Academia M.O.R.E.Análise e Correção de Active Directory / DirSync – Casos comuns e recorrentes Ricardo Siqueira & Deniz FeitalMicrosoft Consulting Services

Agenda

Qual a importância do Active Directory para Office 365?

FERRAMENTAS

INFRAESTRUTURA

DO ACTIVE DIRECTORY

ADFSDIRSYNC

HYBRID DEPLOYMEN

T

OBJETOS & ATRIBUTOS

Active Directory

Active Directory

Peça fundamental para projetos com: DirSync DirSync + ADFS DirSync + Hybrid DirSync + ADFS + Hybrid

É possível realizar um projeto sem DirSync, mas não é uma realidade para grandes clientes.

Infraestrutura do Active Directory

Infraestrutura do Active Directory

Importante que o Active Directory esteja saudável!

...mas as informações abaixo não são foco imediato e/ou premissa para um projeto de O365: Topologia Nível Funcional Posicionamento de DCs etc.

Objetos & Atributos

Objetos & Atributos

Os objetos, especificamente seus atributos, são o ponto chave para uma sincronização bem sucedida.

Aqui está o principal desafio numa

implantação de Dirsync

Artigo “Error message when you try to create a user name that contains a special character in Office 365: "Invalid user name"” (http://support.microsoft.com/kb/2439357/en-us)

Problemas com caracteres inválidos em atributos podem levar a falha na sincronização de alguns objetos ou caracteres substituídos por underline “_”.

Objetos & Atributos

Caracteres substituídos por underline: Objeto possui um ou mais dos caracteres

abaixo no proxyAddresses ou mail.Charact

erName

space character` apostrophe( opening parenthesis) closing parenthesis@ at sign' single quotation mark& ampersand\ pipe= equal sign? question mark/ forward slash% percent

Objetos & Atributos

Falha na sincronização, geralmente relacionados à: Ausência de informação em surName (sobrenome)

e givenName (primeiro nome); Uma solução é usar o displayName para

preencher esse atributo, usando um script. UPN possui um domínio não roteável (maiores

detalhes posteriormente nesta apresentação) Atributo mail e/ou proxyAddresses em branco ou

com valores duplicados entre vários objetos. Caracteres acentuados em alias (mailNickname)

Objetos & Atributos

Preparação do Active Directory

Office 365 Deployment Guide for Enterprise | Appendix F Directory Object Preparation

http://technet.microsoft.com/en-us/library/hh852533

Dica: É possível pegar todas essas validações e gerar um script que analisa o Active Directory

Objetos & Atributos

Atributos sincronizados pelo DirSync

“List of attributes that are synchronized to Office 365 and attributes that are written back to the on-premises Active Directory Domain Services” (http://support.microsoft.com/kb/2256198/en-us)

Objetos & Atributos

Dentre outros desafios, como a migração em si, num projeto com Lotus Notes, também temos atributos em branco no e-mail.

Directory Preparation For Lotus Notes Migration (DirPrep)O script de Preparação de Diretório (DirPrep) facilita a migração com êxito do Lotus Notes para o Office 365.DirPrep prepara o Active Directory a partir do Notes para migração para o Exchange Online. O processo de preparação de diretório usa o script DirPrep para preencher todos os atributos relacionados ao email para contas de usuário, criar contas para representar caixas de correio de grupo/compartilhadas, criar contas para salas e recursos e criar grupos no Active Directory para cada grupo que está sendo migrado do Lotus Notes.(http://technet.microsoft.com/en-us/library/hh974319.aspx)

Objetos & Atributos

Ferramentas

FerramentasMicrosoft Office 365 Deployment Readiness Tool (http://community.office365.com/en-us/forums/183/p/2285/8155.aspx)The following assessments are provided: • Domains

• Email domain discovery and number of users leveraging each domain • User Identity and Account Provisioning

• Statistical information • Active Directory schema and forest/domain functional data • Trusts extract (checks for multi-forest constraints) • Directory Synchronization

• Pre-requisite checks • Attribute assessment

• Single sign on• Attribute assessment

• Exchange Online• Statistical information • Public folder, public delegates, and proxyaddresses extract • 3rd party and unified messaging proxyaddresses information

• Lync Online• Statistical information • SIP domains summary

• SharePoint Online• User object count assessment

• Client and End User Experience• Summary of domain joined machines for rich experience/SSO readiness

• Network• Port analysis on certain Office 365 endpoints • DNS records assessment

FerramentasWindows PowerShell Command Builder for Office 365(http://www.microsoft.com/resources/TechNet/en-us/Office/media/WindowsPowerShell/WindowsPowerShellCommandBuilder.html)

Sample PowerShell Scripts for Office 365 Deployment(http://technet.microsoft.com/en-us/library/hh974317)

Exemplo:• GetSyncedObjectCount• NewDirSyncPowerShellShortcut

Office 365 Deployment Guide(http://technet.microsoft.com/en-us/library/hh852466.aspx)

DirSync

DirSync

Desenhado para ser um “appliance”

“Configurar e esquecer”

Recomendação: Ajuste os objetos do Active Directory antes de implantar o

Dirsync

DirSync

Acréscimo do limite de sincronização do tenantError 016: Synchronization has been stopped. This company has exceeded

the number of objects that can be synchronized. Contact Microsoft Online Services Support.

