Preguntas frecuentes sobre la instalación de la sincronización de Active Directory

Encuentre respuestas a preguntas habituales sobre la instalación y la configuración de la sincronización de Active Directory en Sophos Central Admin.

La sincronización de Active Directory permite a los administradores implementar un servicio que asigna usuarios y grupos de Active Directory a Sophos Central Admin y los mantiene sincronizados. Puede configurarla con el programa de configuración de sincronización de Active Directory.

Las preguntas frecuentes de Active Directory se dividen en dos partes.

  • Esta página contiene información acerca del programa de configuración de sincronización de Active Directory, la instalación, plataformas compatibles, errores de sincronización, el cambio de servicios de directorio y la eliminación de la sincronización de Active Directory.
  • Para obtener información general acerca de la sincronización de Active Directory en Sophos Central Admin, consulte Preguntas frecuentes sobre la sincronización de Active Directory.

¿Qué es el programa de configuración de sincronización de Active Directory?

El programa de configuración de sincronización de Active Directory importa los siguientes objetos de Active Directory:

  • Nombre de usuario
  • Inicio de sesión
  • Dirección de correo electrónico
  • Grupos y miembros de cada grupo

El programa de configuración de sincronización de Active Directory funciona de la siguiente manera:

  • Sincroniza usuarios y grupos activos.

    No duplica los usuarios o grupos existentes cuando coinciden con un usuario o grupo de Sophos Central existente. Por ejemplo, puede añadir una dirección de correo electrónico de Active Directory a un usuario existente en Sophos Central.

  • Solo crea grupos con más de un miembro.
  • Sincroniza dispositivos y grupos de dispositivos. Consulte Preguntas frecuentes sobre la detección de grupos de dispositivos para obtener información sobre cómo asignar dispositivos y grupos, así como otra información útil.

Puede encontrar más información sobre cómo funciona la sincronización en Preguntas frecuentes sobre la sincronización de Active Directory.

¿Qué espera el programa de configuración de sincronización de Active Directory de Active Directory?

Para sincronizar un bosque de Active Directory entero, debe proporcionar credenciales de Active Directory a un usuario con permisos en todo el bosque.

En la raíz del árbol de directorios del servidor host necesita lo siguiente:

  • Atributo denominado rootDomainNamingContext que contiene el nombre de dominio (DN) de la raíz del bosque de Active Directory.
  • Atributo denominado defaultNamingContext que contiene el DN del servidor host.

También necesita una colección de entradas en CN=Partitions, CN=Configuration y <rootDomainNamingContext>, con una o más entradas que contengan todo lo siguiente:

  • Un atributo netBiosName
  • Un atributo dnsRoot
  • Un atributo nCName

Para cada una de estas entradas, incluimos el valor de su atributo nCName (es un DN) en las áreas de búsqueda (pero solo si ese DN no es un DN antecesor del servidor host especificado en el programa de configuración de sincronización de Active Directory).

¿Cuál es el número máximo de objetos que puedo sincronizar a la vez?

El número máximo de objetos de AD que hemos probado es 30 000.

Si tiene más objetos, tardará más en sincronizarlos con Sophos Central.

Si tiene más de 40 000 entradas de usuario en su entorno, la interfaz de usuario responderá más lentamente.

¿Qué plataformas son compatibles?

Puede instalar y ejecutar el programa de configuración de sincronización de Active Directory en las siguientes plataformas:

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
Nota Solo se admiten versiones de 64 bits.

Puede instalar el controlador de dominio (DC) en las siguientes plataformas:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

¿Puedo sincronizar varios bosques de Active Directory?

No se pueden sincronizar varios bosques con una cuenta de Sophos Central Admin. Solo puede utilizar una copia del programa de configuración de sincronización de Active Directory para una cuenta de Sophos Central Admin. Puede seleccionar varios dominios secundarios dentro de un único bosque. No se pueden seleccionar varios bosques.

El programa de configuración de sincronización de Active Directory calcula los deltas de sincronización en el nivel de inquilino. Si desea sincronizar varios bosques, debe separar los bosques en subentornos independientes de Sophos Central Enterprise. Esto da a cada bosque una cuenta independiente de Sophos Central Admin. A continuación, puede utilizar una cuenta del programa de configuración de sincronización de Active Directory independiente para sincronizar cada bosque. Cada bosque se sincroniza con su propia cuenta de Sophos Central Admin. Puede administrar estas cuentas en Sophos Central Enterprise.

También debe asegurarse de que los usuarios y las direcciones de correo electrónico son únicos en cada subentorno de Sophos Central Enterprise.

¿Dónde puedo descargar el programa de configuración de sincronización de Active Directory?

