Compartilhar via

Considerações de implantação para implementar o Microsoft Identity Manager com o SharePoint Server

  • Artigo

APLICA-SE A:no-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

Para aumentar as hipóteses de uma implementação do MIM com êxito no SharePoint Server, siga estas recomendações:

Planejar a migração de seu ambiente de teste para seu ambiente de produção

Planejar, planejar e, depois, planejar um pouco mais. Nunca é demais exagerar nesta etapa. A maioria das falhas de sincronização pode ser atribuída à falta de planejamento.

É essencial configurar corretamente o Serviço de Sincronização do MIM em seu laboratório de teste e planejar com cuidado sua migração, desde o laboratório de teste até a produção, a fim de minimizar os problemas da implantação. Recomenda-se que utilize um ambiente de teste pequeno para evitar processar milhares de objetos ao testar novas regras.

Fazer backup de seu ambiente de teste inicial

Após a instalação do MIM e a criação de seus agentes de gerenciamento, faça backup do banco de dados de Sincronização do MIM. Assim, você pode recriar um ambiente de teste atualizado a qualquer momento carregando o banco de dados de backup.

Testar seus procedimentos de backup e restauração do MIM

Procedimentos de backup regulares são essenciais para proteger seus dados contra perdas acidentais. Também é recomendado que teste os procedimentos de cópia de segurança e restauro antes de ocorrer uma emergência. Para fazer backup e restaurar o MIM, use as ferramentas de backup fornecidas com o sistema operacional Windows Server 2012 R2 e SQL Server 2014.

Instalar o serviço de Sincronização do MIM e o SQL Server no mesmo domínio

Durante a Configuração da Sincronização do MIM, o acesso remoto à base de dados depende dos direitos de acesso da conta de início de sessão atual que está a utilizar para executar a Configuração. Certifique-se de que o servidor que executa o sistema operativo Windows Server 2012 R2 que aloja o MIM e o servidor que aloja o SQL Server estão no mesmo domínio e que a conta que está a utilizar para executar a Configuração tem direitos de acesso ao servidor que aloja o SQL Server.

Definir direitos de acesso se o SQL Server estiver instalado em um servidor remoto

Se você instalar o SQL Server em um computador remoto, ou seja, em um computador diferente daquele que está executando o MIM, certifique-se que a política para a conta de serviço do SQL Server permita que os usuários acessem esse computador na rede. Se o acesso não for permitido, a configuração do MIM falhará.

Importante

Se instalar o SQL Server num computador remoto e permitir o acesso de rede ao computador remoto, receberá um aviso de segurança da configuração do MIM. Neste cenário, o aviso pode ser ignorado.

Especifique a porta TCP/IP para um servidor remoto executando o SQL Server

Se a instância do SQL Server especificada por você durante a Configuração do MIM estiver em um computador remoto, a Configuração do MIM usará a porta TCP/IP padrão. Se você quiser especificar uma porta diferente, use o Utilitário de Rede do Cliente do SQL Server (Windows\System32\cliconfg.exe) e as ferramentas do Utilitário de Rede do Servidor fornecidas com o SQL Server. Para saber mais, veja os Manuais Online do SQL Server.

Usar Exportar Agente de Gerenciamento fazer backup dos agentes de gerenciamento sempre que você alterar as regras do agente de gerenciamento

Depois de usar Exportar Agente de Gerenciamento, você poderá usar o comando Importar Agente de Gerenciamento para importar uma versão específica do agente de gerenciamento individual. Você também pode exportar e importar agentes de gerenciamento usando os comandos Exportar Configuração de Servidor e Importar Configuração do Servidor, mas isso importa todos os agentes de gerenciamento, além do esquema de metaverso. Para obter mais informações sobre como configurar e importar, veja Configurar Agentes de Gestão e Importar e Exportar uma Configuração do Servidor

Preencher o atributo displayName no metaverso para facilitar a identificação dos resultados da pesquisa

Ao listar objetos usando a Pesquisa de Metaverso, o MIM retorna resultados identificados pelo atributo displayName. Se o atributo displayName não estiver preenchido, os resultados da pesquisa são identificados pelo identificador exclusivo global (GUID). Para obter mais informações sobre como utilizar a pesquisa de metaverso, consulte Utilizar a Pesquisa de Metaverso

Projetar suas regras de fluxo de agir sobre o estado de um objeto

Use o estado de um objeto para determinar a próxima etapa de sincronização do objeto em vez de usar o evento que causou o estado do objeto.