O Directory Synchronization (DirSync) pode sincronizar apenas os primeiros 20.000 objetos.

20.000 objetos e não 20.000 mailboxes!!

Nota: Planos “P” não suportam a implantação de DirSync.

DirSyncMais informações sobre limite de sincronismo

A Directory Service quota is implemented by using Office 365 as a method to limit the maximum number of objects that can be created and owned by a single security principal. If an online company has a legitimate need to synchronize more than the Directory Service quota limit, the company must submit an Service Request with the Office 365 Technical Support.

Q. Do objects that were manually added through the Office 365 portal or the Office 365 API such as Exchange Online PowerShell count against my online company quota? A. Yes.

Q. Do deleted objects count against my online company quota? A. Yes . When an Office 365 customer deletes an object from his or her online company, the deleted object is put into a deleted objects container in the Office 365 Directory Service. The object remains in the deleted objects container until the tombstone lifetime expires. The expiration is currently set to 30 days for Microsoft Online Services. All objects in the deleted objects container continue to consume up to 25 percent of the AD DS quota for an online company.

For example, consider the following scenario. An online company is evaluating Office 365 by using a nonproduction on-premises AD DS environment. The company performs a bulk synchronization of 8,000 group objects and contact objects by using the Directory Synchronization Tool. Later, the online company decides to do the following: 1. Delete those group objects and contact objects from the company's on-premises nonproduction AD DS environment 2. Add 8,000 user objects to its on-premises nonproduction AD DS environment 3. Synchronize the updates to its online company

The 8,000 group objects and contact objects are moved to the deleted objects container in the Office 365 Directory Service (DS). And, these objects continue to consume up to 25 percent of the online company quota (This percentage is equal to 2,000 objects, or 8,000 × 25 percent) until they are permanently removed after the 30-day tombstone period. Therefore, after synchronizing the 5,000 new user objects, the online company will consume 10,000 objects of its available AD DS quota, 2,000 from deleted objects plus 8,000 from new user objects. During the 30-day tombstone period (and this period may coincide with the online company evaluation period), the online company may be unable to add any additional objects by using the Directory Synchronization. This condition occurs because the online company's Directory Service quota has been reached.

In this scenario, the online company that is performing the evaluation of Office 365 must reduce the number of objects in its non-production on-premises AD DS environment to complete the product evaluation. However, if the online company cannot reduce the number of objects, the company must request an increase in its Office 365 Directory Service quota.

DirSync

Serão sincronizados:

Todas as contas de usuários (exceto algumas contas de sistema)

Todos os contatos mail-enabled (mas não contatos que não são mail-enabled)

Todos os Grupos de Segurança e Grupos de Distribuição mail-enabled

DirSyncComportamento do Sincronismo:

Novos usuários adicionados ao Active Directory são sincronizados para o Office 365

Usuários, grupos ou contatos existentes que são apagados no on-premises são apagados também do Office 365.

Usuários que são desabilitados no on-premises são desabilitados no Office 365

Atributos existentes de usuários, contatos e grupos (que são sincronizados) que forem modificados no on-premises serão modificados no Office 365 Nem todos os atributos são sincronizados, mas os mais

significativos (em torno de 100).

DirSyncComportamento do Sincronismo:

Uma vez implantada a sincronização, o Active Directory on-premises se torna “dono” dos objetos Em outras palavras, modificações em objetos sincronizados

devem ocorrer no Active Directory on-premises Objetos sincronizados não podem ser modificados ou

apagados via portal ou powershell Para remover tais objetos, eles devem ser apagados no

Active Directory on-premises

DirSync

Usuários• Mail-enabled/mailbox-enabled são sincronizados como mail-

enabled (não mailbox-enabled)• Visível na GAL do Office 365 (ao menos que estejam ocultas no

on-premises)• Contas desabilitadas• Target address é sincronizado para usuários mail-enabled

• Usuários simples são sincronizados como usuários simples• Não são provisionados como mail-enabled no Office 365

• Resource mailboxes são sincronizados como resource mailboxes• Usuários sincronizados não são assinalados com uma licença

automaticamente• Requer intervenção ou via Portal de Administração ou

PowerShell para designar a licença.

DirSync

Informações Gerais Senhas não são sincronizadas Sincronização é no sentido on-premises para o Office 365

Exceto se o “write-back” for habilitado Ocorre a cada três horas (por padrão)

Use “Start-OnlineCoexistenceSync” cmdlet para forçar a sincronização

O intervalo pode ser modificado através do arquivo Microsoft.Online.DirSync.Scheduler.exe.config. Atributo SyncTimeInterval (Usar intervalos coerentes)

DirSync

Informações Gerais Deve ser instalado na rede interna e não na DMZ

Comunicação é feita através da porta 443 (http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652544.aspx)

Não há uma solução de HA Uma queda no DirSync não gera indisponibilidade os serviços do

