Powershell: comandos para Azure AD Connect.

Powershell

Los comandos de PowerShell de Azure AD Connect permiten informar y administrar la infraestructura de identidad híbrida o de Azure AD Connect. Estos son útiles ya que puede encontrar rápidamente los ajustes de configuración, actualizar su configuración o administrar su sincronización sin tener que pasar por la GUI. Esto significa que todo lo anterior se puede hacer sin tener que conectarse de escritorio remoto al servidor de Azure AD Connect.

Contenido del artículo

  • Visualización de la configuración de Azure AD Connect con PowerShell
  • Administración de la sincronización de Azure AD Connect con PowerShell
  • Información general sobre ADConnectivityTools incluidas en Azure AD Connect
  • Dominando Active Directory
  • Resumen

Visualización de la configuración de Azure AD Connect con PowerShell

Comencemos con 3 comandos de PowerShell de Azure AD Connect que le harán la vida más fácil.

Visualización de las características de sincronización de Azure AD Connect habilitadas

Al ejecutar el comando Get-ADSyncAADCompanyFeature, se le informará de las características de sincronización que ha habilitado en su entorno. Esto le permite identificar fácilmente lo que está sucediendo con sus identidades de usuario, especialmente si está auditando un nuevo entorno.

Get-ADSyncAADCompanyFeature
PasswordHashSync           : True
ForcePasswordChangeOnLogOn : False
UserWriteback              : False
DeviceWriteback            : False
UnifiedGroupWriteback      : False
GroupWritebackV2           : False

Visualización de la programación y la configuración de sincronización de Azure AD Connect

El comando Get-ADSyncScheduler mostrará todas las configuraciones importantes relacionadas con el tipo de sincronización de directorios vigente actualmente y cuándo está programada la sincronización.

Get-ADSyncScheduler

Y aquí hay un ejemplo de salida.

AllowedSyncCycleInterval            : 00:30:00
CurrentlyEffectiveSyncCycleInterval : 00:30:00
CustomizedSyncCycleInterval         :
NextSyncCyclePolicyType             : Delta
NextSyncCycleStartTimeInUTC         : 12/10/2021 8:21:09 AM
PurgeRunHistoryInterval             : 7.00:00:00
SyncCycleEnabled                    : True
MaintenanceEnabled                  : True
StagingModeEnabled                  : False
SchedulerSuspended                  : False
SyncCycleInProgress                 : False

Visualización del delimitador de origen de sincronización de Azure AD Connect

El delimitador de origen es el valor único que empareja a los usuarios locales con sus identidades de Azure AD en la nube. Es importante saber esto si alguna vez va a volver a instalar Azure AD Connect o a migrar a otro servidor.

Así es como se verá la salida.

Value
-----
mS-DS-ConsistencyGuid

Administración de la sincronización de Azure AD Connect con PowerShell

Ahora que sabemos cómo ver esa configuración tan importante de Azure AD Connect, echemos un vistazo a cómo podemos iniciar, detener y editar nuestra configuración de sincronización.

Para empezar, como podemos ver arriba, nuestra sincronización se ejecuta aproximadamente cada 30 minutos. Sin embargo, si hacemos un cambio y queremos que la sincronización ocurra antes o de inmediato, podemos usar los siguientes comandos para que esto suceda.

Forzar la sincronización inmediata de Azure AD Connect

Start-ADSyncSyncCycle -PolicyType Delta

El ciclo de sincronización diferencial ejecutará una importación, sincronización y exportación diferencial en todos los conectores de Azure AD Connect. Delta es la palabra clave aquí, lo que significa que solo sincronizará los atributos modificados y se completará más rápido que una sincronización completa.

¿Cuándo se debe ejecutar una sincronización completa?

Se requiere una sincronización completa cuando se cambian o modifican las reglas de sincronización, lo que hace que se agreguen objetos o atributos adicionales. Lo mismo ocurre con los filtros que tenga instalados. Se puede ejecutar una sincronización completa con el siguiente comando.

Start-ADSyncSyncCycle -PolicyType Initial

Cómo deshabilitar y volver a habilitar la programación de AD Sync

Esto es importante para saber si necesita realizar cambios en las reglas o filtros de sincronización. Para deshabilitar la programación, puede ejecutar lo siguiente.

Set-ADSyncScheduler -SyncCycleEnabled $false

Y para habilitar la programación de sincronización.

Set-ADSyncScheduler -SyncCycleEnabled $true

Como hemos comentado anteriormente, puede ver el estado de sincronización actual mediante los comandos que aparecen al principio de este artículo.

Cambiar la frecuencia con la que se ejecuta la sincronización

Es posible que deba cambiar la programación de sincronización predeterminada de 30 minutos a otra cosa. A continuación, le mostraré cómo puede cambiar el horario de sincronización. En mi caso, voy a cambiar mi horario de cada 30 minutos a cada 15 minutos.

Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:15:00

Puede comprobar la nueva configuración con los siguientes comandos. Debes saber que la nueva configuración solo surte efecto después de la siguiente sincronización programada. Sin embargo, puede forzar que esto suceda antes con los comandos Start-ADSyncSyncCycle.

Habilitación de las características de la empresa de Azure AD Connect con PowerShell

Al principio de este artículo, demostramos cómo ver las características de la empresa habilitadas actualmente con el comando Get-ADSyncAADCompanyFeature. Esto muestra qué funciones ha habilitado, como; sincronización de hash de contraseña, escritura diferida de usuarios y escritura diferida de dispositivos. Déjame mostrarte cómo cambiar estas características con Powershell.

El siguiente comando mostrará cómo habilitar la escritura diferida de dispositivos

Set-ADSyncAADCompanyFeature -devicewriteback $true

Puedes aplicar este mismo concepto para habilitar y deshabilitar cada una de las funciones disponibles, estas son:

  • PasswordHashSync (Sincronización de contraseñas)
  • ForcePasswordChangeOnLogOn
  • UserWriteback
  • DeviceWriteback (Dispositivo de escritura diferida)
  • UnifiedGroupWriteback
  • GroupWritebackV2

Si está deshabilitando una función, simplemente cambie la opción $true a $false.

Información general sobre las ADConnectivityTools incluidas en Azure AD Connect

Con Azure AD Connect se incluye el módulo de PowerShell ADConnectivityTools (adconnectivitytools.psm1). En este módulo se incluye una serie de herramientas que puede usar para garantizar la conectividad con Active Directory y asegurarse de que Azure AD Connect funcionará sin errores.

El escenario puede ser que esté instalando (o haya instalado) Azure AD Connect en un servidor miembro de dominio independiente (no en un controlador de dominio) o incluso en un servidor de grupo de trabajo y necesite asegurarse de la conectividad con su dominio.

Las herramientas de conectividad de AD incluyen los siguientes comandos.

  • Confirm-DNSConectividadConectividad
  • Confirm-ForestExists
  • Confirm-FunctionalLevel
  • Confirm-NetworkConnectivity
  • Confirm-TargetsAreReachable
  • Confirm-ValidDomains
  • Confirm-ValidEnterpriseAdminCredentials
  • Get-DomainFQDNData
  • Get-ForestFQDN
  • Start-ConnectivityValidation
  • Start-NetworkConnectivityDiagnosisTools

La gama completa de sintaxis y ejemplos se puede encontrar en https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-adconnectivitytools

Os animamos a compartir con nosotros vuestras opiniones en X@mundoazure

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *