Pular para o conteúdo

Perguntas frequentes sobre a instalação da sincronização do Active Directory

'Encontre respostas para perguntas comuns sobre a instalação e configuração da sincronização do Active Directory (AD) no Sophos Central Admin.'

A sincronização do AD permite que você implemente um serviço que mapeia usuários, dispositivos e grupos do AD para o Sophos Central Admin e os mantêm sincronizados. Para isso, use o Active Directory Synchronization Setup.

As perguntas frequentes estão em duas partes.

  • Esta página contém informações gerais sobre o Active Directory Synchronization Setup, instalação, plataformas suportadas, erros de sincronização, alteração de serviços de diretório e remoção do AD Synchronization.

  • Para obter informações gerais sobre a sincronização do AD no Sophos Central Admin, consulte Perguntas frequentes sobre sincronização do Active Directory.

O que é Active Directory Synchronization Setup?

O Active Directory Synchronization Setup importa os seguintes objetos do AD:

  • Nome de usuário
  • Login
  • Endereço de Email
  • Grupos e os membros de cada grupo

O Active Directory Synchronization Setup funciona da seguinte forma:

  • Ele sincroniza usuários e grupos de usuários ativos.

    Ele não duplica usuários ou grupos existentes quando correspondem com um usuário ou grupo existente do Sophos Central. Por exemplo, ele pode adicionar um endereço de e-mail do AD a um usuário existente no Sophos Central.

  • Ele só cria grupos com mais de um membro.

  • Ele sincroniza dispositivos e grupos de dispositivos. Você pode encontrar informações sobre como ele combina dispositivos e grupos e outras informações úteis em Perguntas frequentes sobre descoberta de grupos de dispositivos.

Você pode encontrar mais informações sobre como a sincronização funciona nas Perguntas frequentes sobre sincronização do Active Directory.

O que o Active Directory Synchronization Setup espera do AD?

Para sincronizar uma floresta inteira do AD, você precisa fornecer credenciais do Active Directory para um usuário com permissões para toda a floresta.

Na raiz da árvore de diretórios do servidor host, você precisa do seguinte:

  • Um atributo chamado rootDomainNamingContext que contém o nome do domínio (DN) da raiz da floresta do AD.
  • Um atributo chamado defaultNamingContext que contém o DN do servidor host.

Você também precisa de uma coleção de entradas em CN=Partitions, CN=Configuration e <rootDomainNamingContext> com uma ou mais entradas contendo o seguinte:

  • um atributo netBiosName
  • um atributo dnsRoot
  • um atributo nCName

Para cada uma dessas entradas, incluímos o valor do seu atributo nCName (é um DN) em áreas para pesquisa (mas somente se o DN não for um DN ancestral do servidor host especificado no Active Directory Synchronization Setup).

Qual é o número máximo de objetos que posso sincronizar de uma vez?

O número máximo de objetos AD que testamos é 30.000.

Se você tiver mais objetos do que isso, levará mais tempo para sincronizar com o Sophos Central.

A interface de usuário responderá mais lentamente se você tiver mais de 40.000 entradas de usuário no seu ambiente.

"??? question "Quais plataformas são suportadas?"

Você pode instalar e executar o Active Directory Synchronization Setup nas seguintes plataformas:

-   Windows 7
-   Windows 8.1
-   Windows 10
-   Windows 11
-   Windows Server 2008 R2
-   Windows Server 2012
-   Windows Server 2012 R2
-   Windows Server 2016
-   Windows Server 2019
-   Windows Server 2022

!!! info "Restrição"

    Só oferecemos suporte a versões de 64 bits.

Você pode instalar o Controlador de Domínio (DC) nas seguintes plataformas:

-   Windows Server 2019
-   Windows Server 2016
-   Windows Server 2012 R2
-   Windows Server 2012
-   Windows Server 2008 R2
Posso sincronizar várias florestas do AD?

É possível selecionar e sincronizar várias florestas com uma conta do Sophos Central Admin.

Recomendamos que você sincronize uma floresta com uma conta do Sophos Central Admin. Se você sincronizar uma floresta com várias contas, isso poderá resultar em um comportamento imprevisível no Sophos Central Admin. Você não deve incluir um usuário ou endereço de e-mail em mais de uma floresta. Se você tiver objetos duplicados, nós os atualizaremos com informações de cada floresta durante a sincronização. A sincronização não mescla dados. Isso significa que o proprietário dos objetos (origem do diretório) pode mudar no Sophos Central Admin após cada sincronização.

