1. Academia M.O.R.E.
Análise e Correção de Active Directory / DirSync – Casos comuns e recorrentes
Ricardo Siqueira & Deniz Feital
Microsoft Consulting Services

2. Agenda Qual a importância do Active Directory para Office 365?
OBJETOS & ATRIBUTOS
DIRSYNC
ADFS
Qual a importância do Active Directory para Office 365?
HYBRID DEPLOYMENT
INFRAESTRUTURA
DO ACTIVE DIRECTORY
FERRAMENTAS

3. Active Directory

4. Peça fundamental para projetos com: DirSync DirSync + ADFS
Active Directory
Peça fundamental para projetos com:
DirSync
DirSync + ADFS
DirSync + Hybrid
DirSync + ADFS + Hybrid
É possível realizar um projeto sem DirSync, mas não é uma realidade para grandes clientes.
Presenter: see OneNote for speaker notes

5. Infraestrutura do Active Directory

6. Infraestrutura do Active Directory
Importante que o Active Directory esteja saudável!
...mas as informações abaixo não são foco imediato e/ou premissa para um projeto de O365:
Topologia
Nível Funcional
Posicionamento de DCs
etc.
Presenter: see OneNote for speaker notes

7. Objetos & Atributos

8. Aqui está o principal desafio numa implantação de Dirsync
Objetos & Atributos
Os objetos, especificamente seus atributos, são o ponto chave para uma sincronização bem sucedida.
Presenter: see OneNote for speaker notes
Aqui está o principal desafio numa implantação de Dirsync

9. Objetos & Atributos
Problemas com caracteres inválidos em atributos podem levar a falha na sincronização de alguns objetos ou caracteres substituídos por underline “_”.
Presenter: see OneNote for speaker notes
Artigo “Error message when you try to create a user name that contains a special character in Office 365: "Invalid user name"” (

10. Caracteres substituídos por underline:
Objetos & Atributos
Caracteres substituídos por underline:
Objeto possui um ou mais dos caracteres abaixo no proxyAddresses ou mail.
Character
Name
space character `
apostrophe (
opening parenthesis )
closing parenthesis @
at sign '
single quotation mark
&
ampersand \
pipe =
equal sign ?
question mark /
forward slash %
percent
Presenter: see OneNote for speaker notes

11. Falha na sincronização, geralmente relacionados à:
Objetos & Atributos
Falha na sincronização, geralmente relacionados à:
Ausência de informação em surName (sobrenome) e givenName (primeiro nome);
Uma solução é usar o displayName para preencher esse atributo, usando um script.
UPN possui um domínio não roteável (maiores detalhes posteriormente nesta apresentação)
Atributo mail e/ou proxyAddresses em branco ou com valores duplicados entre vários objetos.
Caracteres acentuados em alias (mailNickname)
Presenter: see OneNote for speaker notes

12. Objetos & Atributos Preparação do Active Directory
Office 365 Deployment Guide for Enterprise | Appendix F Directory Object Preparation
Presenter: see OneNote for speaker notes
Dica: É possível pegar todas essas validações e gerar um script que analisa o Active Directory

13. Objetos & Atributos Atributos sincronizados pelo DirSync
“List of attributes that are synchronized to Office 365 and attributes that are written back to the on-premises Active Directory Domain Services” (
Presenter: see OneNote for speaker notes

14. Objetos & Atributos
Dentre outros desafios, como a migração em si, num projeto com Lotus Notes, também temos atributos em branco no .
Directory Preparation For Lotus Notes Migration (DirPrep)
O script de Preparação de Diretório (DirPrep) facilita a migração com êxito do Lotus Notes para o Office 365.
DirPrep prepara o Active Directory a partir do Notes para migração para o Exchange Online. O processo de preparação de diretório usa o script DirPrep para preencher todos os atributos relacionados ao para contas de usuário, criar contas para representar caixas de correio de grupo/compartilhadas, criar contas para salas e recursos e criar grupos no Active Directory para cada grupo que está sendo migrado do Lotus Notes. (
Presenter: see OneNote for speaker notes

15. Ferramentas

16. Ferramentas Microsoft Office 365 Deployment Readiness Tool(
The following assessments are provided:
Domains
domain discovery and number of users leveraging each domain
User Identity and Account Provisioning
Statistical information
Active Directory schema and forest/domain functional data
Trusts extract (checks for multi-forest constraints)
Directory Synchronization
Pre-requisite checks
Attribute assessment
Single sign on
Exchange Online
Public folder, public delegates, and proxyaddresses extract
3rd party and unified messaging proxyaddresses information
Lync Online
SIP domains summary
SharePoint Online
User object count assessment
Client and End User Experience
Summary of domain joined machines for rich experience/SSO readiness
Network
Port analysis on certain Office 365 endpoints
DNS records assessment
Presenter: see OneNote for speaker notes

17. Ferramentas Windows PowerShell Command Builder for Office 365(
Sample PowerShell Scripts for Office 365 Deployment (
Exemplo:
GetSyncedObjectCount
NewDirSyncPowerShellShortcut
Office 365 Deployment Guide (
Presenter: see OneNote for speaker notes

18. DirSync

19. DirSync Desenhado para ser um “appliance” “Configurar e esquecer”
Presenter: see OneNote for speaker notes
Recomendação: Ajuste os objetos do Active Directory antes de implantar o Dirsync

20. Acréscimo do limite de sincronização do tenant
DirSync
Acréscimo do limite de sincronização do tenant
Error 016: Synchronization has been stopped. This company has exceeded the number of objects that can be synchronized. Contact Microsoft Online Services Support.
O Directory Synchronization (DirSync) pode sincronizar apenas os primeiros objetos.
 objetos e não mailboxes!!
Presenter: see OneNote for speaker notes
Nota: Planos “P” não suportam a implantação de DirSync.

