Saltar al contenido
Última actualización: 2022-05-03

Preguntas frecuentes sobre la instalación de la sincronización de Active Directory

Encuentre respuestas a preguntas habituales sobre la instalación y la configuración de la sincronización de Active Directory (AD) en Sophos Central Admin.

La sincronización de AD le permite implementar un servicio que asigna usuarios, dispositivos y grupos desde AD a Sophos Central Admin y los mantiene sincronizados. Puede configurarla con el programa de configuración de sincronización de Active Directory.

Las preguntas frecuentes se dividen en dos partes.

  • Esta página contiene información acerca del programa de configuración de sincronización de Active Directory, la instalación, plataformas compatibles, errores de sincronización, el cambio de servicios de directorio y la eliminación de la sincronización de Active Directory.

  • Para obtener información general acerca de la sincronización de Active Directory en Sophos Central Admin, consulte Preguntas frecuentes sobre la sincronización de Active Directory.

¿Qué es el programa de configuración de sincronización de Active Directory?

El programa de configuración de sincronización de Active Directory importa los siguientes objetos de Active Directory:

  • Nombre de usuario
  • Inicio de sesión
  • Dirección de correo electrónico
  • Grupos y miembros de cada grupo

El programa de configuración de sincronización de Active Directory funciona de la siguiente manera:

  • Sincroniza usuarios y grupos activos.

    No duplica los usuarios o grupos existentes cuando coinciden con un usuario o grupo de Sophos Central existente. Por ejemplo, puede añadir una dirección de correo electrónico de Active Directory a un usuario existente en Sophos Central.

  • Solo crea grupos con más de un miembro.

  • Sincroniza dispositivos y grupos de dispositivos. Consulte Preguntas frecuentes sobre la detección de grupos de dispositivos para obtener información sobre cómo asignar dispositivos y grupos, así como otra información útil.

Puede encontrar más información sobre cómo funciona la sincronización en Preguntas frecuentes sobre la sincronización de Active Directory.

¿Qué espera el programa de configuración de sincronización de Active Directory de Active Directory?

Para sincronizar un bosque de Active Directory entero, debe proporcionar credenciales de Active Directory a un usuario con permisos en todo el bosque.

En la raíz del árbol de directorios del servidor host necesita lo siguiente:

  • Atributo denominado rootDomainNamingContext que contiene el nombre de dominio (DN) de la raíz del bosque de Active Directory.
  • Atributo denominado defaultNamingContext que contiene el DN del servidor host.

También necesita una colección de entradas en CN=Partitions, CN=Configuration y <rootDomainNamingContext>, con una o más entradas que contengan todo lo siguiente:

  • Un atributo netBiosName
  • Un atributo dnsRoot
  • Un atributo nCName

Para cada una de estas entradas, incluimos el valor de su atributo nCName (es un DN) en las áreas de búsqueda (pero solo si ese DN no es un DN antecesor del servidor host especificado en el programa de configuración de sincronización de Active Directory).

¿Cuál es el número máximo de objetos que puedo sincronizar a la vez?

El número máximo de objetos de AD que hemos probado es 30 000.

Si tiene más objetos, tardará más en sincronizarlos con Sophos Central.

La interfaz de usuario responderá más lentamente si tiene más de 40 000 entradas de usuario en su entorno.

¿Qué plataformas son compatibles?

Puede instalar y ejecutar el programa de configuración de sincronización de Active Directory en las siguientes plataformas:

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Restricción

Solo se admiten versiones de 64 bits.

Puede instalar el controlador de dominio (DC) en las siguientes plataformas:

  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
¿Puedo sincronizar varios bosques de Active Directory?

No se pueden sincronizar varios bosques con una cuenta de Sophos Central Admin. Solo puede utilizar una copia del programa de configuración de sincronización de Active Directory para una cuenta de Sophos Central Admin. Puede seleccionar varios dominios secundarios dentro de un único bosque. No se pueden seleccionar varios bosques.

El programa de configuración de sincronización de Active Directory calcula los deltas de sincronización en el nivel de inquilino. Si desea sincronizar varios bosques, debe separar los bosques en subentornos independientes de Sophos Central Enterprise. Esto da a cada bosque una cuenta independiente de Sophos Central Admin. A continuación, puede utilizar una cuenta del programa de configuración de sincronización de Active Directory independiente para sincronizar cada bosque. Cada bosque se sincroniza con su propia cuenta de Sophos Central Admin. Puede administrar estas cuentas en Sophos Central Enterprise.

