X
luizhenriquelima

Monitorando e Gerenciando a Sincronização entre Active Directory e Microsoft Entra ID com PowerShell

A sincronização entre o Active Directory (AD) local e o Microsoft Entra ID (antigo Azure AD) é fundamental para manter a integridade das identidades em ambientes híbridos. Utilizando o PowerShell, é possível monitorar e gerenciar essa sincronização de forma eficaz. Neste artigo, explico como verificar o status da sincronização, forçar ciclos de sincronização e monitorar possíveis erros.

1. Verificando o Status da Sincronização com PowerShell

Para monitorar o status da sincronização, utilizamos o módulo ADSync do PowerShell, que é instalado juntamente com o Microsoft Entra Connect.

Passos para verificar o status:

  1. Abrir o PowerShell como Administrador
    • Clique com o botão direito no ícone do PowerShell e selecione “Executar como administrador”.
  2. Importar o módulo ADSync (se necessário): powershellCopiarEditarImport-Module ADSync
  3. Obter informações do agendador de sincronização: Get-ADSyncScheduler Saída esperada: AllowedSyncCycleInterval : 00:30:00 CurrentlyEffectiveSyncCycleInterval : 00:30:00 NextSyncCyclePolicyType : Delta NextSyncCycleStartTimeInUTC : 2025-03-19 01:00:00 SyncCycleEnabled : True

Explicação dos principais campos:

  • AllowedSyncCycleInterval: Tempo mínimo entre sincronizações.
  • CurrentlyEffectiveSyncCycleInterval: Intervalo real entre sincronizações.
  • NextSyncCycleStartTimeInUTC: Data e hora da próxima sincronização.
  • SyncCycleEnabled: Indica se a sincronização está ativada.

2. Forçando um Ciclo de Sincronização Manualmente

Se houver mudanças urgentes ou problemas na replicação, podemos forçar uma sincronização manual.

Tipos de sincronização:

  • Sincronização Delta: Processa apenas as alterações feitas desde a última sincronização.
  • Sincronização Completa (Full): Reavalia e sincroniza todos os objetos.

Como forçar uma sincronização delta:

Start-ADSyncSyncCycle -PolicyType Delta

Saída esperada:

Result
------
Success

Como forçar uma sincronização completa:

Start-ADSyncSyncCycle -PolicyType Initial

Observações:

  • Uma sincronização completa pode consumir mais recursos e levar mais tempo.
  • Deve ser usada apenas quando há problemas críticos.

3. Verificando o Status de Sincronização de Usuários Específicos

Se um usuário não está sendo sincronizado corretamente, podemos verificar seu status.

Passos para verificar um usuário:

  1. Instalar e importar o módulo AzureAD (caso ainda não esteja instalado): Install-Module -Name AzureAD Import-Module AzureAD
  2. Conectar ao Microsoft Entra ID: Connect-AzureAD
    • Uma janela será aberta para login com credenciais de administrador.
  3. Verificar o status de um usuário específico: Get-AzureADUser -ObjectId "usuario@dominio.com" | Select-Object DisplayName, DirSyncEnabled, LastDirSyncTime

Explicação dos campos:

  • DisplayName: Nome do usuário.
  • DirSyncEnabled: Indica se o usuário está sendo sincronizado.
  • LastDirSyncTime: Última sincronização.

Se DirSyncEnabled estiver False, o usuário não está sincronizado e pode ter sido criado diretamente no Microsoft Entra ID.

4. Monitorando e Corrigindo Erros de Sincronização

Para garantir a estabilidade do ambiente híbrido, devemos monitorar falhas na sincronização.

Verificar logs de sincronização no PowerShell

Get-EventLog -LogName Application -Source "Directory Synchronization" -Newest 10

Isso exibirá os 10 eventos mais recentes sobre a sincronização.

Verificar falhas de sincronização

Get-ADSyncConnectorRunStatus | Format-Table ConnectorName, RunProfileName, Status

Isso mostra:

  • ConnectorName: Nome do conector de sincronização.
  • RunProfileName: Tipo de sincronização (delta, full, exportação).
  • Status: Se foi concluído com sucesso ou falhou.

Verificar falhas em usuários específicos

Get-ADSyncRunProfileHistory -ConnectorName "AD Connector" -RunProfileName Delta | Sort-Object RunStartTime -Descending | Select-Object -First 1

Se houver falhas, revisar os detalhes do erro e verificar:

  • Conectividade do servidor.
  • Sincronização de senhas ativada.
  • Contas bloqueadas ou inativas.

Conclusão

Manter a sincronização entre Active Directory e Microsoft Entra ID funcionando corretamente é essencial para um ambiente híbrido seguro e eficiente. O PowerShell oferece ferramentas poderosas para monitorar e corrigir problemas de replicação.

Utilizando os comandos apresentados, é possível: Verificar a sincronização em tempo real.
Forçar ciclos de sincronização quando necessário.
Identificar falhas e corrigi-las rapidamente.

Com essas práticas, garantimos que os usuários e grupos no AD local estejam sempre alinhados com o Microsoft Entra ID, evitando problemas de autenticação e acesso.

Categories: Windows Server
Tags: Active Diretory Windows Server
luizhenriquelima:
Leave a Comment
Related Post
  1. Atualizações de Segurança de Maio de 2024 para o Windows Server 2022

    Em 14 de maio de 2024, a Microsoft lançou uma série de atualizações de segurança…

  2. Atualização de Julho de 2024 para o Windows Server 2022

    Em 9 de julho de 2024, a Microsoft lançou a atualização cumulativa KB5040437 para o…

  3. Gerenciando o Windows Server 2022 com o Windows Admin Center

    O Windows Admin Center (WAC) é uma ferramenta essencial para administradores que buscam uma interface…