21. DirSync Mais informações sobre limite de sincronismo
A Directory Service quota is implemented by using Office 365 as a method to limit the maximum number of objects that can be created and owned by a single security principal. If an online company has a legitimate need to synchronize more than the Directory Service quota limit, the company must submit an Service Request with the Office 365 Technical Support.
Q. Do objects that were manually added through the Office 365 portal or the Office 365 API such as Exchange Online PowerShell count against my online company quota?
A. Yes.
Q. Do deleted objects count against my online company quota?
A. Yes . When an Office 365 customer deletes an object from his or her online company, the deleted object is put into a deleted objects container in the Office 365 Directory Service. The object remains in the deleted objects container until the tombstone lifetime expires. The expiration is currently set to 30 days for Microsoft Online Services. All objects in the deleted objects container continue to consume up to 25 percent of the AD DS quota for an online company.
For example, consider the following scenario. An online company is evaluating Office 365 by using a nonproduction on-premises AD DS environment. The company performs a bulk synchronization of 8,000 group objects and contact objects by using the Directory Synchronization Tool. Later, the online company decides to do the following:
1. Delete those group objects and contact objects from the company's on-premises nonproduction AD DS environment
2. Add 8,000 user objects to its on-premises nonproduction AD DS environment
3. Synchronize the updates to its online company
The 8,000 group objects and contact objects are moved to the deleted objects container in the Office 365 Directory Service (DS). And, these objects continue to consume up to 25 percent of the online company quota (This percentage is equal to 2,000 objects, or 8,000 × 25 percent) until they are permanently removed after the 30-day tombstone period. Therefore, after synchronizing the 5,000 new user objects, the online company will consume 10,000 objects of its available AD DS quota, 2,000 from deleted objects plus 8,000 from new user objects. During the 30-day tombstone period (and this period may coincide with the online company evaluation period), the online company may be unable to add any additional objects by using the Directory Synchronization. This condition occurs because the online company's Directory Service quota has been reached.
In this scenario, the online company that is performing the evaluation of Office 365 must reduce the number of objects in its non-production on-premises AD DS environment to complete the product evaluation. However, if the online company cannot reduce the number of objects, the company must request an increase in its Office 365 Directory Service quota.
Presenter: see OneNote for speaker notes

22. DirSync Serão sincronizados:
Todas as contas de usuários (exceto algumas contas de sistema)
Todos os contatos mail-enabled (mas não contatos que não são mail-enabled)
Todos os Grupos de Segurança e Grupos de Distribuição mail-enabled
Presenter: see OneNote for speaker notes

23. DirSync Comportamento do Sincronismo:
Novos usuários adicionados ao Active Directory são sincronizados para o Office 365
Usuários, grupos ou contatos existentes que são apagados no on-premises são apagados também do Office 365.
Usuários que são desabilitados no on-premises são desabilitados no Office 365
Atributos existentes de usuários, contatos e grupos (que são sincronizados) que forem modificados no on-premises serão modificados no Office 365
Nem todos os atributos são sincronizados, mas os mais significativos (em torno de 100).
Presenter: see OneNote for speaker notes

24. DirSync Comportamento do Sincronismo:
Uma vez implantada a sincronização, o Active Directory on-premises se torna “dono” dos objetos
Em outras palavras, modificações em objetos sincronizados devem ocorrer no Active Directory on-premises
Objetos sincronizados não podem ser modificados ou apagados via portal ou powershell
Para remover tais objetos, eles devem ser apagados no Active Directory on-premises
Presenter: see OneNote for speaker notes

25. DirSync
Usuários
Mail-enabled/mailbox-enabled são sincronizados como mail-enabled (não mailbox-enabled)
Visível na GAL do Office 365 (ao menos que estejam ocultas no on-premises)
Contas desabilitadas
Target address é sincronizado para usuários mail-enabled
Usuários simples são sincronizados como usuários simples
Não são provisionados como mail-enabled no Office 365
Resource mailboxes são sincronizados como resource mailboxes
Usuários sincronizados não são assinalados com uma licença automaticamente
Requer intervenção ou via Portal de Administração ou PowerShell para designar a licença.
Presenter: see OneNote for speaker notes

26. DirSync Informações Gerais Senhas não são sincronizadas
Sincronização é no sentido on-premises para o Office 365
Exceto se o “write-back” for habilitado
Ocorre a cada três horas (por padrão)
Use “Start-OnlineCoexistenceSync” cmdlet para forçar a sincronização
O intervalo pode ser modificado através do arquivo Microsoft.Online.DirSync.Scheduler.exe.config.
Atributo SyncTimeInterval (Usar intervalos coerentes)
Presenter: see OneNote for speaker notes