Onde posso fazer o download do Active Directory Synchronization Setup?

Consulte Configurar sincronização com o Active Directory.

As atualizações subsequentes são feitas automaticamente no Active Directory Synchronization Setup. Cada vez que você sincroniza, ele verifica se há uma versão posterior.

Como instalo o Active Directory Synchronization Setup?

Consulte Baixar o software de configuração e validar as credenciais.

Como eu movo servidores de sincronização do Active Directory?

Consulte Mova os servidores de sincronização do Active Directory.

Como removo a sincronização do Active Directory?

Consulte Purgar dados do Active Directory sincronizados.

Por que vejo '???' em vez de UTF16 ou caracteres de byte duplo?

A pré-visualização no Active Directory Synchronization Setup não pode mostrar caracteres de byte duplo.

Exemplo de problema de exibição de caracteres.

Todos os dados são enviados e exibidos no Sophos Central. Esse problema afeta a janela de pré-visualização ou alterações pendentes no Active Directory Synchronization Setup.

Planejamos resolver isso em uma versão futura do Active Directory Synchronization Setup.

Erro: O objeto não existe.

Se você tiver um filtro personalizado definido no Active Directory Synchronization Setup e remover a Unidade organizacional (OU) do AD, verá os seguintes erros:

Falhou
    Sincronização do Active Directory. Razão: SophosCloudADSyncLib.DisplayableException: Erro
    ao fazer uma solicitação por LDAP. Please review the connection settings you specified. O servidor LDAP
    retornou o seguinte erro: 0000208D: NameErr: DSID-03100213, problem 2001
(NO_OBJECT), data 0, best match of:

System.DirectoryServices.Protocols.DirectoryOperationException: The object does not exist.

O erro não faz referência ao nome da OU removida. Para resolver esse erro, você precisa revisar todos os filtros configurados em Filtros AD. Para isso, siga este procedimento:

  1. Clique em Definir filtros.
  2. Remova todos os filtros que fazem referência a objetos removidos do seu AD.

???+ failure "Erro: Falha de sincronização do Active Directory”

A mensagem de erro é `Error: Failed active directory synchronization. Characters with hexadecimal values 0xFFFE and 0xFFFF are not valid`.

Esse erro pode ser visto na etapa **Visualizar e Sincronizar** quando você executa o Active Directory Synchronization Setup manualmente.

O AD pode conter caracteres inválidos. Quando o Active Directory Synchronization Setup visualiza os dados que precisam ser sincronizados, ela falha com esse erro.

Para ignorar esse erro, use **Sync on Schedule - automatic (within next 2-3 minutes)**. Isso ignora a etapa de visualização. A sincronização deve ser bem-sucedida.
Erro: Erro ao sincronizar registro

A mensagem de erro é Error: Error syncing record: Error deleting login...Reason: foreign key endpoint_user_sessions.user_match_id.

Você pode receber esse erro se houver um problema ao remover um login associado a um usuário que foi removido ou desativado no Active Directory. A sincronização continua e termina mesmo se esse erro for exibido.

Não é possível remover esse erro até que ele seja resolvido no Sophos Central Admin.

Erro: Falha ao validar parâmetros de configuração

A mensagem de erro é Error: Failed to validate configuration settings. Reason: Unable to access Active Directory.

Essa falha indica que o Active Directory Synchronization Setup não pode se conectar ao seu Active Directory usando as credenciais ou a conexão fornecidas. Tente o seguinte:

  • Verifique se suas configurações estão corretas (em Configuração do AD no Active Directory Synchronization Setup) e se você forneceu credenciais que têm acesso a toda a floresta (os usuários Enterprise Admin normalmente têm esse acesso).
  • Se o seu ambiente LDAP não suporta SSL, você precisa desativar Usar LDAP seguro e alterar o número da porta de acordo. Nós não recomendamos fazer isso.
  • Tente se conectar ao AD com uma ferramenta de sincronização do AD separada, como o LDP.EXE da Microsoft, com as mesmas credenciais.