Al configurar la importación de perfiles desde Directorio Activo en una instalación de SharePoint 2010, es posible que nos encontremos el error con EventID 6050 de Source FIMSynchronizationService: The management agent "MOSSAD-[SYNCHRONIZATION CONNECTION NAME]" failed on run profile "DS_DELTAIMPORT" because of connectivity issues. A continuación se muestra una pantalla capturada de dicho error.
Bueno, este no es el único error que nos podemos encontrar, ya que como también vimos hace poco, otro error típico al configurar la importación de perfiles desde Directorio Activo en SharePoint 2010 es el error de EventId 10016 de DistributedCOM en SharePoint 2010: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID {000C101C-0000-0000-C000-000000000046}.
Lo primero que deberemos tener claro es que SharePoint 2010 utiliza Forefront Identity Manager 2010 para realizar la importación de perfiles de usuarios desde Directorio Activo. por lo tanto, cuando nos encontremos con errores relacionados con la importación de usuarios de Directorio Activo en SharePoint 2010, podemos ayudarnos con la consola de gestión de Forefront Identity Manager 2010, que encontraremos en servidor MOSS que realice la importación de perfiles, y que por defecto lo encontraremos en la siguiente ruta: C:\Program Files\Microsoft Office Servers\14.0\Synchronization Service\UIShell\miisclient.exe
Al intentar abrir la consola de gestión del Forefront Identity Manager 2010, es posible que nos encontremos con el siguiente mensaje de error: Unable to connect to the Synchronization Service, tal y como se muestra en la siguiente pantalla capturada.
Si abrimos la consola de Servicios, podremos observar que existen dos servicios de Windows relacionados con Forefront Indentity Manager 2010: el Forefront Identity Manager Service y el Forefront Identity Manager Synchronization Service. Es posible que estos servicios no estén iniciados (como se muestra en la siguiente pantalla capturada), en cuyo caso deberemos arrancarlos manualmente.
Una vez que hemos arrancado los servicios de Forefront Identity Manager 2010, deberemos poder conectarnos satisfactoriamente a su consola de gestión, en la cual, podremos encontrar las tareas realizadas por Forefront Identity Manager 2010. En aquellas tareas fallidas, podremos encontrar información adicional que nos ayude en su diagnóstico. Por ejemplo, es posible que tengamos errores al ejecutar el perfil de importación DS_FULLIMPORT, de tal modo, que al hacer click en el enlace de failed-search (abajo en la sección de Connection Status), podamos encontrar más detalles.
En nuestro caso de ejemplo, nos encontramos con el siguiente mensaje de error: Replication access was denied (Error Code 8453).
En la página de Management Agents, podremos observar los diferentes Agentes configurados en Forefront Identity Manager 2010. En nuestro caso, tenemos errores relacionados con el Agente MOSSAD-GuilleSQL, por lo tanto, si lo deseamos podemos mostrar sus propiedades.
En el diálogo de propiedades del Agente, podremos revisar bastante información de la configuración del Agente, ya sea para ayudar en el diagnóstico del error o quizás para optimizar la ejecución del Agente.
También podemos mostrar la configuración de ejecución de los Agentes (Configure Run Profiles).
Aquí también podremos encontrar alguna información adicional.
En cualquier caso, en nuestro caso de ejemplo, el error que tenemos se produce al ejecutar la importación de perfiles desde Directorio Activo con una cuenta con privilegios mínimos. Y tan mínimos, ya que para que pueda funcionar, la cuenta que estemos utilizando deberá tener concedido el permiso Replicate Directory Changes. Para conceder este permiso, deberemos abrir la consola Active Directory Users and Computers (ADUC) que suele estar disponible en cualquier Controlador de Dominio. Una vez abierta la consola ADUC, mostraremos el diálogo de Propiedades para el Dominio de Directorio Activo del que deseamos importar los usuarios.
En la pestaña Security, añadiremos la cuenta de usuario utilizada para ejecutar la importación de perfiles de Directorio Activo desde SharePoint 2010, y la concederemos el permiso Replicate Directory Changes, tal y como se muestra en la siguiente pantalla capturada.
Realizado esto, la importación de perfiles desde Directorio Activo en SharePoint 2010 debería funcionar, o al menos, en mi caso de ejemplo, sí que funcionó.
Poco más por hoy. Como siempre, confío que la lectura resulte de interés.