Office 365 Não instale junto com outro servidor desempenhando serviço de

Diretório (ADDS, ADFS, etc.) Dê preferência a versão 64bits baseado no FIM

Versão 32 bits não está mais disponível para download. O computador deve ser capaz de se comunicar com qualquer

controlador de domínio da floresta

DirSync

Sincronização• O atributo objectGuid AD attribute é assinalado como valor do

atributo sourceAnchor durante a sincronização inicial de um objeto• Isto é conhecido como “hard match”• Dirsync sabe qual objeto é o “dono” do objeto sincronizado

examinando o atributo sourceAnchor• DirSync pode também sincronizar objetos criados pelo portal se

um dos endereços proxyaddresses for igual ao do objeto no Active Directory• Isto é conhecido como “soft match”

• Os atributos proxyAddresses são sincronizados• Necessita de um domínio correspondente no tenant • Updates são sincronizados mesmo após o assinalamento de

licençaPor padrão a floresta inteira do Active Directory é o escopo da sincronização

DirSync

Processo de Sincronização1. Verificar se o objeto existe com o mesmo SourceAnchor (hard

match)a) Se o objeto for encontrado, será atualizado

2. Se não foi feito o hardmatch será tentando um match usando o endereço SMTP (soft match)a) Se o objeto for encontrado, grava SourceAnchor para uso em

sincronismos posteriores3. Se nenhum dos matches acima tiveram sucesso um novo objeto

será criado.

DirSync

Recomendado um servidor que exceda o requerimento mínimo

Para mais que 50K objetos, utilizar um servidor SQL separado do servidor DirSync.

Número de objetos no Active Directory

CPU Memória Hard disk

Menos que 10.000 1.6 GHz 4 GB 70 GB

10.000 – 50.000 1.6 GHz 4 GB 70 GB

50.000 – 100.000 1.6 GHz 16 GB 100 GB

100.000 – 300.000 1.6 GHz 32 GB 300 GB

300.000 – 600.000 1.6 GHz 32 GB 450 GB

Mais que 600.000 1.6 GHz 32 GB 500 GB

DirSync

Permissões• Usuário logado no computador com o DirSync instalado deve ser um membro do grupo local

MIIS Admins. Este grupo foi criado durante a instalação do DirSync.

Durante a configuração do DirSync será necessário prover: Credencial de Enterprise Admin do Active Directory on-premise.

Esta conta não é salva na instalação ou configuração do Dirsync É apenas utilizada para criar a conta de domínio “MSOL_AD_Sync” no container

“CN=Users” do domínio raiz da floresta Utilizada para delegar as seguintes permissões em cada partição de domínio da floresta:

Replicating Directory Changes Replicating Directory Changes all Replication Synchronization

Credencial de Global Administrator no Microsoft Online Services.

Se utilizando SQL, direitos dentro do SQL para criar a base de dados do Dirsync, e configurar a conta do SQL Service com o papel de db_owner

O DirSync roda sob contexto de um usuário comum com privilégios específicos. Não usa a conta de administração.

Office 365 – Usuários Aparecem com o Domínio O365 após o DirSyncEste vídeo mostra para resolver problemas relacionados com nome, e-mail ou proxy adresses de alguns vários usuários que estão sendo mostrados com o domínio errado após uma sincronização do diretório.http://community.office365.com/en-us/blogs/office_365_technical_blog/archive/2011/05/06/video-office-365-users-appear-with-o365-domain-after-dirsync.aspx

DirSync

Agora é suportado criar filtros para a sincronização.

http://community.office365.com/en-us/wikis/sso/configure-filtering-for-directory-synchronization.aspx

...teste amplamente o fluxo de mensagens, pois mensagens que originalmente eram Mail Enabled Users não aparecerão mais na GAL e poderão gerar algum grau de inconsistência.

`

Nota: Dependendo da necessidade de “filtro”, trabalhar com o atributo msExchHideFromAddressLists já poderá ser uma opção boa o suficiente pois representa um risco menor.

DirSync

Execute o seguinte comando: Start-OnlineCoexistenceSyncFeito isto abra a ferramenta de gerenciamento (próximo slide) para acompanhar o resultado.

No caminho onde a ferramenta de sincronização foi instalada (normalmente C:\Program Files\Microsoft Online Directory Sync)Dê um duplo clique no arquivo DirSyncConfigShell.psc1

Como forçar a sincronização em delta do DirSync?

DirSync

Para abrir o console do DirSync, execute o arquivo miisclient.exe que normalmente é instalado no seguinte caminho:C:\Program Files\Microsoft Online Directory Sync\SYNCBUS\Syncronization Service\UIShellCom ele podemos verificar:

Como abrir o console do DirSync?

35 | Microsoft Confidential

Resultado da sincronização. Nos

mostrará exatamente

quantos objetos foram

sincronizados.

Intervalo de cada ação. Útil para

identificar possíveis gargalos

na operação de sincronização

Resultado de cada atividade. No

evento de uma falha, podemos

saber exatamente onde ela ocorreu.

DirSync

Em alguns casos pode ser necessária a sincronização total do ambiente para o Office 365.