Importante

[!IMPORTANTE] Não confie na avaliação de regras declarativas ou de regras em uma extensão de regras em uma ordem especificada durante a sincronização de um objeto. As regras são avaliadas de uma forma desordenada.

Desabilitar o provisionamento ao migrar fontes de dados conectadas para o metaverso pela primeira vez

Quando implementar o MIM pela primeira vez, recomenda-se que migre e associe todas as origens de dados ligadas antes de ativar o aprovisionamento. Depois de verificar que tudo foi migrado e associado com êxito, pode ativar o aprovisionamento e executar uma Sincronização Completa dos agentes de gestão para aplicar as regras de aprovisionamento a todos os objetos ligados. Para obter mais informações sobre como configurar regras de aprovisionamento, veja Regras de Aprovisionamento

Definir um limite de exclusão em suas etapas de execução de perfil para limitar o número de exclusões acidentais

Use a configuração do limite de exclusão para limitar o número de exclusões acidentais que podem ocorrer durante a importação ou exportação. O limite de exclusão interromperá o agente de gerenciamento ou o impedirá de inicializar quando o limite for atingido. Para obter mais informações, veja Configurar Agentes de Gestão.

Usar Pesquisar Espaço do Conector para examinar objetos

Com Pesquisar Espaço do Conector, você pode procurar objetos no espaço do conector para um agente de gerenciamento. Pode localizar objetos por nome ou estado de erro, ou pelo estado do objeto (ou seja, se está ligado, desligado ou à espera de ser importado ou exportado).

Usar Visualização para testar as sincronizações e solucionar erros

Com a Visualização, você pode executar sincronizações de teste e exibir os resultados sem confirmar as alterações no metaverso. Você também pode usar a Visualização para testar novas extensões de regras e solucionar erros de sincronização devido a falhas de ingresso ou violações de esquema.

Agendar um perfil de execução recorrente usando a etapa de Sincronização Delta para processar desconectores automaticamente

Os objetos que não conseguem associar-se não são reavaliados pelo passo de perfil de execução Importação Delta e Sincronização Delta e podem permanecer como desligadores. Executar um passo de Sincronização Delta regularmente irá reavaliar e processar estes desligadores. Para obter mais informações sobre como executar passos de perfil, veja Configurar Agentes de Gestão.

Salvar e limpar regularmente o histórico de execução do agente de gerenciamento no Operations

As operações registam um histórico de cada execução de agente de gestão. O histórico de execução de cada agente de gerenciamento é salvo no banco de dados do SQL Server e pode fazer com que o banco de dados cresça ao longo do tempo, afetando o desempenho. O histórico de execução pode ser salvo usando o Operations. Para obter mais informações sobre como utilizar operações, veja Utilizar Operações.

Observação

[!OBSERVAçãO] Excluir muitas execuções de uma vez demora bastante. Recomenda-se que não elimine mais de 100 execuções de cada vez.

Usar várias partições em um agente de gerenciamento para controlar a sincronização de tipos de objeto individuais

Para controlar a sincronização de tipos de objeto individuai em um agente de gerenciamento baseado em arquivo, crie uma partição para cada tipo de objeto. Por exemplo, para sincronizar os tipos de objeto mailbox e group, crie duas partições no agente de gerenciamento e atribua mailbox a uma partição e group a outra. Depois, crie um perfil de execução de agente de gerenciamento para cada partição. Com essa configuração, você tem um agente de gerenciamento com a flexibilidade para sincronizar um ou ambos os tipos de objeto selecionados. Para obter mais informações sobre como utilizar partições, consulte O Metaverso e o Espaço do Conector

Planejamento de Capacidade

Existem muitas variáveis que podem afetar a capacidade geral e o desempenho da implementação do MIM.

O desempenho pode ser afetado negativamente se todas as bases de dados no sistema forem criadas com um tamanho mais pequeno e definidas para aumentar automaticamente, especialmente por pequenos incrementos. É necessário um mínimo de 16 GB de RAM para os SQL Servers, mas irá beneficiar de mais memória. Deve ter, pelo menos, 16 núcleos de CPU nos servidores SQL, mas mais núcleos ajudarão no desempenho geral.

Por fim, recomenda-se que não execute bases de dados MIM e SharePoint em conjunto no mesmo servidor.

Alta Disponibilidade

A solução do MIM é projetada para ser altamente disponível a fim de evitar qualquer ponto de falha. Os componentes a seguir devem ser considerados para alta disponibilidade:

Observação

As informações nesta seção são apenas recomendações.

