançada em fevereiro de 2016).

Visão geral

A sincronização do Microsoft Entra Connect sincroniza as alterações que ocorrem no diretório local usando um agendador. Há dois processos de agendador, um para sincronização de senha e outro para sincronização de atributo/objeto e tarefas de manutenção. Este tópico aborda a última opção.

Em versões anteriores, o agendador de objetos e atributos era separado do mecanismo de sincronização. Ele usava o agendador de tarefas do Windows ou um serviço do Windows separado para disparar o processo de sincronização. O agendador faz parte dos recursos internos nas versões 1.1 do mecanismo de sincronização e permite alguma personalização. A frequência de sincronização do novo padrão é de 30 minutos.

O agendador é responsável por duas tarefas:

  • Ciclo de sincronização. O processo de importação, sincronização e exportação das alterações.
  • Tarefas de manutenção. Renove as chaves e certificados para a redefinição de Senha e o DRS (Serviço de Registro de Dispositivo). Limpe as entradas antigas no log de operações.

O agendador em si está sempre em execução, mas ele pode ser configurado para executar apenas uma ou nenhuma dessas tarefas. Por exemplo, se você precisar ter seu próprio processo de ciclo de sincronização, poderá desabilitar essa tarefa no agendador, mas ainda executar a tarefa de manutenção.

Importante

Por padrão a cada 30 minutos, um ciclo de sincronização é executado. Se você tiver modificado o ciclo de sincronização, precisará certificar-se de que um ciclo de sincronização seja executado pelo menos uma vez a cada 7 dias.

  • Uma sincronização Delta precisa ocorrer dentro de 7 dias a partir da última sincronização Delta.
  • Uma sincronização Delta (após uma sincronização completa) precisa ocorrer dentro de 7 dias a partir da hora em que a última sincronização completa foi concluída.

A falha em fazer isso pode causar problemas de sincronização que exigirão a execução de uma sincronização completa para resolver. Isso também se aplica a servidores no modo de preparo.

Configuração do agendador

Para ver as configurações atuais, acesse o PowerShell e execute Get-ADSyncScheduler. Ele mostra algo parecido com esta imagem:

GetSyncScheduler

Se você vir O comando de sincronização ou o cmdlet não está disponível quando executar esse cmdlet, o módulo do PowerShell não estará carregado. Esse problema pode acontecer se você executar o Microsoft Entra Connect em um controlador de domínio ou em um servidor com níveis de restrição do PowerShell mais altos do que as configurações padrão. Se você vir esse erro, execute Import-Module ADSync para disponibilizar o cmdlet.

  • AllowedSyncCycleInterval. O menor intervalo de tempo entre os ciclos de sincronização permitido pelo ID do Microsoft Entra. Você não pode sincronizar com maior frequência do que a permitida por essa configuração e ainda ter suporte.
  • CurrentlyEffectiveSyncCycleInterval. O agendamento atualmente em vigor. Ele terá o mesmo valor de CustomizedSyncInterval (se definido) se não for mais frequente do que AllowedSyncInterval. Se você usar uma versão anterior à 1.1.281 e alterar o CustomizedSyncCycleInterval, essa alteração entrará em vigor após o próximo ciclo de sincronização. Desde o build 1.1.281, a alteração entra em vigor imediatamente.
  • CustomizedSyncCycleInterval. Se você quiser que o agendador seja executado em intervalos diferentes do padrão de 30 minutos, terá que definir nessa configuração. Na figura acima, o agendador foi definido para ser executado a cada hora. Se você definir essa configuração como um valor menor do que AllowedSyncInterval, a última opção será usada.
  • NextSyncCyclePolicyType. Delta ou Inicial. Define se a próxima execução deve processar somente alterações delta ou se deve fazer uma importação e uma sincronização completas. O último também reprocessaria as regras novas ou alteradas.
  • NextSyncCycleStartTimeInUTC. Da próxima vez, o agendador iniciará o próximo ciclo de sincronização.
  • PurgeRunHistoryInterval. Os logs de operação de tempo devem ser mantidos. Esses logs podem ser analisados no gerenciador do serviço de sincronização. O padrão é manter os logs por sete dias.
  • SyncCycleEnabled. Indica se o agendador está executando os processos de exportação, importação e sincronização como parte de sua operação.
  • MaintenanceEnabled. Mostra se o processo de manutenção está habilitado. Ele atualiza os certificados/chaves e limpa o log de operações.
  • StagingModeEnabled. Mostra se o modo de preparo está habilitado. Quando essa configuração está habilitada, ela impede que as exportações sejam executadas, mas ainda executa a importação e a sincronização.
  • SchedulerSuspended. Definido pelo Connect durante uma atualização para bloquear temporariamente a execução do agendador.