27. DirSync Informações Gerais
Deve ser instalado na rede interna e não na DMZ
Comunicação é feita através da porta 443 (
Não há uma solução de HA
Uma queda no DirSync não gera indisponibilidade os serviços do Office 365
Não instale junto com outro servidor desempenhando serviço de Diretório (ADDS, ADFS, etc.)
Dê preferência a versão 64bits baseado no FIM
Versão 32 bits não está mais disponível para download.
O computador deve ser capaz de se comunicar com qualquer controlador de domínio da floresta
Presenter: see OneNote for speaker notes

28. DirSync Sincronização
O atributo objectGuid AD attribute é assinalado como valor do atributo sourceAnchor durante a sincronização inicial de um objeto
Isto é conhecido como “hard match”
Dirsync sabe qual objeto é o “dono” do objeto sincronizado examinando o atributo sourceAnchor
DirSync pode também sincronizar objetos criados pelo portal se um dos endereços proxyaddresses for igual ao do objeto no Active Directory
Isto é conhecido como “soft match”
Os atributos proxyAddresses são sincronizados
Necessita de um domínio correspondente no tenant
Updates são sincronizados mesmo após o assinalamento de licença
Presenter: see OneNote for speaker notes
Por padrão a floresta inteira do Active Directory é o escopo da sincronização

29. DirSync Processo de Sincronização
Verificar se o objeto existe com o mesmo SourceAnchor (hard match)
Se o objeto for encontrado, será atualizado
Se não foi feito o hardmatch será tentando um match usando o endereço SMTP (soft match)
Se o objeto for encontrado, grava SourceAnchor para uso em sincronismos posteriores
Se nenhum dos matches acima tiveram sucesso um novo objeto será criado.
Presenter: see OneNote for speaker notes

30. Recomendado um servidor que exceda o requerimento mínimo
DirSync
Recomendado um servidor que exceda o requerimento mínimo
Para mais que 50K objetos, utilizar um servidor SQL separado do servidor DirSync.
Número de objetos no Active Directory
CPU
Memória
Hard disk
Menos que
1.6 GHz
4 GB
70 GB – –
16 GB
100 GB –
32 GB
300 GB –
450 GB
Mais que
500 GB
Presenter: see OneNote for speaker notes

31. DirSync
Permissões
Usuário logado no computador com o DirSync instalado deve ser um membro do grupo local MIIS Admins. Este grupo foi criado durante a instalação do DirSync.
Durante a configuração do DirSync será necessário prover:
Credencial de Enterprise Admin do Active Directory on-premise.
Esta conta não é salva na instalação ou configuração do Dirsync
É apenas utilizada para criar a conta de domínio “MSOL_AD_Sync” no container “CN=Users” do domínio raiz da floresta
Utilizada para delegar as seguintes permissões em cada partição de domínio da floresta:
Replicating Directory Changes
Replicating Directory Changes all
Replication Synchronization
Credencial de Global Administrator no Microsoft Online Services.
Se utilizando SQL, direitos dentro do SQL para criar a base de dados do Dirsync, e configurar a conta do SQL Service com o papel de db_owner
O DirSync roda sob contexto de um usuário comum com privilégios específicos. Não usa a conta de administração.
Presenter: see OneNote for speaker notes

32. Office 365 – Usuários Aparecem com o Domínio O365 após o DirSync
Este vídeo mostra para resolver problemas relacionados com nome, ou proxy adresses de alguns vários usuários que estão sendo mostrados com o domínio errado após uma sincronização do diretório.

33. DirSync Agora é suportado criar filtros para a sincronização.
...teste amplamente o fluxo de mensagens, pois mensagens que originalmente eram Mail Enabled Users não aparecerão mais na GAL e poderão gerar algum grau de inconsistência. `
Nota: Dependendo da necessidade de “filtro”, trabalhar com o atributo msExchHideFromAddressLists já poderá ser uma opção boa o suficiente pois representa um risco menor.
Presenter: see OneNote for speaker notes

34. DirSync Como forçar a sincronização em delta do DirSync?
No caminho onde a ferramenta de sincronização foi instalada (normalmente C:\Program Files\Microsoft Online Directory Sync)
Dê um duplo clique no arquivo DirSyncConfigShell.psc1
Execute o seguinte comando:
Start-OnlineCoexistenceSync
Feito isto abra a ferramenta de gerenciamento (próximo slide) para acompanhar o resultado.
Presenter: see OneNote for speaker notes

35. DirSync Como abrir o console do DirSync?
Para abrir o console do DirSync, execute o arquivo miisclient.exe que normalmente é instalado no seguinte caminho:
C:\Program Files\Microsoft Online Directory Sync\SYNCBUS\Syncronization Service\UIShell
Com ele podemos verificar:
Resultado da sincronização. Nos mostrará exatamente quantos objetos foram sincronizados.
Intervalo de cada ação. Útil para identificar possíveis gargalos na operação de sincronização
Resultado de cada atividade. No evento de uma falha, podemos saber exatamente onde ela ocorreu.
Presenter: see OneNote for speaker notes
35 | Microsoft Confidential

