top of page
Buscar

Sincronizar Múltiplas Florestas no Azure AD Connect

  • Foto do escritor: Rodrigo Motta
    Rodrigo Motta
  • 23 de ago.
  • 3 min de leitura

Introdução

Em muitos ambientes corporativos, principalmente em cenários de fusões, aquisições ou legados de TI, é comum existirem múltiplas florestas de Active Directory. Cada floresta possui seu próprio esquema, configuração e identidades, o que pode dificultar a unificação do ambiente e a adoção de soluções modernas em nuvem, como o Microsoft 365.

O Azure AD Connect (agora Microsoft Entra Connect) é a ferramenta que permite criar uma identidade híbrida, sincronizando objetos do Active Directory local com o Azure Active Directory. Uma de suas grandes capacidades é justamente a de suportar a sincronização de múltiplas florestas em uma mesma instância do Azure AD.

Cenários Comuns de Múltiplas Florestas

  • Florestas com confiança bidirecional

    • Mais simples, pois as identidades já se reconhecem entre si.

  • Florestas sem confiança

    • Mais comuns em ambientes de fusões ou legados. Exigem configuração avançada.

  • Usuários duplicados em diferentes florestas

    • Cenário crítico: o mesmo colaborador pode existir em duas florestas, exigindo configuração de matching correta para evitar identidades duplicadas no Azure AD.

Pré-requisitos e Planejamento

Antes de configurar a sincronização, é importante preparar o ambiente:

  • Conectividade entre todas as florestas (DNS resolvendo os nomes corretamente).

  • Contas de serviço com permissões de leitura em cada floresta.

  • Topologia de rede estável, permitindo comunicação entre o servidor do Azure AD Connect e os controladores de domínio de todas as florestas.

  • Escolha entre um único servidor Azure AD Connect (suporta múltiplas florestas) ou instâncias adicionais em modo de staging.

  • Versão atualizada do Azure AD Connect.

  • Planejamento do atributo de união (matching) e do Source Anchor.

Instalação passo a passo (múltiplas florestas)

1) Preparar o servidor

  • Use Windows Server 2019/2022 atualizado, dedicado ao AAD Connect.

  • Garanta resolução de nomes e portas abertas (389/636 LDAP, 88 Kerberos, RPC, etc).

  • Baixe o instalador mais recente do Azure AD Connect.

2) Executar o instalador

  • Rode em modo Custom (necessário para múltiplas florestas).

  • Escolha o método de login (Password Hash Sync ou Pass-through Authentication) e ative Seamless SSO se desejar.

  • Autentique com conta Global Administrator no tenant.

3) Conectar as florestas

  • Em Connect your directories, adicione cada floresta com suas respectivas credenciais.

  • O AAD Connect cria um conector por floresta (não exige trust).

4) Configurar UPN & Source Anchor

  • Defina UPN como atributo de login (preferência: domínio verificado no tenant).

  • Configure o Source Anchor como mS-DS-ConsistencyGuid (boa prática).

5) Definir Matching

  • Se o mesmo usuário aparece em mais de uma floresta, habilite users present in multiple directories.

  • Configure a regra de união com base em mail, proxyAddresses, employeeID ou UPN.

6) Filtrar Domínios / OUs

  • Escolha apenas as OUs relevantes.

  • Evite sincronizar contas de serviço ou objetos desnecessários.

7) Recursos opcionais

  • Password writeback: redefinição de senha no Entra ID reflete no AD.

  • Device/Group writeback: devolve dispositivos e grupos para o AD (apenas em uma floresta).

  • Exchange Hybrid: integra ambientes com Exchange local.

8) Staging Mode e Sincronismo

  • Ative Staging Mode na instalação inicial.

  • Valide regras e resultados antes de exportar para o tenant.

  • Use:

    Start-ADSyncSyncCycle -PolicyType Initial

    para iniciar a sincronização completa.

9) Pós-instalação

  • Valide usuários e grupos sincronizados no portal Entra ID.

  • Corrija erros de atributos duplicados (mail, proxyAddresses, UPN).

  • Valide Seamless SSO com contas unidas ao domínio.

10) Cenários sem confiança

  • Configure DNS forwarders ou zonas secundárias para resolver DCs entre florestas.

  • Use credenciais específicas para cada floresta.

  • Para Seamless SSO em múltiplas florestas, adicione cada floresta via assistente/PowerShell.

11) Governança

  • Documente atributos de match, Source Anchor e OUs sincronizadas.

  • Use o Azure AD Connect Health para monitoramento.

  • Tenha plano de HA com servidor em Staging Mode.

Diagrama de Referência

ree

Conclusão

O Azure AD Connect é uma ferramenta robusta que permite sincronizar múltiplas florestas em um único Azure AD, simplificando a gestão de identidades em ambientes complexos.

Com um bom planejamento, é possível garantir uma identidade unificada, que facilita o uso de MFA, SSO e todos os recursos modernos de segurança.

Em cenários de múltiplas florestas, o segredo está em planejar atributos de união, documentar regras e testar em staging antes da produção. Isso assegura estabilidade, governança e uma base sólida para a transformação digital.

 
 
 

Posts recentes

Ver tudo
O Peso de Ser Especialista — E o Direito de Errar

Existe uma percepção muito comum no mercado de tecnologia: a de que profissionais considerados especialistas sabem tudo e não podem cometer erros. Esse pensamento não só é equivocado, como também col

 
 
 

Comentários

bottom of page