Para fazermos isto devemos alterar a seguinte chave do registro do servidor onde o Dirsync foi instalado: HKLM/Software/Microsoft/MSOLCoExistence

Nesta chave alterar o valor do registro FullSyncNeeded para 1, conforme abaixo:

Como forçar a sincronização completa *FULL* do DirSync?

Após a sincronização completa, o valor desta chave voltará para 0, que é o valor padrão.

DirSync

Para modificarmos o intervalo padrão de sincronização (três horas), devemos efetuar o seguinte procedimento no servidor onde o Dirsync está instalado:

Alterar o arquivo que se encontra no diretório de instalação, normalmente o caminho C:\Program Files\Microsoft Online Directory Sync\

Neste diretório editar com o bloco de notas o seguinte arquivo: Microsoft.Online.DirSync.Scheduler.exe.Config

Como modificar o intervalo de sincronização?

O valor 3:0:0 quer dizer:Três horas, zero minutos, e zero segundos.Se quisermos alterar para, por exemplo, 1 hora e 30 minutos o arquivo ficaria com o valor 1:30:0

Use intervalos coerentes

DirSync

Na ferramenta de gerenciamento, efetue os seguintes passos:

Como realizar uma pesquisa no Metaverse?

Selecione a opção Metaverse SearchNa opção “Scope by Object Type”, selecione, por exemplo “person” e selecione “Add Clause”.Com esta opção já podemos fazer uma pesquisa, e verificar quais são as contas sincronizadas. Mas é possível fazer um filtro ainda maior.

Podemos por exemplo, filtrar as contas que são do departamento “Contabilidade”, o filtro mostrará apenas um usuário.

Dezenas de outras condições podem ser feitas, dando-nos diversas opções de pesquisa através desta ferramenta.

DirSync

Na ferramenta de gerenciamento, efetue os seguintes passos:

Como realizar uma pesquisa no Connector Space?

Selecione a opção “Management Agents”.Existem dois “Management Agents” disponíveis, vamos selecionar o “SourceAD”. E com o botão direito selecione “Search Connector Space”.Podemos fazer vários filtros, desta forma vamos escolher “Imported Since” e escolher uma data.O resultado nos mostrará todos os objetos que foram sincronizados desde a data informada. No nosso exemplo, foram 141 objetos.

ADFS

ADFS

A medida que novas necessidades de serviços baseados em diretório são adicionados, um AD com informações consistentes se tornam mais evidentes erelevantes.

Nota: Não confundir necessidadesde ADFS com UPN.

ADFS

Informações importantes sobre UPN:

Username do UPN pode ser diferente do samAccountname

UPN pode possuir qualquer domínio que tenha sido definido no “Active Directory Domains and Trusts”

Mesmo que o UPN tenha sido alterado para outro domínio, o UPN baseado no nome do domínio continua sendo válido

Se o domínio do UPN não estiver validado no tenant Office 365, o domínio cadastrado no AD será substituído por dominio.onmicrosoft.com (também conhecido como MOERA)

ADFS

Uma correção de UPN basta adicionar o dominio no Active Directory Domains and Trusts e então atualizar todas as contas de usuários para o novo sufixo UPN.

Processo resumido para adicionar o novo sufixo UPN1. Abra o Active Directory Domains and Trusts.2. Clique com o botão direito no nó Active Directory

Domains and Trusts, e clique em Properties.3. Digite o domínio DNS, clique Add e então em OK.4. Feche o Active Directory Domains and Trusts.

ADFS

Ajustar o sufixo UPN usando Windows PowerShell:

1. Abra o Active Directory Module for Windows PowerShell como Administrator.

2. Defina o valor para todas as contas do Active Directory usando os comandos abaixo:$UPNSuffix = <UPN_Domain_Suffix> Get-ADUser –Filter:* | foreach {[string]$newUPN = $_.SamAccountName + “@” +

$UPNSuffix; Set-ADUser $_ –UserPrincipalName:$newUPN }

Também é possível usar o código abaixo e filtrar a atualização do UPN por OU específicas:

$UPNSuffix = “ <UPN Domain Suffix> “ $filterByOU = ” <OU Name> “ Get-ADUser –Filter:* | foreach { if ([string]$($_.DistinguishedName).tolower –like [string]$(“*” + $filterByOU + “*”).tolower()) {[string]$newUPN = $_.SamAccountName + “@” + $UPNSuffix; Set-ADUser $_ –UserPrincipalName:$newUPN }

ADFS

Valide o sufixo do UPN on-premises Default routing domain (MOERA)

(contoso.onmicrosoft.com) é utilizado como UPN dos usuários no Office 365 se o sufixo UPN on-premises não contém um nome de DNS público registrado no tenant

Verifique os domínios Adicione todos os domínios e valide-os no tenant Após a verificação, estes domínios não podem ser

removidos até que não exista nenhum objeto utilizando este domínio como endereço proxy ou UPN

Hybrid Deployment

Hybrid Deployment

Todos os domínios existentes como parte do atributo proxyAddresses devem estar validados no Office 365, caso contrário na tentativa de executar um moverequest, um erro será apresentado e a migração do mailbox não será executado.

Solução 1: Validar o domínio no Office 365 e forçar uma sincronização via DirSync.