36. DirSync Como forçar a sincronização completa *FULL* do DirSync?
Em alguns casos pode ser necessária a sincronização total do ambiente para o Office 365.
Para fazermos isto devemos alterar a seguinte chave do registro do servidor onde o Dirsync foi instalado: HKLM/Software/Microsoft/MSOLCoExistence
Nesta chave alterar o valor do registro FullSyncNeeded para 1, conforme abaixo:
Após a sincronização completa, o valor desta chave voltará para 0, que é o valor padrão.
Presenter: see OneNote for speaker notes

37. DirSync Como modificar o intervalo de sincronização?
Para modificarmos o intervalo padrão de sincronização (três horas), devemos efetuar o seguinte procedimento no servidor onde o Dirsync está instalado:
Alterar o arquivo que se encontra no diretório de instalação, normalmente o caminho C:\Program Files\Microsoft Online Directory Sync\
Neste diretório editar com o bloco de notas o seguinte arquivo: Microsoft.Online.DirSync.Scheduler.exe.Config
O valor 3:0:0 quer dizer:
Três horas, zero minutos, e zero segundos.
Se quisermos alterar para, por exemplo, 1 hora e 30 minutos o arquivo ficaria com o valor 1:30:0
Presenter: see OneNote for speaker notes
Use intervalos coerentes

38. DirSync Como realizar uma pesquisa no Metaverse?
Na ferramenta de gerenciamento, efetue os seguintes passos:
Selecione a opção Metaverse Search
Na opção “Scope by Object Type”, selecione, por exemplo “person” e selecione “Add Clause”.
Com esta opção já podemos fazer uma pesquisa, e verificar quais são as contas sincronizadas. Mas é possível fazer um filtro ainda maior.
Podemos por exemplo, filtrar as contas que são do departamento “Contabilidade”, o filtro mostrará apenas um usuário.
Dezenas de outras condições podem ser feitas, dando-nos diversas opções de pesquisa através desta ferramenta.
Presenter: see OneNote for speaker notes

39. DirSync Como realizar uma pesquisa no Connector Space?
Na ferramenta de gerenciamento, efetue os seguintes passos:
Selecione a opção “Management Agents”.
Existem dois “Management Agents” disponíveis, vamos selecionar o “SourceAD”. E com o botão direito selecione “Search Connector Space”.
Podemos fazer vários filtros, desta forma vamos escolher “Imported Since” e escolher uma data.
O resultado nos mostrará todos os objetos que foram sincronizados desde a data informada. No nosso exemplo, foram 141 objetos.
Presenter: see OneNote for speaker notes

40. ADFS

41. Nota: Não confundir necessidades de ADFS com UPN.
A medida que novas necessidades de serviços baseados em diretório são adicionados, um AD com informações consistentes se tornam mais evidentes e
relevantes.
Nota: Não confundir necessidades
de ADFS com UPN.
Presenter: see OneNote for speaker notes

42. Informações importantes sobre UPN:
ADFS
Informações importantes sobre UPN:
Username do UPN pode ser diferente do samAccountname
UPN pode possuir qualquer domínio que tenha sido definido no “Active Directory Domains and Trusts”
Mesmo que o UPN tenha sido alterado para outro domínio, o UPN baseado no nome do domínio continua sendo válido
Se o domínio do UPN não estiver validado no tenant Office 365, o domínio cadastrado no AD será substituído por dominio.onmicrosoft.com (também conhecido como MOERA)
Presenter: see OneNote for speaker notes

43. Processo resumido para adicionar o novo sufixo UPN
ADFS
Uma correção de UPN basta adicionar o dominio no Active Directory Domains and Trusts e então atualizar todas as contas de usuários para o novo sufixo UPN.
Processo resumido para adicionar o novo sufixo UPN
Abra o Active Directory Domains and Trusts.
Clique com o botão direito no nó Active Directory Domains and Trusts, e clique em Properties.
Digite o domínio DNS, clique Add e então em OK.
Feche o Active Directory Domains and Trusts.
Presenter: see OneNote for speaker notes

44. Ajustar o sufixo UPN usando Windows PowerShell:
ADFS
Ajustar o sufixo UPN usando Windows PowerShell:
Abra o Active Directory Module for Windows PowerShell como Administrator.
Defina o valor para todas as contas do Active Directory usando os comandos abaixo:
$UPNSuffix = <UPN_Domain_Suffix>
Get-ADUser –Filter:* | foreach {[string]$newUPN = $_.SamAccountName + + $UPNSuffix; Set-ADUser $_ –UserPrincipalName:$newUPN }
Também é possível usar o código abaixo e filtrar a atualização do UPN por OU específicas:
$UPNSuffix = “ <UPN Domain Suffix> “
$filterByOU = ” <OU Name> “
Get-ADUser –Filter:* | foreach { if ([string]$($_.DistinguishedName).tolower –like [string]$(“*” + $filterByOU + “*”).tolower()) {[string]$newUPN = $_.SamAccountName + + $UPNSuffix; Set-ADUser $_ –UserPrincipalName:$newUPN }
Presenter: see OneNote for speaker notes