Você pode alterar algumas dessas configurações com Set-ADSyncScheduler. Os parâmetros a seguir podem ser modificados:

  • CustomizedSyncCycleInterval
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • SyncCycleEnabled
  • MaintenanceEnabled

Em compilações anteriores do Microsoft Entra Connect, isStagingModeEnabled foi exposto em Set-ADSyncScheduler. Não há suporte para a definição dessa propriedade. A propriedade SchedulerSuspended só deve ser modificada pelo Connect. Não há suporte para a definição dela diretamente com o PowerShell.

A configuração do agendador é armazenada no ID do Microsoft Entra. Se você tiver um servidor de preparo, uma alteração no servidor primário também afetará o servidor de preparo (exceto IsStagingModeEnabled).

CustomizedSyncCycleInterval

Sintaxe: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dias, HH - horas, mm - minutos, ss - segundos

Exemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Altera o Agendador para executar a cada três horas.

Exemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
Altera o Agendador para executar diariamente.

Desabilitar o agendador

Se você precisar fazer alterações de configuração, talvez seja melhor desabilitar o agendador. Por exemplo, quando você configura a filtragem ou faz alterações nas regras de sincronização.

Execute Set-ADSyncScheduler -SyncCycleEnabled $false para desabilitar o agendador.

Disable the scheduler

Quando você fizer as alterações, não se esqueça de habilitar o agendador novamente com Set-ADSyncScheduler -SyncCycleEnabled $true.

Iniciar o agendador

Por padrão, o agendador é executado a cada 30 minutos. Em alguns casos, é bom executar um ciclo de sincronização entre os ciclos agendados ou terá que executar um tipo diferente.

Ciclo de sincronização delta

Um ciclo de sincronização delta inclui as seguintes etapas:

  • Importação delta em todos os conectores
  • Sincronização delta em todos os conectores
  • Exportação em todos os conectores

Ciclo de sincronização completo

Um ciclo de sincronização completa inclui as seguintes etapas:

  • Importação completa de todos os conectores
  • Sincronização completa de todos os conectores
  • Exportação em todos os conectores

É possível que você tenha uma alteração urgente que deva ser sincronizada imediatamente e precise executar um ciclo manualmente.

Se precisar executar um ciclo de sincronização manualmente, execute Start-ADSyncSyncCycle -PolicyType Deltano PowerShell.

Para iniciar um ciclo de sincronização completo, execute Start-ADSyncSyncCycle -PolicyType Initial em um prompt do PowerShell.

Executar um ciclo de sincronização completo pode ser muito demorado, leia a próxima seção para ler como otimizar esse processo.

Etapas de sincronização necessárias para diferentes alterações de configuração

Alterações de configuração diferentes exigem etapas de sincronização diferentes para garantir que as alterações sejam aplicadas corretamente a todos os objetos.

  • Adicionou mais objetos ou atributos para serem importados de um diretório de origem (adicionando ou modificando as regras de sincronização)
    • Uma importação completa é necessária no conector para esse diretório de origem
  • Realizou alterações nas regras de sincronização
    • Uma sincronização completa é necessária no conector para as regras de sincronização alteradas
  • Alterou a filtragem para incluir um número diferente de objetos
    • Uma importação completa é necessária no conector para cada conector do AD, a menos que você esteja usando a filtragem baseada em atributo com base em atributos que já estão sendo importados para o mecanismo de sincronização

Personalizando um ciclo de sincronização, execute a combinação certa de Delta e etapas completas de sincronização