Solução 2: Remover o domínio no Office 365 e forçar uma sincronização via DirSync.

Hybrid Deployment

Falha na conclusão do moverequest por impossibilidade de alteração do usuário para um mail-enabled user.

Get-MoveRequest -Identity usuario@contoso.com.br | Get-MoveRequestStatistics -IncludeReport | Select *

14/3/2012 3:09:39 [O365ServerName] Failed to convert the source mailbox 'Primary (19c8b8ef-aea3-48b4-a1ef-a8ed282e81d0)' to mail-enabled user after the move. Attempt 19/21. Error: UpdateMoved MailboxPermanentException.14/3/2012 3:09:39 [O365ServerName] Post-move cleanup failed. The operation will try again in 30 seconds (19/21).14/3/2012 3:10:56 [O365ServerName] Unable to update Active Directory information for the source mailbox at the end of the move. Error: UpdateMovedMailboxPermanentException.14/3/2012 3:10:56 [O365ServerName] Request is complete.

...resumindo

Siga uma metodologia consistente!

Planejamento Preparação

Migração

Plano de Comunicação

...tecnicamente, não subestime seu projeto e siga também um processo consistente!Active Directory synchronization: Roadmap(http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652543.aspx)

Comece pelo Básico

Desafio para a comunidade!!

SCRIPT PARA CORREÇÃO DE givenName e surName VAZIOSDiversos Active Directory possuem os atributos givenName e surName em branco, onde uma possibilidade de corrigir esta informação é a partir do displayName popular estes atributos.

SCRIPT PARA DEFINIR O UPN IGUAL AO ENDEREÇO PRIMÁRIO DE SMTP (proxyAddresses)Grande parte dos clientes visam definir o UPN de acordo com o endereço primário de SMTP, que é o valor com “SMTP:” no atributo proxyAddresses.Esta alteração do UPN não gera efeito colateral no dia-a-dia dos usuários.

MIGRAR MAILBOXDesenvolver um script para migração de mailbox em um ambiente Hybrid.Esse script já deve definir a localização do usuário, atribuir licença e efetivamente migrar.Caso o cliente não usar ADFS, também é uma opção já definir as senhas.

PROVISIONAR UM MAILBOX PARA MIGRAÇÃOAo invés de criar um new-moverequest, também é uma boa opção ter um script que apenas prepara o move rodando prepare-moverequest, onde posteriormente bastaria rodar um resume-moverequest

LISTAR PERMISSÕES DOS MAILBOXESCriar um script para listar as permissões FullAccess, SendAs e SendOnBehaldOf do Exchange on-premises, isso facilitará a definição de lotes de migração evitando que acessos sejam “quebrados” na migração.“Delegates” são replicados pelo DirSync no O365, ao contrário do que acontecia com BPOS.

REMOVER CARACTERES ACENTUADOSBastante útil possuir um script para remover caracteres acentuados, substituindo estas incidências por caracteres normais, exemplo: á, à, ã, ä por a; ç por c; é, è, ë, ê por e; e assim sucessivamente.

RECONEXÃO DE PST EM CASOS ONDE O PERFIL OUTLOOK NÃO É MANTIDOEm migrações sem Rich Coexistence (também conhecido como Hybrid Deployment) onde o perfil Outlook não é mantido, ajuda os usuários finais se um script puder ser executado para guardar os PST em uso e então reconecta-los posteriormente.Este pode ser um serviço “self servisse” onde o usuário pode rodar o utilitário antes e depois da migração.

obrigado

© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Referências Adicionais

DirSyncInstalação 95 MB, Download de um único arquivo

DirSync

Configuração

admin@mikek.me

wwwwwwwwwwmikek.local\Administrator

wwwwwwwwwwwwwwww

DirSync

Instalação do DirSync com SQL Server 2008Office 365 Directory Synchronization by default comes with SQL Server Express 2005. Microsoft SQL Server Express editions have limitations and you should consider these limitations if you are going to use an Express Edition.

SQL Express 2005 Limitations

By default, SQL Server Express 2005 has a maximum file-size limitation of 4 gigabytes (GB). As a general guideline, the 4 GB file-size limitation may prevent you from synchronizing more than 50,000 objects to Office 365. However, this depends on the data consumption, therefore you may be able to synchronize more or less than the guideline of 50,000 objects.

SQL Express 2008 Limitations

By default, SQL Server Express 2008 has a maximum file-size limitation of 10 gigabytes (GB). As a general guideline, the 10 GB file-size limitation may prevent you from synchronizing more than 125,000 objects to Office 365. However, this depends on the data consumption, therefore you may be able to synchronize more or less than the guideline of 125,000 objects..