Consulte Configurar la sincronización con Active Directory.

Las actualizaciones posteriores se realizan automáticamente en el programa de configuración de sincronización de Active Directory. Cada vez que sincronice, comprueba si hay una versión posterior.

¿Cómo instalo el programa de configuración de sincronización de Active Directory?

Consulte Configurar la sincronización con Active Directory.

¿Puedo sustituir el programa de configuración de sincronización de Active Directory por la sincronización de Azure AD?

Sí, puede hacerlo. Consulte Cambiar de servicio de directorio.

¿Puedo utilizar un servicio de directorio diferente?

Puede utilizar Microsoft Azure. Consulte Configurar la sincronización con Azure AD.

¿Cómo puedo mover servidores de sincronización de Active Directory?

Consulte Mover servidores de sincronización de Active Directory en Configurar la sincronización con Active Directory.

¿Cómo se quita la sincronización de Active Directory?

Puede optar por no utilizar un servicio de directorio. Consulte Cambiar de servicio de directorio.

Para obtener ayuda para la eliminación de datos sincronizados, consulte Eliminar datos sincronizados de Active Directory.

¿Por qué muestra '???' en lugar de los caracteres de UTF16 o de doble byte?

La vista previa del programa de configuración de sincronización de Active Directory no puede mostrar caracteres de doble byte.

Ejemplo de problema de visualización de caracteres

Todos los datos se envían y se muestran en Sophos Central. Este problema afecta a la ventana de vista previa o cambios pendientes en el programa de configuración de sincronización de Active Directory.

Tenemos previsto solucionar este problema en una versión futura del programa de configuración de sincronización de Active Directory.

Error: El objeto no existe.

Si tiene un filtro personalizado definido en el programa de configuración de sincronización de Active Directory y quita esa unidad organizativa (OU) de Active Directory, verá los siguientes errores:

  • Sincronización de Active Directory fallida. Razón: SophosCloudADSyncLib.DisplayableException: Error al realizar una solicitud a través de LDAP. Revise la configuración de conexión especificada. El servidor LDAP ha devuelto el siguiente error: 0000208D: NameErr: DSID-03100213, problem 2001
              (NO_OBJECT), data 0, best match of:
  • System.DirectoryServices.Protocols.DirectoryOperationException: El objeto no existe.

El error no hace referencia al nombre de la unidad organizativa eliminada. Debe revisar los filtros que haya configurado en Filtros de AD para resolver este error. Para ello, haga lo siguiente:

  1. Haga clic en Definir filtros.
  2. Quite todos los filtros que hagan referencia a objetos eliminados de su Active Directory.

Error: Sincronización de Active Directory fallida

El mensaje de error completo es Error: Sincronización de Active Directory fallida. Los caracteres con valores hexadecimales 0xFFFE y 0xFFFF no son válidos.

Puede que vea este error en el paso Previsualizar y sincronizar cuando ejecute el programa de configuración de sincronización de Active Directory manualmente.

Active Directory puede contener caracteres no válidos. Cuando el programa de configuración de sincronización de Active Directory obtiene una vista previa de los datos que se deben sincronizar, se produce este error.

Para omitir este error, utilice Sincronizar según programación - automático (en los próximos 2-3 minutos). Esto omite el paso de vista previa. La sincronización debería realizarse correctamente.

Error: Error al sincronizar el registro

El mensaje de error completo es Error: Error al sincronizar el registro: Error al eliminar el inicio de sesión... Razón: Clave externa endpoint_user_sessions.user_match_id.

Puede recibir este error si hay un problema al eliminar un inicio de sesión asociado a un usuario que se eliminó o deshabilitó en Active Directory. La sincronización continúa y finaliza aunque vea este error.

No puede eliminar este error hasta que se resuelva con Sophos Central Admin.

Error: No se han podido validar los ajustes de configuración

El mensaje de error completo es Error: No se han podido validar los ajustes de configuración. Razón: No se puede acceder a Active Directory.

Este error indica que el programa de configuración de sincronización de Active Directory no puede conectarse a Active Directory mediante las credenciales o la conexión proporcionadas. Pruebe lo siguiente:

  • Compruebe que la configuración es correcta (en Configuración de AD en el programa de configuración de sincronización de Active Directory) y que ha proporcionado credenciales que tienen acceso a todo el bosque (los usuarios de Enterprise Admin normalmente tienen dicho acceso).
  • Si su entorno LDAP no admite SSL, debe desactivar Usar LDAP seguro y cambiar el número de puerto en consecuencia. No lo recomendamos.
  • Intente conectarse a Active Directory con una herramienta de sincronización de AD independiente, como LDP.EXE de Microsoft, con las mismas credenciales.