Partilhar via

Microsoft Entra Connect Sync: Agendador

  • Artigo

Este tópico descreve o agendador interno no Microsoft Entra Connect Sync (mecanismo de sincronização).

Este recurso foi introduzido com a compilação 1.1.105.0 (lançada em fevereiro de 2016).

Visão geral

O Microsoft Entra Connect Sync sincroniza as alterações que ocorrem no diretório local usando um agendador. Há dois processos de agendamento, um para sincronização de senha e outro para tarefas de sincronização e manutenção de objetos/atributos. Este tópico aborda esta última.

Em versões anteriores, o agendador de objetos e atributos era externo ao mecanismo de sincronização. Ele usou o agendador de tarefas do Windows ou um serviço separado do Windows para disparar o processo de sincronização. O agendador está com as versões 1.1 incorporadas ao mecanismo de sincronização e permite alguma personalização. A nova frequência de sincronização padrão é de 30 minutos.

O agendador é responsável por duas tarefas:

  • Ciclo de sincronização. O processo para importar, sincronizar e exportar alterações.
  • Tarefas de manutenção. Renove chaves e certificados para redefinição de senha e serviço de registro de dispositivo (DRS). Limpe entradas antigas no log de operações.

O agendador em si está sempre em execução, mas pode ser configurado para executar apenas uma ou nenhuma dessas tarefas. Por exemplo, se você precisar ter seu próprio processo de ciclo de sincronização, poderá desabilitar essa tarefa no agendador, mas ainda executar a tarefa de manutenção.

Importante

Por padrão, a cada 30 minutos, um ciclo de sincronização é executado. Se você tiver modificado o ciclo de sincronização, precisará certificar-se de que um ciclo de sincronização seja executado pelo menos uma vez a cada 7 dias.

  • Uma sincronização delta precisa acontecer dentro de 7 dias a partir da última sincronização delta.
  • Uma sincronização delta (após uma sincronização completa) precisa acontecer dentro de 7 dias a partir do momento em que a última sincronização completa foi concluída.

A falha ao fazer isso pode causar problemas de sincronização que exigirão que você execute uma sincronização completa para resolver. Isso também se aplica a servidores no modo de preparo.

Configuração do Agendador

Para ver suas definições de configuração atuais, vá para PowerShell e execute Get-ADSyncScheduler. Mostra-lhe algo como esta imagem:

GetSyncScheduler

Se vires O comando ou cmdlet sync não está disponível quando executares este cmdlet, o módulo PowerShell não está carregado. Esse problema pode acontecer se você executar o Microsoft Entra Connect em um controlador de domínio ou em um servidor com níveis de restrição do PowerShell mais altos do que as configurações padrão. Se você vir esse erro, execute Import-Module ADSync para disponibilizar o cmdlet.

  • IntervaloPermitidoDoCicloDeSincronização. O menor intervalo de tempo entre os ciclos de sincronização permitido pelo Microsoft Entra ID. Não é possível sincronizar com mais frequência do que essa configuração e ainda ter suporte.
  • CurrentlyEffectiveSyncCycleInterval. O calendário atualmente em vigor. Ele tem o mesmo valor que CustomizedSyncInterval (se definido) se não for mais frequente do que AllowedSyncInterval. Se você usar uma compilação antes de 1.1.281 e alterar CustomizedSyncCycleInterval, essa alteração entrará em vigor após o próximo ciclo de sincronização. A partir da compilação 1.1.281, a alteração entra em vigor imediatamente.
  • CustomizedSyncCycleInterval. Se desejar que o agendador seja executado em qualquer outra frequência que não os 30 minutos padrão, defina essa configuração. Na imagem anterior, o agendador é definido para ser executado a cada hora. Se você definir essa configuração para um valor inferior a AllowedSyncInterval, o último será usado.
  • NextSyncCyclePolicyType. Delta ou Inicial. Define se a próxima execução deve processar apenas alterações delta ou se a próxima execução deve fazer uma importação e sincronização completas. Este último também reprocessaria quaisquer regras novas ou alteradas.
  • NextSyncCycleStartTimeInUTC. Na próxima vez que o agendador iniciar o ciclo de sincronização.
  • PurgeRunHistoryInterval. Os registos temporais de operação devem ser mantidos. Esses logs podem ser revisados no gerenciador de serviços de sincronização. O padrão é manter esses logs por 7 dias.
  • SyncCycleEnabled. Indica se o agendador está executando os processos de importação, sincronização e exportação como parte de sua operação.
  • MaintenanceEnabled. Mostra se o processo de manutenção está ativado. Ele atualiza os certificados/chaves e limpa o log de operações.
  • StagingModeEnabled. Indica se modo de estágio está habilitado. Se essa configuração estiver habilitada, ela suprimirá a execução das exportações, mas ainda executará a importação e a sincronização.
  • SchedulerSuspended. Definido por Connect durante uma atualização para bloquear temporariamente a execução do agendador.