Para evitar a execução de um ciclo de sincronização completo, você pode marcar conectores específicos para executar uma etapa completa usando os cmdlets a seguir.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Exemplo: se você fez alterações nas regras de sincronização do conector "floresta A do AD" que não exigem nenhum novo atributo a ser importado, execute os cmdlets a seguir para executar um ciclo de sincronização Delta que também fez uma etapa de sincronização completa para esse conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Exemplo: se você fez alterações nas regras de sincronização para o conector "floresta A do AD" para que agora eles exijam que um novo atributo seja importado, você executaria os seguintes cmdlets para executar um ciclo de sincronização Delta que também fez uma importação completa, etapa de sincronização completa para esse conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Parar o agendador

Se o agendador estiver executando um ciclo de sincronização, talvez seja necessário interrompê-lo. Por exemplo, se você iniciar o assistente de instalação e receber este erro:

Screenshot shows Cannot change configuration error message.

Se um ciclo de sincronização estiver em execução, você não poderá alterar a configuração. Você pode aguardar até que o agendador conclua o processo ou pode interrompê-lo para realizar suas alterações logo em seguida. Parar o ciclo atual não é prejudicial e as alterações serão processadas na próxima execução.

  1. Comece informando o agendador para interromper o ciclo atual com o cmdlet Stop-ADSyncSyncCycledo PowerShell.

  2. Se você usar uma versão anterior à 1.1.281, parando em seguida, o agendador não interromperá a tarefa atual do conector atual. Para forçar a interrupção do Conector, execute as seguintes ações:

    Screenshot shows Synchronization Service Manager with Connectors selected and a running connector highlighted with the Stop action selected.

    • Inicie o Serviço de Sincronização no menu Iniciar. Vá para Conectores, realce o Conector com o estado Executando e selecione Parar em Ações.

O agendador ainda está ativo e será iniciado novamente na próxima oportunidade.

Agendador personalizado

Os cmdlets documentados nesta seção só estão disponíveis no build 1.1.130.0 e posteriores.

Se o agendador interno não atender às suas necessidades, você poderá fazer o agendamento dos Conectores usando o PowerShell.

Invoke-ADSyncRunProfile

Você pode iniciar um perfil para um Conector desta forma:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Os nomes a serem usados como Nomes de conector e Nomes de Perfil de Execução podem ser encontrados na Interface do Usuário do Synchronization Service Manager.

Invoke Run Profile

O cmdlet Invoke-ADSyncRunProfile é síncrono, ou seja, ele não retornará o controle até que o Conector tenha concluído a operação, seja com êxito ou com erro.

Quando você agendar seus Conectores, a recomendação é agendá-los na seguinte ordem:

  1. (Completo/Delta) Importar de diretórios locais, como o Active Directory
  2. (Full/Delta) Importar da ID do Microsoft Entra
  3. (Completo/Delta) Sincronizar de diretórios locais, como o Active Directory
  4. (Full/Delta) Sincronização do ID do Microsoft Entra
  5. Exportar para o ID do Microsoft Entra
  6. Exportar para diretórios locais, como o Active Directory

Essa ordem é como o agendador interno executa os conectores.

Get-ADSyncConnectorRunStatus

Você também pode monitorar o mecanismo de sincronização para ver se ele está ocupado ou ocioso. Esse cmdlet retornará um resultado vazio se o mecanismo de sincronização estiver ocioso e não estiver executando um Conector. Se um Conector estiver em execução, ele retornará o nome do Conector.

Get-ADSyncConnectorRunStatus

Connector Run Status
Na imagem acima, a primeira linha é de um estado em que o mecanismo de sincronização está ocioso. A segunda linha de quando o Microsoft Entra Connector está em execução.

Agendador e o assistente de instalação

Se você iniciar o assistente de instalação, o agendador será temporariamente suspenso. Esse comportamento ocorre porque ele pressupõe que você fará alterações na configuração e as definições não poderão ser aplicadas se o mecanismo de sincronização estiver ativamente em execução. Por esse motivo, não deixe o assistente de instalação aberto, já que ele impede que o mecanismo de sincronização execute ações de sincronização.

Próximas etapas

Saiba mais sobre a configuração da Sincronização do Microsoft Entra Connect.

Saiba mais sobre Integração de identidades locais com o Microsoft Entra ID.