DirSync

Instalação do DirSync com SQL Server 20081. Open a command prompt running as an administrator, and then move to the folder in which you

saved the installation program. 2. At the command prompt, type dirsync /fullsql. 3. If you receive a User Account Control prompt, click Continue, or type the user name and

password of an administrator account, and then click OK. 4. On the Welcome page, click Next. 5. On the Microsoft Software License Terms page, read the license terms, select I accept the

Microsoft Software License Terms, and then click Next.6. On the Select Installation Folder page, select an installation folder location, and then click Next. 7. On the Installation page, wait for the installation to complete, and then click Next. 8. On the Finished page, click Finish. 9. On the computer on which the Directory Synchronization was installed, open Windows

PowerShell. 10.At the Windows PowerShell prompt, type Add-PSSnapin Coexistence-Install.11.- To install the Directory Synchronization onto the same system as the SQL Server

type Install-OnlineCoexistenceTool –UseSQLServer –Verbose.- To install the Directory Synchronization by using a remote installation of SQL Server type Install-OnlineCoexistenceTool –UseSQLServer –SqlServer <SQLServerName> -ServiceCredential

(Get-Credential) –Verbose.

DirSync

Instalação do DirSync com SQL Server 200811.- To install the Directory Synchronization onto the same system as the SQL Server

type Install-OnlineCoexistenceTool –UseSQLServer –Verbose.- To install the Directory Synchronization by using a remote installation of SQL Server type Install-OnlineCoexistenceTool –UseSQLServer –SqlServer <SQLServerName> -ServiceCredential (Get-Credential) –Verbose.

- To install Directory Synchronization by specifying the SQL Instanceyou would add the "-SqlServerInstance" parameter. For example, you would run the following similar command:Install-OnlineCoexistenceTool -UseSQLServer -SqlServer <SQLServerName> -ServiceCredential (Get-Credential)-SqlServerInstance <SqlInstanceName> 12. At the Windows PowerShell Credential Request prompt, type the user name and password of the domain account that will be used to run the Microsoft Identity Integration Server service and the Office 365 Directory Synchronization service.13. Run the Microsoft Online Services Directory Synchronization Configuration Wizard to complete the installation.

DirSync

Instalação do DirSync com SQL Server 2008Important You must successfully complete the Microsoft Online Services Directory Synchronization Tool Configuration Wizard before synchronization can occur.Parameter options for Install-OnlineCoexistenceTool

-ServiceCredential <PSCredential>Credential to be assigned to the Microsoft Identity Integration Server service. When this parameter is not specified, an MIIS_Service accountwill be created on the local machine. The credential is also used by the Microsoft Online Services Directory Synchronization Service.

-UseSQLServerThis flag causes the install to skip installation of SQL Express. Use this flag with one or both of the following parameters: SqlServer, SqlServerInstance.

-InstallPath <String>Optional parameter to specify the path to the folder that contains the files to be installed. These files include the SQL Express Setup program, SQLEXPR32_x86_ENU.exe, and the Microsoft Identity Integration Server.msi and DirectorySync.msi files.

-SqlServerInstance <String>The name of the SQL Instance that MIIS will use.

-SqlServer <String>The name of the server that is hosting SQL for MIIS.

DirSyncThe following table contains the error name, error details, and the steps required to help resolve error messages

Error Name Error Details Source ResolutionAdminRequired Local Administrator permissions are required to install Directory

Synchronization. Event Viewer/ Error Prompt

DirSyncAlreadyInstalled The Directory Synchronization tool is already installed. Version {0} Event Viewer Uninstall all previous versions of DirSync before attempting the install the latest version.

DirSyncInstallKeyNotRemoved

Windows Installer could not remove the uninstall registry key from the Microsoft Online Services Directory Synchronization MSI. Retry un-install or contact Microsoft Online Support.

Event Viewer Manually remove the registry keys to complete the installation.

DirSyncNotInstalledError A complete installation of the Microsoft Online Services Directory Synchronization tool was not detected on this machine. Please uninstall any versions of this tool and then reinstall the most recent version.

Event Viewer Uninstall all previous versions of DirSync before attempting the install the latest version.

ErrorReRunConfigWizard Unable to start synchronization due to configuration issues. To fix the issues, try running the Configuration Wizard. If you continue to see this error please contact Microsoft Online Support.

Event Viewer Run the DirSync configuration wizard.

WindowsInstaller45Required

Microsoft Windows Installer 4.5 is required for installation. Please install Microsoft Windows Installer 4.5 and try again.

Event Viewer Ensure that the server DirSync is being installed on meets the minimum requirements.

ErrorClearRunHistory Could not clear the run history on the MIIS Server. Error returned is '{0}'. Contact Microsoft Online support.

Event Viewer

InvalidUPNFormat User Principal Name (UPN) is your logon name. This error is displayed when the user enters credentials for Microsoft Online that do not contain an '@' character.

Event Viewer Enter a valid credentials for Microsoft Online Services and to continue.

ADCredsNotValid The Enterprise Administrator credentials that you supplied are not valid. Supply valid credentials and try again.

Event Viewer The installation wizard was unable to verify that the user account being used to install (No Suggestions) is an Enterprise Administrator.

InternetSetOptionError Internet Explorer proxy settings were not set. Initial configuration using setup wizard may not be able to access online help. WinInet Error {0}

Event Viewer Verify that they proxy settings entered into Internet Explorer are correctly formatted because the Installation Wizard was not able to read/modify these settings correctly.

RichCoexistenceNotAllowed

Current local directory does not have Exchange 2010 installed. Rich coexistence is not allowed.