  • Serviço de Sincronização do MIM – embora o clustering do Serviço de Sincronização do MIM não seja suportado, pode ser implementado um servidor de reserva quente para assumir a carga de trabalho do principal em caso de falha. No entanto, a falha de hardware não deve ser uma preocupação, uma vez que o Serviço de Sincronização do MIM será executado numa máquina virtual alojada em vários nós físicos. Além disso, se ocorrer uma falha de software, a máquina virtual que aloja o servidor de sincronização poderá ser rapidamente recuperada de uma cópia de segurança anterior ou reconstruída do zero. Um tempo de inatividade desse serviço não tem impacto sobre as interações do usuário final com a solução. Isso atrasaria apenas o cumprimento de todas as solicitações de provisionamento e desprovisionamento de acesso. Após o serviço voltar a ficar online, essas operações seriam retomadas sem perda de dados. A reserva ativa do Serviço de Sincronização do MIM será ligada à mesma base de dados do SQL Server que a instância primária e terá de ser ativada através de um script, caso a instância primária fique inativa e não possa ser reiniciada em tempo útil. Observe que o Agente de Gerenciamento do MIM usado para sincronizar os dados entre o banco de dados do Serviço de Sincronização do MIM e o banco de dados do Serviço MIM terão que apontar para a instância do Serviço MIM local.

  • SQL Server - A solução MIM exige um cluster do SQL Server para fornecer alta disponibilidade para a camada do banco de dados. O cluster do MIM será composto por dois servidores com especificações detalhadas nos parágrafos anteriores. Embora cada nó SQL tenha as duas instâncias do SQL instaladas, somente uma das duas instâncias estarão ativas em um determinado momento.

    A estrutura tem em conta a melhor utilização das máquinas virtuais em cluster sem sobresscrever cada nó e, potencialmente, fazer com que ambos os nós caiam se houver ativação pós-falha.

    Como os bancos de dados são hospedados em um SQL Server remoto, a conexão de rede entre os Servidores do MIM e os SQL Servers deverá ser de 1 Gbit. A rede de 100 Mbit não fornecerá largura de banda suficiente e irá degradar o desempenho da sincronização em 20 a 30 por cento.

Sempre use a Importação do Active Directory como a configuração de sincronização na Administração de Perfil de Usuário

Se planear utilizar o serviço de Sincronização do MIM, não o selecione. Em vez disso, selecione a opção Use SharePoint Active Directory Import. Existe um problema conhecido com a compilação de Audiências e o atributo Gestor se a opção Ativar Gestor de Identidades Externas estiver selecionada.

Observação

Esse problema foi corrigido na Atualização Pública (PU) de fevereiro de 2017, veja Atualização de 21 de fevereiro de 2017 para o SharePoint Server 2016 (KB3141517)

Não alternar entre tipos de sincronização

Se mudar de um tipo de sincronização para outro através da utilização das Definições de Sincronização configuradas no site da Administração Central do SharePoint, irá deparar-se com problemas sem que sejam devolvidos objetos quando uma importação na instância do Conector do SharePoint for iniciada e sem resultados nos registos ULS.

Para recuperar-se da troca de tipos, na seção Etapas de recuperação, veja SharePoint 2016: Problemas devido à alternância entre os tipos de sincronização na importação do UPA AD/Gerenciador de Identidades Externo (MIM)

Exportação de imagens do SharePoint para o Active Directory

O Microsoft Identity Manager suporta a exportação de imagens de perfis de utilizador do SharePoint para o Active Directory.

Não há integração de BCS para dar suporte às Propriedades de Perfil adicionais

Não existe integração dos Serviços de Conectividade Empresarial para suportar propriedades de perfil no MIM. Você pode configurar manualmente os Conectores para conseguir isso.

Propriedades do Perfil de Usuário

Podem ser criadas novas propriedades de perfil de utilizador nos SharePoint Servers; no entanto, os mapeamentos não são criados no SharePoint, mas sim no MIM.

Nome NetBios

Se o Gerenciador de Identidades Externo for selecionado, habilite a propriedade NetBIOSDomainNamesEnabled no aplicativo de serviço Aplicativo de Perfil de Usuário assim que você criá-lo, a fim de oferecer suporte a cenários nos quais o nome NetBIOS do domínio sejam diferentes do FQDN (Nome de domínio totalmente qualificado) do domínio.

Executar operações de sincronização em um canal seguro

Uma vez que a sincronização incluirá frequentemente informações pessoais identificáveis, recomenda-se que as execuções de sincronização sejam executadas através de um canal seguro, como HTTPS ou LDAPS.

Confira também

Outros recursos

Visão geral do serviço de sincronização do Microsoft Identity Manager no SharePoint Server