45. Valide o sufixo do UPN on-premises
ADFS
Valide o sufixo do UPN on-premises
Default routing domain (MOERA) (contoso.onmicrosoft.com) é utilizado como UPN dos usuários no Office 365 se o sufixo UPN on-premises não contém um nome de DNS público registrado no tenant
Verifique os domínios
Adicione todos os domínios e valide-os no tenant
Após a verificação, estes domínios não podem ser removidos até que não exista nenhum objeto utilizando este domínio como endereço proxy ou UPN
Presenter: see OneNote for speaker notes

46. Hybrid Deployment

47. 4/8/2017
Hybrid Deployment
Todos os domínios existentes como parte do atributo proxyAddresses devem estar validados no Office 365, caso contrário na tentativa de executar um moverequest, um erro será apresentado e a migração do mailbox não será executado.
Solução 1: Validar o domínio no Office 365 e forçar uma sincronização via DirSync.
Solução 2: Remover o domínio no Office 365 e forçar uma sincronização via DirSync.

48. 4/8/2017
Hybrid Deployment
Falha na conclusão do moverequest por impossibilidade de alteração do usuário para um mail-enabled user.
Get-MoveRequest -Identity | Get-MoveRequestStatistics -IncludeReport | Select *
14/3/2012 3:09:39 [O365ServerName] Failed to convert the source mailbox 'Primary (19c8b8ef-aea3-48b4-a1ef-a8ed282e81d0)' to mail-enabled user after the move. Attempt 19/21. Error: UpdateMoved MailboxPermanentException.
14/3/2012 3:09:39 [O365ServerName] Post-move cleanup failed. The operation will try again in 30 seconds (19/21).
14/3/2012 3:10:56 [O365ServerName] Unable to update Active Directory information for the source mailbox at the end of the move. Error: UpdateMovedMailboxPermanentException.
14/3/2012 3:10:56 [O365ServerName] Request is complete.

49. ...resumindo

50. Comece pelo Básico Siga uma metodologia consistente!
Planejamento
Preparação
Migração
 Plano de Comunicação
...tecnicamente, não subestime seu projeto e siga também um processo consistente!
Active Directory synchronization: Roadmap (

51. Desafio para a comunidade!!
SCRIPT PARA CORREÇÃO DE givenName e surName VAZIOS
Diversos Active Directory possuem os atributos givenName e surName em branco, onde uma possibilidade de corrigir esta informação é a partir do displayName popular estes atributos.
RECONEXÃO DE PST EM CASOS ONDE O PERFIL OUTLOOK NÃO É MANTIDO
Em migrações sem Rich Coexistence (também conhecido como Hybrid Deployment) onde o perfil Outlook não é mantido, ajuda os usuários finais se um script puder ser executado para guardar os PST em uso e então reconecta-los posteriormente.
Este pode ser um serviço “self servisse” onde o usuário pode rodar o utilitário antes e depois da migração.
SCRIPT PARA DEFINIR O UPN IGUAL AO ENDEREÇO PRIMÁRIO DE SMTP (proxyAddresses)
Grande parte dos clientes visam definir o UPN de acordo com o endereço primário de SMTP, que é o valor com “SMTP:” no atributo proxyAddresses.
Esta alteração do UPN não gera efeito colateral no dia-a-dia dos usuários.
REMOVER CARACTERES ACENTUADOS
Bastante útil possuir um script para remover caracteres acentuados, substituindo estas incidências por caracteres normais, exemplo: á, à, ã, ä por a; ç por c; é, è, ë, ê por e; e assim sucessivamente.
Presenter: see OneNote for speaker notes
MIGRAR MAILBOX
Desenvolver um script para migração de mailbox em um ambiente Hybrid.
Esse script já deve definir a localização do usuário, atribuir licença e efetivamente migrar.
Caso o cliente não usar ADFS, também é uma opção já definir as senhas.
LISTAR PERMISSÕES DOS MAILBOXES
Criar um script para listar as permissões FullAccess, SendAs e SendOnBehaldOf do Exchange on-premises, isso facilitará a definição de lotes de migração evitando que acessos sejam “quebrados” na migração.
“Delegates” são replicados pelo DirSync no O365, ao contrário do que acontecia com BPOS.
PROVISIONAR UM MAILBOX PARA MIGRAÇÃO
Ao invés de criar um new-moverequest, também é uma boa opção ter um script que apenas prepara o move rodando prepare-moverequest, onde posteriormente bastaria rodar um resume-moverequest

52. obrigado

53. 4/8/2017 6:57 PM
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

54. Referências Adicionais

55. DirSync Instalação 95 MB, Download de um único arquivo
Presenter: see OneNote for speaker notes

56. DirSync Configuração wwwwwwwwww
wwwwwwwwww
mikek.local\Administrator
wwwwwwwwwwwwwwww
Presenter: see OneNote for speaker notes

57. Instalação do DirSync com SQL Server 2008
Office 365 Directory Synchronization by default comes with SQL Server Express Microsoft SQL Server Express editions have limitations and you should consider these limitations if you are going to use an Express Edition.
SQL Express 2005 Limitations
By default, SQL Server Express 2005 has a maximum file-size limitation of 4 gigabytes (GB). As a general guideline, the 4 GB file-size limitation may prevent you from synchronizing more than 50,000 objects to Office 365. However, this depends on the data consumption, therefore you may be able to synchronize more or less than the guideline of 50,000 objects.
SQL Express 2008 Limitations
By default, SQL Server Express 2008 has a maximum file-size limitation of 10 gigabytes (GB). As a general guideline, the 10 GB file-size limitation may prevent you from synchronizing more than 125,000 objects to Office However, this depends on the data consumption, therefore you may be able to synchronize more or less than the guideline of 125,000 objects..
Presenter: see OneNote for speaker notes