Você pode alterar algumas dessas configurações com Set-ADSyncScheduler. Os seguintes parâmetros podem ser modificados:

  • Intervalo de Ciclo de Sincronização Personalizado
  • PróximoTipoDePolíticaDeCicloDeSincronização
  • Intervalo de Limpeza do Histórico de Execuções
  • CicloDeSincronizaçãoAtivado
  • Modo de Manutenção Ativado

Em compilações anteriores do Microsoft Entra Connect, isStagingModeEnabled foi exposto em Set-ADSyncScheduler. É sem suporte para definir essa propriedade. A propriedade SchedulerSuspended só deve ser modificada por Connect. É sem suporte definir isso diretamente com o PowerShell.

A configuração do agendador é armazenada no Microsoft Entra ID. Se você tiver um servidor de preparo, qualquer alteração no servidor primário também afetará o servidor de preparo (exceto IsStagingModeEnabled).

IntervaloDeCicloDeSincronizaçãoPersonalizado

Sintaxe: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - dias, HH - horas, mm - minutos, ss - segundos

Exemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
Altera o agendador para ser executado a cada 3 horas.

Exemplo: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
As alterações ajustam o agendador para ser executado diariamente.

Desativar o agendador

Se você precisar fazer alterações de configuração, então você deseja desativar o agendador. Por exemplo, quando se configurar filtragem ou fazer alterações nas regras de sincronização.

Para desativar o agendador, execute Set-ADSyncScheduler -SyncCycleEnabled $false.

Desativar o agendador

Quando fizer alterações, não se esqueça de ativar o agendador novamente com Set-ADSyncScheduler -SyncCycleEnabled $true.

Iniciar o agendador

O agendador é, por padrão, executado a cada 30 minutos. Em alguns casos, talvez você queira executar um ciclo de sincronização entre os ciclos agendados ou precise executar um tipo diferente.

Ciclo de sincronização delta

Um ciclo de sincronização delta inclui as seguintes etapas:

  • Importação delta em todos os conectores
  • Sincronização delta em todos os conectores
  • Exportar em todos os conectores

Ciclo de sincronização completo

Um ciclo de sincronização completo inclui as seguintes etapas:

  • Importação completa em todos os conectores
  • Sincronização completa em todos os conectores
  • Exportar em todos os conectores

Pode ser que você tenha uma alteração urgente que deve ser sincronizada imediatamente, e é por isso que você precisa executar manualmente um ciclo.

Se você precisar executar manualmente um ciclo de sincronização, em seguida, no PowerShell, execute Start-ADSyncSyncCycle -PolicyType Delta.

Para iniciar um ciclo de sincronização completo, execute Start-ADSyncSyncCycle -PolicyType Initial a partir de um prompt do PowerShell.

Executar um ciclo de sincronização completo pode ser muito demorado, leia a próxima seção para ler como otimizar esse processo.

Etapas de sincronização necessárias para diferentes alterações de configuração

Alterações de configuração diferentes exigem etapas de sincronização diferentes para garantir que as alterações sejam aplicadas corretamente a todos os objetos.

  • Adicionado mais objetos ou atributos a serem importados de um diretório de origem (adicionando/modificando as regras de sincronização)
    • Uma importação completa é necessária no conector para esse diretório de origem
  • Alterações feitas nas regras de sincronização
    • Uma sincronização completa é necessária no conector para as regras de sincronização alteradas
  • Alterada a filtragem para que um número diferente de objetos seja incluído
    • É necessária uma Importação Completa no Conector para cada Conector AD. A exceção é se você estiver usando filtragem baseada em atributos com base em atributos que já estão sendo importados para o mecanismo de sincronização

Personalizando um ciclo de sincronização, execute a combinação certa de etapas de sincronização Delta e Completa

