Sincronización de AD a AD

Sincronización de Active Directory a Active Directory

Hay algunas opciones diferentes al sincronizar contraseñas de un Active Directory a otro.

Proveedor de sincronización de Active Directory: este es el proveedor preferido para usar al sincronizar contraseñas de un Active Directory a otro. Se puede usar si los ADs tienen una relación de confianza configurada y la autenticación Kerberos está configurada y funcionando.
Proveedor de sincronización Windows LDAP: para Active Directories que no tienen una relación de confianza, o donde Kerberos no está configurado y funcionando correctamente. Este proveedor utiliza autenticación básica.
Proveedor de sincronización Kerberos: aunque este proveedor se puede usar para ADs con una relación de confianza configurada y la autenticación Kerberos está funcionando, se recomienda usar el proveedor de sincronización de Active Directory.
Proveedor de sincronización LDAP: este proveedor es para servidores LDAP genéricos, con más opciones de configuración. Para sincronizar contraseñas entre dos sistemas de Active Directory, se recomienda usar el proveedor de sincronización de Active Directory o el proveedor de sincronización Windows LDAP.

Puede encontrar todos los requisitos previos y parámetros para los diversos proveedores de sincronización en la página de configuración del proveedor de sincronización.

Pruebas

Habilitar LDAP sobre SSL con certificado autofirmado

Para habilitar que el cliente de prueba se comunique con los Servicios de Dominio de Active Directory remotos a través de este proveedor, utilizando una conexión LDAP segura, podemos usar un certificado autofirmado.

Inicie sesión en el DC remoto

Abra PowerShell en modo elevado y ejecute el siguiente código:

Nota

Reemplace el DnsName por el nombre FQDN de su servidor

$name = "remote.domain"
$cert = New-SelfSignedCertificate
  -DnsName $name
  -CertStoreLocation Cert:\LocalMachine\My

$path = "HKLM:\Software\Microsoft\Cryptography\Services\NTDS\SystemCertificates\My\Certificates"
if(!(Test-Path $path)) {
  New-Item -Force $path
}

Copy-Item
  -Path "HKLM:\Software\Microsoft\SystemCertificates\My\Certificates\$($cert.Thumbprint)"
  -Destination $path

El certificado creado será utilizado inmediatamente por el AD DS. No es necesario reiniciar la máquina.

Probando la conexión LDAP

Para probar las conexiones LDAP, use una herramienta como LDP. Asegúrese de que se establezca una comunicación segura y que las cuentas sean accesibles.

Inicie LDP
Haga clic en Inicio
Haga clic en Ejecutar, luego escriba ldp y luego haga clic en Aceptar. Debería ver un mensaje en la parte superior que dice: "Conexión establecida a xxx.xxx.xxx".

Cliente de prueba SPS

Puede encontrar el Cliente de Prueba en el directorio de instalación de la Herramienta de Administración de SPS, es decir, C:\Program Files\Specopssoft\Specops Password Sync\Admin Tools\PasswordSync.ProviderTestApp.exe

Seleccione Active Directory Ldap de la lista de Proveedores de Sincronización
Configure el Proveedor de Sincronización