none
User Profile Sync em outra rede RRS feed

  • Pergunta

  • Boa tarde a todos,

    Gostaria de poder contar com a ajuda dos amigos para resolver um dilema que estou enfrentando. O cenário é o seguinte:

    Possuímos aqui uma farm SharePoint que se encontra numa DMZ conectada a um AD que só serve para essa DMZ. Os usuários encontram-se no AD da minha rede interna e se conectam a esta farm via ADFS. 

    O problema que temos é: não estamos conseguindo criar uma conexão através do User Profile Service Application via ADFS, a mensagem de erro é "The LDAP Server is unavailable". Verifiquei no firewall que não houve qualquer tentativa de conexão ao ADFS ou ao AD interno na porta 389 ou 443. 

    Agradeço antecipadamente as sugestões e ao tempo dedicado pelos amigos.

    quarta-feira, 17 de junho de 2015 20:38

Respostas

  • Bom dia Leandro!

    Aparentemente falta apenas abrir a porta 389. Você pode liberar ela manual ou com esse comando: netsh firewall set portopening TCP 389 "LDAP".

    Você também vai precisar verificar essas portas (https://technet.microsoft.com/en-us/library/cc262849.aspx):

    Ports required for synchronizing profiles between SharePoint 2013 and Active Directory Domain Services (AD DS) on the server that runs the Forefront Identity Management agent:

    • TCP 5725

    • TCP&UDP 389 (LDAP service)

    • TCP&UDP 88 (Kerberos)

    • TCP&UDP 53 (DNS)

    • UDP 464 (Kerberos Change Password)

    • If your computer network environment uses Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7, or Windows Vista together with versions of Windows earlier than Windows Server 2012 and Windows Vista, you must enable connectivity over both the following port ranges:

      • High port range 49152 through 65535

      • Low port range 1025 through 5000

    • If your computer network environment uses Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7, or Windows Vista together with versions of Windows earlier than Windows Server 2012 and Windows Vista, you must enable connectivity over both the following port ranges:

      • High port range 49152 through 65535

      • Low port range 1025 through 5000


    Abraços

    David

    SharePoint Support Engineer

    Blog: http://spinternals.blogspot.com.br/ 

    Note: Posts are provided “AS IS” without warranty of any kind, either expressed or implied, including but not limited to the implied warranties of merchantability and/or fitness for a particular purpose.

    sexta-feira, 19 de junho de 2015 14:05

Todas as Respostas

  • Olá Leandro,

    tudo bem? Vamos dividir isso em 3 problemas para entender o cenário melhor.

    1. Autenticação pelo ADFS requer que os perfis do usuários estão sincronizados. - https://technet.microsoft.com/en-us/library/hh305235.aspx

    2. O erro "The LDAP Server is unavailable" aparece em qual momento: na autenticação ou na sincronização?

    3. Temos um AD no DMZ e outro na rede interno: Qual vai ser utilizado para a autenticação pelo ADFS?


    Abraços

    David

    SharePoint Support Engineer

    Blog: http://spinternals.blogspot.com.br/ 

    Note: Posts are provided “AS IS” without warranty of any kind, either expressed or implied, including but not limited to the implied warranties of merchantability and/or fitness for a particular purpose.

    quinta-feira, 18 de junho de 2015 18:43
  • Olá David,

    Vamos às respostas:

    1. Meu problema reside nessa sincronização.

    2. Esse erro aparece quando tento criar a conexão para o User Profile poder fazer a sincronização. O caminho para chegar nessa criação de conexão é: Central Administration --> Manage Service Applications --> User Profile Service Application --> Configure Synchronization Connections --> Create New Connection.

    3. O AD da DMZ só foi criado por causa dos usuários de serviço do SharePoint, uma vez que ele está isolado da nossa rede interna. Os usuários que serão autenticados via ADFS estão no meu AD interno.

    Obrigado pela atenção.

    Leandro Demier.

    sexta-feira, 19 de junho de 2015 12:08
  • Bom dia Leandro!

    Aparentemente falta apenas abrir a porta 389. Você pode liberar ela manual ou com esse comando: netsh firewall set portopening TCP 389 "LDAP".

    Você também vai precisar verificar essas portas (https://technet.microsoft.com/en-us/library/cc262849.aspx):

    Ports required for synchronizing profiles between SharePoint 2013 and Active Directory Domain Services (AD DS) on the server that runs the Forefront Identity Management agent:

    • TCP 5725

    • TCP&UDP 389 (LDAP service)

    • TCP&UDP 88 (Kerberos)

    • TCP&UDP 53 (DNS)

    • UDP 464 (Kerberos Change Password)

    • If your computer network environment uses Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7, or Windows Vista together with versions of Windows earlier than Windows Server 2012 and Windows Vista, you must enable connectivity over both the following port ranges:

      • High port range 49152 through 65535

      • Low port range 1025 through 5000

    • If your computer network environment uses Windows Server 2012, Windows Server 2008, Windows Server 2008 R2, Windows 7, or Windows Vista together with versions of Windows earlier than Windows Server 2012 and Windows Vista, you must enable connectivity over both the following port ranges:

      • High port range 49152 through 65535

      • Low port range 1025 through 5000


    Abraços

    David

    SharePoint Support Engineer

    Blog: http://spinternals.blogspot.com.br/ 

    Note: Posts are provided “AS IS” without warranty of any kind, either expressed or implied, including but not limited to the implied warranties of merchantability and/or fitness for a particular purpose.

    sexta-feira, 19 de junho de 2015 14:05
  • David,

    Tentei realizar a conexão, mas não encontrei qualquer tentativa de conexão do servidor ao AD interno nos logs do firewall. O nosso firewall não é Microsoft, e o firewall do Windows está desativado.

    sexta-feira, 19 de junho de 2015 18:56
  • Oi Leandro!

    Verifique por favor adicionalmente o seguinte artigo: https://samlman.wordpress.com/2015/03/01/mapping-user-profiles-for-saml-users-with-an-ad-import-in-sharepoint-2013/

    Acredito que não foi configurado o "SPTrustedIdentityTokenIssuer", essa configuração é necessário para criar a conexão.


    Abraços

    David

    SharePoint Support Engineer

    Blog: http://spinternals.blogspot.com.br/ 

    Note: Posts are provided “AS IS” without warranty of any kind, either expressed or implied, including but not limited to the implied warranties of merchantability and/or fitness for a particular purpose.

    sexta-feira, 19 de junho de 2015 19:40
  • Olá Leandro,

    tudo bem? O problema foi resolvido?


    Abraços

    David

    SharePoint Support Engineer

    Blog: http://spinternals.blogspot.com.br/ 

    Note: Posts are provided “AS IS” without warranty of any kind, either expressed or implied, including but not limited to the implied warranties of merchantability and/or fitness for a particular purpose.

    terça-feira, 23 de junho de 2015 17:31