58. Instalação do DirSync com SQL Server 2008
Open a command prompt running as an administrator, and then move to the folder in which you saved the installation program.
At the command prompt, type dirsync /fullsql.
If you receive a User Account Control prompt, click Continue, or type the user name and password of an administrator account, and then click OK.
On the Welcome page, click Next.
On the Microsoft Software License Terms page, read the license terms, select I accept the Microsoft Software License Terms, and then click Next.
On the Select Installation Folder page, select an installation folder location, and then click Next.
On the Installation page, wait for the installation to complete, and then click Next.
On the Finished page, click Finish.
On the computer on which the Directory Synchronization was installed, open Windows PowerShell.
At the Windows PowerShell prompt, type Add-PSSnapin Coexistence-Install.
- To install the Directory Synchronization onto the same system as the SQL Server type Install-OnlineCoexistenceTool –UseSQLServer –Verbose. - To install the Directory Synchronization by using a remote installation of SQL Server type Install-OnlineCoexistenceTool –UseSQLServer –SqlServer <SQLServerName> -ServiceCredential (Get-Credential) –Verbose.
Presenter: see OneNote for speaker notes

59. Instalação do DirSync com SQL Server 2008
- To install the Directory Synchronization onto the same system as the SQL Server type Install-OnlineCoexistenceTool –UseSQLServer –Verbose. - To install the Directory Synchronization by using a remote installation of SQL Server type Install-OnlineCoexistenceTool –UseSQLServer –SqlServer <SQLServerName> -ServiceCredential (Get-Credential) –Verbose.
- To install Directory Synchronization by specifying the SQL Instance you would add the "-SqlServerInstance" parameter. For example, you would run the following similar command: Install-OnlineCoexistenceTool -UseSQLServer -SqlServer <SQLServerName> -ServiceCredential (Get-Credential) -SqlServerInstance <SqlInstanceName>
12. At the Windows PowerShell Credential Request prompt, type the user name and password of the domain account that will be used to run the Microsoft Identity Integration Server service and the Office 365 Directory Synchronization service.
13. Run the Microsoft Online Services Directory Synchronization Configuration Wizard to complete the installation.
Presenter: see OneNote for speaker notes

60. Instalação do DirSync com SQL Server 2008
Important You must successfully complete the Microsoft Online Services Directory Synchronization Tool Configuration Wizard before synchronization can occur.
Parameter options for Install-OnlineCoexistenceTool
-ServiceCredential <PSCredential> Credential to be assigned to the Microsoft Identity Integration Server service. When this parameter is not specified, an MIIS_Service account will be created on the local machine. The credential is also used by the Microsoft Online Services Directory Synchronization Service.
-UseSQLServer This flag causes the install to skip installation of SQL Express. Use this flag with one or both of the following parameters: SqlServer, SqlServerInstance.
-InstallPath <String> Optional parameter to specify the path to the folder that contains the files to be installed. These files include the SQL Express Setup program, SQLEXPR32_x86_ENU.exe, and the Microsoft Identity Integration Server.msi and DirectorySync.msi files.
-SqlServerInstance <String> The name of the SQL Instance that MIIS will use.
-SqlServer <String> The name of the server that is hosting SQL for MIIS.
Presenter: see OneNote for speaker notes

61. DirSync
The following table contains the error name, error details, and the steps required to help resolve error messages
Error Name
Error Details
Source
Resolution
AdminRequired
Local Administrator permissions are required to install Directory Synchronization.
Event Viewer/ Error Prompt
DirSyncAlreadyInstalled
The Directory Synchronization tool is already installed. Version {0}
Event Viewer
Uninstall all previous versions of DirSync before attempting the install the latest version.
DirSyncInstallKeyNotRemoved
Windows Installer could not remove the uninstall registry key from the Microsoft Online Services Directory Synchronization MSI. Retry un-install or contact Microsoft Online Support.
Manually remove the registry keys to complete the installation.
DirSyncNotInstalledError
A complete installation of the Microsoft Online Services Directory Synchronization tool was not detected on this machine. Please uninstall any versions of this tool and then reinstall the most recent version.
ErrorReRunConfigWizard
Unable to start synchronization due to configuration issues. To fix the issues, try running the Configuration Wizard. If you continue to see this error please contact Microsoft Online Support.
Run the DirSync configuration wizard.
WindowsInstaller45Required
Microsoft Windows Installer 4.5 is required for installation. Please install Microsoft Windows Installer 4.5 and try again.
Ensure that the server DirSync is being installed on meets the minimum requirements.
ErrorClearRunHistory
Could not clear the run history on the MIIS Server. Error returned is '{0}'. Contact Microsoft Online support.
InvalidUPNFormat
User Principal Name (UPN) is your logon name. This error is displayed when the user enters credentials for Microsoft Online that do not contain an character.
Enter a valid credentials for Microsoft Online Services and to continue.
ADCredsNotValid
The Enterprise Administrator credentials that you supplied are not valid. Supply valid credentials and try again.
The installation wizard was unable to verify that the user account being used to install (No Suggestions) is an Enterprise Administrator.
InternetSetOptionError
Internet Explorer proxy settings were not set. Initial configuration using setup wizard may not be able to access online help. WinInet Error {0}
Verify that they proxy settings entered into Internet Explorer are correctly formatted because the Installation Wizard was not able to read/modify these settings correctly.
RichCoexistenceNotAllowed
Current local directory does not have Exchange 2010 installed. Rich coexistence is not allowed.
Install all of the required prerequisites for Rich Coexistence before attempting to install DirSync coexistence is not allowed
Presenter: see OneNote for speaker notes