Event Viewer Install all of the required prerequisites for Rich Coexistence before attempting to install DirSync coexistence is not allowed

DirSyncErrorNoStartConnection Synchronization failed to start because of

connection issues or domain controllers could not be contacted by the server. Verify that you are connected to the server and all the configured domain controllers are connected to the network. If you have recently deleted domain or naming context, please rerun the Configuration Wizard.

Event Viewer Confirm that the local Active Directory Domain Controllers are accessible from the server running DirSync.

ErrorNoStartCredentials Synchronization failed to start because of credential problems. Rerun Configuration Wizard to update credentials for Synchronization.

Event Viewer Run the DirSync Configuration wizard and re-enter credentials. The customer should also confirm that the credentials have Admin access to MOAC.

ErrorNoStartNoDomainController Synchronization failed to start because the domain controller could not be contacted by the server. Verify that the domain controller is connected to the network.

Event Viewer Confirm that the local Active Directory Domain Controllers are accessible from the server running DirSync.

ErrorStoppedConnectivity Synchronization stopped because of connectivity loss. Restore connectivity to the server.

Event Viewer Confirm that the local workstation can access the Internet. Have the user attempt to ping provisioning.microsoftonline.com to verify that it can reach the DirSync Service on Microsoft Online.

ErrorStoppedDatabaseDiskFull Synchronization stopped because the SQL Server database used by the Synchronization server is full. Create some space in the SQL Server database.

Event Viewer Free up space on the storage used to hold the DirSync SQL Database. If the issue is not resolved DirSync will not be able to run successfully and the SQL database may be permanently damaged.

InstallNotAllowedOnDomainController

Microsoft Online Services Coexistence can not be installed on a domain controller.

Event Viewer DirSync can only be installed on domain joined computers that do act as Domain Controllers

InstallPathLengthTooLong The installation path is too long. Provide a path of 116 characters or fewer and then try again.

Event Viewer For the installation of DirSync that the total path length has to be less than 116 characters.

InsufficentDiskSpace Insufficent Disk Space Event Viewer There is not enough space to install DirSync on the local workstation.InvalidPlatform The Microsoft Online Services Directory

Synchronization tool must be installed on a computer running Windows Server 2003 Service Pack 2 or later.

Event Viewer Ensure that the server DirSync is being installed on meets the minimum requirements.

MachineIsDomainJoinedUserIsNot The computer is joined to a domain, but the current user credentials do not have access permissions on the domain.

Event Viewer Log in as a domain user with an account that meets the minimum requirements before attempting to install DirSync.

MachineIsNotDomainJoined The computer is not joined to any domain. Event Viewer Ensure that the server DirSync is being installed on meets the minimum requirements.

DirSync

MachineNotDomainJoined The computer must be joined to a domain. Event Viewer Ensure that the server DirSync is being installed on meets the minimum requirements.

MIISSyncIsInProgressError The synchronization engine is busy. Retry this operation after this synchronization session is complete.

Event Viewer This means there is an existing operations being completed by the MIIS and that any new operations for (No Suggestions) can only be completed once the current operation is completed.

MIISUserAddRight_AccountNotFound

Account name:'{0}' could not be found. Error Code:{1} Event Viewer DirSync was not able to add the local account being used to complete the installation to the MIIS Admin Group. The user should be manually added to the group to continue with the installation.

MIISUserAddRight_AddFailed '{0}' could not be added to the account rights for '{1}'. Error code:{2}

Event Viewer DirSync was not able to add the local account being used to complete the installation to the MIIS Admin Group. The user should be manually added to the group to continue with the installation.

MIISUserAddRight_PolicyHandleNotFound

Failed to obtain the policy handle. Error Code:{0} Event Viewer DirSync was not able to add the local account being used to complete the installation to the MIIS Admin Group. The user should be manually added to the group to continue with the installation.

PowerShellRequired PowerShell must be installed. Event Viewer Ensure that the server DirSync is being installed on meets the minimum requirements.

UnsupportedNameFormat The name format is not supported. Two examples of the supported user name formats are: someone@example.com or example\someone.

Event Viewer Enter valid credentials for Microsoft Online Services and to continue.

UserNotAMemberOfMIISAdmins The current user is not a member of the Microsoft Identity Integration Server (MIIS) Admin group. If you have recently installed the Microsoft Online Services Directory Synchronization tool, you may need to log off and then log on.

Event Viewer Manually add the local Active Directory user account used to run DirSync to the MIIS Admin Group.

UserNotAnEnterpriseAdmin User '{0}' is not a member of the Enterprise Admins group.

Event Viewer Manually add the local Active Directory user account used to run DirSync to the Active Directory Enterprise Admin Group.

UnsupportedClientVersion This version of the Directory Synchronization tool is no longer supported. Remove this version and then install the latest version from the Directory Synchronization page of the Migration tab in the Microsoft Online Services Administration Center.

Event Viewer Download the latest version of the DirSync Tool from the Office 365 portal.