Para evitar a execução de um ciclo de sincronização completo, você pode marcar conectores específicos para executar uma etapa completa usando os cmdlets a seguir.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

Exemplo: Se fizeste alterações nas regras de sincronização do Conector "Floresta AD A" que não exigem novos atributos importados, deverás executar os cmdlets a seguir para correr um ciclo de sincronização delta que também executa uma etapa de Sincronização Completa para esse conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Exemplo: Se você fez alterações nas regras de sincronização do Conector "Floresta AD A" para que elas agora exijam que um novo atributo seja importado, você executaria os cmdlets a seguir para executar um ciclo de sincronização delta que também fez uma etapa de Importação Completa, Sincronização Completa para esse Conector.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

Pare o agendador

Se o agendador estiver executando um ciclo de sincronização no momento, talvez seja necessário interrompê-lo. Por exemplo, se iniciar o assistente de instalação e receber este erro:

Captura de tela mostra a mensagem de erro Não é possível alterar a configuração.

Quando um ciclo de sincronização está em execução, não é possível fazer alterações de configuração. Você pode esperar até que o agendador termine o processo, mas você também pode pará-lo para que você possa fazer suas alterações imediatamente. Interromper o ciclo atual não é prejudicial e as alterações pendentes são processadas com a próxima execução.

  1. Comece dizendo ao agendador para interromper seu ciclo atual com o cmdlet do PowerShell Stop-ADSyncSyncCycle.

  2. Se você usar uma compilação antes de 1.1.281, parar o agendador não interromperá o Conector atual de sua tarefa atual. Para forçar o conector a parar, execute as seguintes ações:

    Captura de tela mostra o Gerenciador do Serviço de Sincronização com Conectores selecionados e um conector em execução realçado com a ação Parar selecionada.

    • Inicie Serviço de Sincronização no menu Iniciar. Vá para Conectores, realce o Conector com o estado Executandoe selecione Parar das Ações.

O agendador ainda está ativo e irá reiniciar na próxima oportunidade.

Agendador personalizado

Os cmdlets documentados nesta seção só estão disponíveis na compilação 1.1.130.0 e posterior.

Se o agendador interno não atender aos seus requisitos, você poderá agendar os Conectores usando o PowerShell.

Invoke-ADSyncRunProfile

Você pode iniciar um perfil para um conetor desta maneira:

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

Os nomes a serem usados para nomes de Conector e Nomes de Perfil de Execução podem ser encontrados na interface do usuário do Synchronization Service Manager.

Invocar o perfil de execução

O cmdlet Invoke-ADSyncRunProfile é síncrono, ou seja, não retorna o controle até que o Connector conclua a operação, com êxito ou com um erro.

Ao agendar os vossos conectores, a recomendação é agendá-los na seguinte ordem:

  1. (Completo/Delta) Importar de diretórios locais, como o Ative Directory
  2. (Completo/Delta) Importar do Microsoft Entra ID
  3. (Completo/Delta) Sincronização de diretórios locais, como o Ative Directory
  4. (Completo/Delta) Sincronização a partir do Microsoft Entra ID
  5. Exportar para o Microsoft Entra ID
  6. Exportar para diretórios locais, como o Ative Directory

Esta é a ordem em que o agendador interno executa os conectores.

Get-ADSyncConnectorRunStatus

Você também pode monitorar o mecanismo de sincronização para ver se ele está ocupado ou ocioso. Este cmdlet retorna um resultado vazio se o mecanismo de sincronização estiver ocioso e não estiver executando um Connector. Se um Conector estiver em execução, ele retornará o nome do Conector.

Get-ADSyncConnectorRunStatus

status de execução do conector
Na imagem acima, a primeira linha é de um estado em que o mecanismo de sincronização está ocioso. A segunda linha de quando o Microsoft Entra Connector está em execução.

Agendador e assistente de instalação

Se você iniciar o assistente de instalação, o agendador será suspenso temporariamente. Esse comportamento ocorre porque se supõe que você faça alterações de configuração e essas configurações não podem ser aplicadas se o mecanismo de sincronização estiver em execução ativa. Por esse motivo, não deixe o assistente de instalação aberto, pois ele impede que o mecanismo de sincronização execute quaisquer ações de sincronização.

Próximos passos

Saiba mais sobre a configuração do Microsoft Entra Connect Sync.

Saiba mais sobre Integrando suas identidades locais com o Microsoft Entra ID.