62. DirSync ErrorNoStartConnection
Synchronization failed to start because of connection issues or domain controllers could not be contacted by the server. Verify that you are connected to the server and all the configured domain controllers are connected to the network. If you have recently deleted domain or naming context, please rerun the Configuration Wizard.
Event Viewer
Confirm that the local Active Directory Domain Controllers are accessible from the server running DirSync.
ErrorNoStartCredentials
Synchronization failed to start because of credential problems. Rerun Configuration Wizard to update credentials for Synchronization.
Run the DirSync Configuration wizard and re-enter credentials. The customer should also confirm that the credentials have Admin access to MOAC.
ErrorNoStartNoDomainController
Synchronization failed to start because the domain controller could not be contacted by the server. Verify that the domain controller is connected to the network.
ErrorStoppedConnectivity
Synchronization stopped because of connectivity loss. Restore connectivity to the server.
Confirm that the local workstation can access the Internet. Have the user attempt to ping provisioning.microsoftonline.com to verify that it can reach the DirSync Service on Microsoft Online.
ErrorStoppedDatabaseDiskFull
Synchronization stopped because the SQL Server database used by the Synchronization server is full. Create some space in the SQL Server database.
Free up space on the storage used to hold the DirSync SQL Database. If the issue is not resolved DirSync will not be able to run successfully and the SQL database may be permanently damaged.
InstallNotAllowedOnDomainController
Microsoft Online Services Coexistence can not be installed on a domain controller.
DirSync can only be installed on domain joined computers that do act as Domain Controllers
InstallPathLengthTooLong
The installation path is too long. Provide a path of 116 characters or fewer and then try again.
For the installation of DirSync that the total path length has to be less than 116 characters.
InsufficentDiskSpace
Insufficent Disk Space
There is not enough space to install DirSync on the local workstation.
InvalidPlatform
The Microsoft Online Services Directory Synchronization tool must be installed on a computer running Windows Server 2003 Service Pack 2 or later.
Ensure that the server DirSync is being installed on meets the minimum requirements.
MachineIsDomainJoinedUserIsNot
The computer is joined to a domain, but the current user credentials do not have access permissions on the domain.
Log in as a domain user with an account that meets the minimum requirements before attempting to install DirSync.
MachineIsNotDomainJoined
The computer is not joined to any domain.
Presenter: see OneNote for speaker notes

63. DirSync MachineNotDomainJoined
The computer must be joined to a domain.
Event Viewer
Ensure that the server DirSync is being installed on meets the minimum requirements.
MIISSyncIsInProgressError
The synchronization engine is busy. Retry this operation after this synchronization session is complete.
This means there is an existing operations being completed by the MIIS and that any new operations for (No Suggestions) can only be completed once the current operation is completed.
MIISUserAddRight_AccountNotFound
Account name:'{0}' could not be found. Error Code:{1}
DirSync was not able to add the local account being used to complete the installation to the MIIS Admin Group. The user should be manually added to the group to continue with the installation.
MIISUserAddRight_AddFailed
'{0}' could not be added to the account rights for '{1}'. Error code:{2}
MIISUserAddRight_PolicyHandleNotFound
Failed to obtain the policy handle. Error Code:{0}
PowerShellRequired
PowerShell must be installed.
UnsupportedNameFormat
The name format is not supported. Two examples of the supported user name formats are: or example\someone.
Enter valid credentials for Microsoft Online Services and to continue.
UserNotAMemberOfMIISAdmins
The current user is not a member of the Microsoft Identity Integration Server (MIIS) Admin group. If you have recently installed the Microsoft Online Services Directory Synchronization tool, you may need to log off and then log on.
Manually add the local Active Directory user account used to run DirSync to the MIIS Admin Group.
UserNotAnEnterpriseAdmin
User '{0}' is not a member of the Enterprise Admins group.
Manually add the local Active Directory user account used to run DirSync to the Active Directory Enterprise Admin Group.
UnsupportedClientVersion
This version of the Directory Synchronization tool is no longer supported. Remove this version and then install the latest version from the Directory Synchronization page of the Migration tab in the Microsoft Online Services Administration Center.
Download the latest version of the DirSync Tool from the Office 365 portal.
InternetQueryOptionError
Internet Explorer proxy settings were not read. Initial configuration using setup wizard may not be able to access online help. WinInet Error {0}
Verify that the proxy settings entered into Internet Explorer are correctly formatted because the Installation Wizard was not able to read/modify these settings correctly.
Presenter: see OneNote for speaker notes