InternetQueryOptionError Internet Explorer proxy settings were not read. Initial configuration using setup wizard may not be able to access online help. WinInet Error {0}

Event Viewer Verify that the proxy settings entered into Internet Explorer are correctly formatted because the Installation Wizard was not able to read/modify these settings correctly.

DirSyncErros Adicionais:

2386445 : Error message in the Microsoft Online Services Directory Synchronization tool in Microsoft Office 365: "Your version of the Microsoft Online Services Directory Synchronization Configuration Wizard is outdated“

2310320 : Error message when you try to run the Microsoft Online Services Directory Synchronization Configuration wizard: "Your credentials could not be authenticated. Retype your credentials and try again"

2508225 : "LogonUser() Failed with error code: 1789" after you enter enterprise administrator credentials in the Directory Synchronization Configuration Wizard in Office 365

2502710 "An unknown error occurred with the Microsoft Online Services Sign-in Assistant" error occurs in the Microsoft Online Services Directory Synchronization Configuration Wizard when you try to sign in to Microsoft Online Services

2410859 Firewall prevents users from using Microsoft Online Services Directory Synchronization, rich clients, or the Microsoft Online Services Identity Federation Management tool in Office 365

2419250 "The computer must be joined to a domain" error message occurs when you try to install Microsoft Online Services Directory Synchronization Tool

DirSync

You cannot manage or remove objects that were synchronized from the on-premises Active Directory Domain Services to Office 365SYMPTOMSConsider the following scenario. You want to manually manage or remove objects that were created through directory synchronization from the Microsoft Office 365 directory. For example, you want to remove an orphaned user account that was synchronized to Office 365 from your on-premises Active Directory Domain Services (AD DS). However, you cannot remove the orphaned user account by using the Office 365 portal or by using Windows PowerShell.

CAUSEThis issue may occur if one or more of the following conditions are true: Cause 1: The Microsoft Office Online Services Directory Synchronization tool is no longer running. Therefore,

even if you update or delete the object from the on-premises AD DS, the deleted object does not synchronize to your Office 365 tenant.

Cause 2: The on-premises AD DS is no longer available. Therefore, you cannot manage or delete the object from the on-premises environment.

Cause 3: You deleted an object from the on-premises AD DS. However, the object was not deleted from your Office 365 tenant. This is unexpected behavior.

DirSync

RESOLUTION For Cause 1You want to delete an object in Microsoft Office 365. But you do not want to delete the object from the on-premises AD DS. Additionally, you want to continue using directory synchronization.

Warning You can deactivate and reactivate directory synchronization. Deactivating and reactivating directory synchronization affects email migration, identity management, and single sign-on functionality. In some scenarios, reactivating directory synchronization can overwrite objects that have been previously synchronized to the cloud. Therefore, before you toggle directory synchronization activation, make sure that you read Directory Synchronization and source of authority.

1. Install the local Windows PowerShell cmdlets (Use Windows PowerShell to manage Office 365)2. Start the Microsoft Office Online Services Module for Windows PowerShell.3. Disable directory synchronization. Type the following cmdlet, and then press Enter: Set-MsolDirSyncEnabled -

EnableDirSync $false4. Verify that directory synchronization is fully disabled by using Windows PowerShell. To do this, run the following cmdlet

periodically: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabledThis command will return True or False. Continue to run this cmdlet periodically until it returns False, and then go to step 5.Note It may take 72 hours for the deactivation to be completed. The actual time depends on the number of objects that are in your Office 365 subscription account.

5. Try to update an object to verify that you can delete the object.6. Delete the object by using Windows PowerShell or by using the Office 365 portal (Windows PowerShell cmdlets for Office 365)7. To re-enable directory synchronization, run the following cmdlet: Set-MsolDirSyncEnabled -EnableDirSync $true

DirSync

RESOLUTION For Cause 2You want to manage objects in Office 365, and you no longer want to use directory synchronization. 1. Install the Local Windows PowerShell cmdlets. To do this, visit the following Microsoft website: Use

Windows PowerShell to manage Office 3652. Start Microsoft Office Online Services Module for Windows PowerShell.3. Disable directory synchronization. To do this, type the following cmdlet, and then press Enter: Set-

MsolDirSyncEnabled –EnableDirSync $false4. Verify that directory synchronization was fully disabled by using the Windows PowerShell. To do

this, run the following cmdlet periodically: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabledThis cmdlet will return True or False. Continue to run this cmdlet periodically until it returns False, and then go to the next step.Note It may take 72 hours for deactivation to be completed. The time depends on the number of objects that are in your Office 365 subscription account.

5. Try to update an object by using Windows PowerShell or by using the Office 365 portal

DirSync

RESOLUTION For Cause 3You delete an object from an on-premises AD DS. However, the object is not deleted from your Office 365 subscription account.

Force directory synchronization by using the steps on the following Microsoft website: Force directory synchronization

• If some updates and deletions are propagated, but some deletions are not synchronized to Office 365, perform typical directory synchronization troubleshooting procedures.

• If all updates and deletions are not synchronized to Office 365, contact Microsoft Office 365 technical support.

MORE INFORMATIONFor more information about Windows PowerShell cmdlets, visit the following Microsoft website: Windows PowerShell cmdlets for Office 365