También debe asegurarse de que los usuarios y las direcciones de correo electrónico son únicos en cada subentorno de Sophos Central Enterprise.

¿Dónde puedo descargar el programa de configuración de sincronización de Active Directory?

Consulte Configurar la sincronización con Active Directory.

Las actualizaciones posteriores se realizan automáticamente en el programa de configuración de sincronización de Active Directory. Cada vez que sincronice, comprueba si hay una versión posterior.

¿Cómo instalo el programa de configuración de sincronización de Active Directory?

Consulte Descargar el software de configuración y validar las credenciales.

¿Cómo puedo mover servidores de sincronización de Active Directory?

Consulte Mover servidores de sincronización de Active Directory.

¿Cómo se quita la sincronización de Active Directory?

Consulte Purgar datos sincronizados de Active Directory.

¿Por qué muestra '???' en lugar de los caracteres de UTF16 o de doble byte?

La vista previa del programa de configuración de sincronización de Active Directory no puede mostrar caracteres de doble byte.

Ejemplo de problema de visualización de caracteres

Todos los datos se envían y se muestran en Sophos Central. Este problema afecta a la ventana de vista previa o cambios pendientes en el programa de configuración de sincronización de Active Directory.

Tenemos previsto solucionar este problema en una versión futura del programa de configuración de sincronización de Active Directory.

Error: El objeto no existe.

Si tiene un filtro personalizado definido en el programa de configuración de sincronización de Active Directory y quita esa unidad organizativa (OU) de Active Directory, verá los siguientes errores:

Ha fallado
    sincronización de Active Directory. Razón: SophosCloudADSyncLib.DisplayableException: Error
    al realizar una solicitud a través de LDAP. Revise la configuración de conexión especificada. El servidor LDAP
    ha devuelto el siguiente error: 0000208D: NameErr: DSID-03100213, problem 2001
(NO_OBJECT), data 0, best match of:

System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

El error no hace referencia al nombre de la unidad organizativa eliminada. Debe revisar los filtros que haya configurado en Filtros de AD para resolver este error. Para ello, haga lo siguiente:

  1. Haga clic en Definir filtros.

  2. Quite todos los filtros que hagan referencia a objetos eliminados de su Active Directory.

Error: Sincronización de Active Directory fallida

El mensaje de error es Error: Failed active directory synchronization. Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid.

Puede que vea este error en el paso Previsualizar y sincronizar cuando ejecute el programa de configuración de sincronización de Active Directory manualmente.

Active Directory puede contener caracteres no válidos. Cuando el programa de configuración de sincronización de Active Directory obtiene una vista previa de los datos que se deben sincronizar, se produce este error.

Para omitir este error, utilice Sincronizar según programación - automático (en los próximos 2-3 minutos). Esto omite el paso de vista previa. La sincronización debería realizarse correctamente.

Error: Error al sincronizar el registro

El mensaje de error es Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id.

Puede recibir este error si hay un problema al eliminar un inicio de sesión asociado a un usuario que se eliminó o deshabilitó en Active Directory. La sincronización continúa y finaliza aunque vea este error.

No puede eliminar este error hasta que se resuelva con Sophos Central Admin.

Error: No se han podido validar los ajustes de configuración

El mensaje de error es Error: Failed to validate configuration settings. Reason: Unable to access Active Directory.

Este error indica que el programa de configuración de sincronización de Active Directory no puede conectarse a Active Directory mediante las credenciales o la conexión proporcionadas. Pruebe lo siguiente:

  • Compruebe que la configuración es correcta (en Configuración de AD en el programa de configuración de sincronización de Active Directory) y que ha proporcionado credenciales que tienen acceso a todo el bosque (los usuarios de Enterprise Admin normalmente tienen dicho acceso).
  • Si su entorno LDAP no admite SSL, debe desactivar Usar LDAP seguro y cambiar el número de puerto en consecuencia. No lo recomendamos.
  • Intente conectarse a Active Directory con una herramienta de sincronización de AD independiente, como LDP.EXE de Microsoft, con las mismas credenciales.
Volver al principio