64. DirSync Erros Adicionais:
: Error message in the Microsoft Online Services Directory Synchronization tool in Microsoft Office 365: "Your version of the Microsoft Online Services Directory Synchronization Configuration Wizard is outdated“
: Error message when you try to run the Microsoft Online Services Directory Synchronization Configuration wizard: "Your credentials could not be authenticated. Retype your credentials and try again"
: "LogonUser() Failed with error code: 1789" after you enter enterprise administrator credentials in the Directory Synchronization Configuration Wizard in Office 365
"An unknown error occurred with the Microsoft Online Services Sign-in Assistant" error occurs in the Microsoft Online Services Directory Synchronization Configuration Wizard when you try to sign in to Microsoft Online Services
Firewall prevents users from using Microsoft Online Services Directory Synchronization, rich clients, or the Microsoft Online Services Identity Federation Management tool in Office 365
"The computer must be joined to a domain" error message occurs when you try to install Microsoft Online Services Directory Synchronization Tool
Presenter: see OneNote for speaker notes

65. DirSync
You cannot manage or remove objects that were synchronized from the on-premises Active Directory Domain Services to Office 365
SYMPTOMS
Consider the following scenario. You want to manually manage or remove objects that were created through directory synchronization from the Microsoft Office 365 directory. For example, you want to remove an orphaned user account that was synchronized to Office 365 from your on-premises Active Directory Domain Services (AD DS). However, you cannot remove the orphaned user account by using the Office 365 portal or by using Windows PowerShell.
CAUSE
This issue may occur if one or more of the following conditions are true:
Cause 1: The Microsoft Office Online Services Directory Synchronization tool is no longer running. Therefore, even if you update or delete the object from the on-premises AD DS, the deleted object does not synchronize to your Office 365 tenant.
Cause 2: The on-premises AD DS is no longer available. Therefore, you cannot manage or delete the object from the on-premises environment.
Cause 3: You deleted an object from the on-premises AD DS. However, the object was not deleted from your Office 365 tenant. This is unexpected behavior.
Presenter: see OneNote for speaker notes

66. DirSync RESOLUTION For Cause 1
You want to delete an object in Microsoft Office 365. But you do not want to delete the object from the on-premises AD DS. Additionally, you want to continue using directory synchronization.
Warning You can deactivate and reactivate directory synchronization. Deactivating and reactivating directory synchronization affects migration, identity management, and single sign-on functionality. In some scenarios, reactivating directory synchronization can overwrite objects that have been previously synchronized to the cloud. Therefore, before you toggle directory synchronization activation, make sure that you read Directory Synchronization and source of authority.
Install the local Windows PowerShell cmdlets (Use Windows PowerShell to manage Office 365)
Start the Microsoft Office Online Services Module for Windows PowerShell.
Disable directory synchronization. Type the following cmdlet, and then press Enter: Set-MsolDirSyncEnabled -EnableDirSync $false
Verify that directory synchronization is fully disabled by using Windows PowerShell. To do this, run the following cmdlet periodically: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
This command will return True or False. Continue to run this cmdlet periodically until it returns False, and then go to step 5.
Note It may take 72 hours for the deactivation to be completed. The actual time depends on the number of objects that are in your Office 365 subscription account.
Try to update an object to verify that you can delete the object.
Delete the object by using Windows PowerShell or by using the Office 365 portal (Windows PowerShell cmdlets for Office 365)
To re-enable directory synchronization, run the following cmdlet: Set-MsolDirSyncEnabled -EnableDirSync $true
Presenter: see OneNote for speaker notes

67. DirSync RESOLUTION For Cause 2
You want to manage objects in Office 365, and you no longer want to use directory synchronization.
Install the Local Windows PowerShell cmdlets. To do this, visit the following Microsoft website: Use Windows PowerShell to manage Office 365
Start Microsoft Office Online Services Module for Windows PowerShell.
Disable directory synchronization. To do this, type the following cmdlet, and then press Enter: Set-MsolDirSyncEnabled –EnableDirSync $false
Verify that directory synchronization was fully disabled by using the Windows PowerShell. To do this, run the following cmdlet periodically: (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
This cmdlet will return True or False. Continue to run this cmdlet periodically until it returns False, and then go to the next step. Note It may take 72 hours for deactivation to be completed. The time depends on the number of objects that are in your Office 365 subscription account.
Try to update an object by using Windows PowerShell or by using the Office 365 portal
Presenter: see OneNote for speaker notes

68. DirSync RESOLUTION For Cause 3
You delete an object from an on-premises AD DS. However, the object is not deleted from your Office 365 subscription account.
Force directory synchronization by using the steps on the following Microsoft website:
Force directory synchronization
If some updates and deletions are propagated, but some deletions are not synchronized to Office 365, perform typical directory synchronization troubleshooting procedures.
If all updates and deletions are not synchronized to Office 365, contact Microsoft Office 365 technical support.
MORE INFORMATION
For more information about Windows PowerShell cmdlets, visit the following Microsoft website: Windows PowerShell cmdlets for Office 365
Presenter: see OneNote for speaker notes